Microsoft Entra 建议:续订即将过期的服务主体凭据(预览)
Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。
本文介绍续订即将过期的服务主体凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 servicePrincipalKeyExpiry
。
说明
Microsoft Entra 服务主体是单个 租户或目录中应用程序对象的本地表示形式。 服务主体定义谁可以访问应用程序以及应用程序可以访问哪些资源。 服务主体的身份验证通常使用具有有效期的证书凭据来完成。 如果凭据过期,则应用程序无法向租户进行身份验证。
如果租户的服务主体具有即将过期的凭据,则会显示此建议。
值
在服务主体凭据过期前进行续订可确保应用程序继续运行,并降低因过期凭据而产生故障时间的可能性。
操作计划
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”。
选择“建议”选项卡,然后选择“续订即将过期的服务主体凭据”建议。
从“受影响的资源”列表中选择应用程序的名称,直接转到所选应用程序的“企业应用程序 - 单一登录”页。
a. 或者浏览到“标识”>“应用程序”>“企业应用程序”。 服务主体的状态显示在“证书过期状态”列中。
b. 使用列表顶部的搜索框查找建议中列出的应用程序。
c. 选择具有需要轮换的凭据的服务主体,然后从侧菜单中选择“单一登录”。
编辑“SAML 签名证书”部分,并按照提示添加新证书。
添加证书后,请更改其属性,使证书处于活动状态,从而使其他证书处于非活动状态。
成功添加并激活证书后,请更新服务代码以确保它适用于新凭据,并且不会对客户产生负面影响。
使用 Microsoft Entra 登录日志验证该证书的密钥 ID 是否与最近上传的内容相匹配。
- 转到“Microsoft Entra 登录日志”>“服务主体登录”。
- 打开相关登录的详细信息,检查“客户端凭据类型”是否为“客户端密码”,以及“凭据密钥 ID”是否与你的凭据匹配。
验证新凭据后,导航回应用的“单一登录”区域并删除旧凭据。
使用 Microsoft Graph 续订即将过期的服务主体凭据
可以使用 Microsoft Graph 以编程方式续订即将过期的服务凭据。 如果要开始使用,请参阅如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用。
使用 Microsoft Graph 续订服务主体凭据时,需要运行查询来获取服务主体的密码凭据,添加新的密码凭据,然后删除旧凭据。
在 Microsoft Graph 中运行以下查询,获取服务主体的密码凭据:
https://microsoftgraph.chinacloudapi.cn/v1.0/servicePrincipals/{id}?$select=passwordCredentials
- 将 {id} 替换为服务主体 ID。
添加新的密码凭据。
- 使用 Microsoft Graph 服务主体 API 服务操作
addPassword
- servicePrincipal:addPassword MS Graph API 文档
- 使用 Microsoft Graph 服务主体 API 服务操作
删除旧/原始凭据。
- 使用 Microsoft Graph 服务主体 API 服务操作
removePassword
- servicePrincipal:removePassword MS Graph API 文档
- 使用 Microsoft Graph 服务主体 API 服务操作
已知的限制
此建议标识即将过期的服务主体凭据。 如果凭据确实过期,则建议不会区分凭据自行过期或是否已解决。
在完成建议之前过期的服务主体凭据将被系统标记为已完成。
从列表中选择“受影响的资源”时,建议当前不会在服务主体中显示密码机密凭据。
“受影响的资源”列表中显示的 ID 适用于应用程序,而不是服务主体。