Microsoft Entra 建议：续订即将过期的服务主体凭据（预览）

Microsoft Entra 建议功能可提供个性化的见解和可操作的指导，以使租户与建议的最佳做法保持一致。

本文介绍续订即将过期的服务主体凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 servicePrincipalKeyExpiry。

说明

Microsoft Entra 服务主体是单个 租户或目录中应用程序对象的本地表示形式。 服务主体定义谁可以访问应用程序以及应用程序可以访问哪些资源。 服务主体的身份验证通常使用具有有效期的证书凭据来完成。 如果凭据过期，则应用程序无法向租户进行身份验证。

如果租户的服务主体具有即将过期的凭据，则会显示此建议。

值

在服务主体凭据过期前进行续订可确保应用程序继续运行，并降低因过期凭据而产生故障时间的可能性。

操作计划

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“概述”。

3. 选择“建议”选项卡，然后选择“续订即将过期的服务主体凭据”建议。

4. 从“受影响的资源”列表中选择应用程序的名称，直接转到所选应用程序的“企业应用程序 - 单一登录”页。

   a. 或者浏览到“标识”>“应用程序”>“企业应用程序”。 服务主体的状态显示在“证书过期状态”列中。

   b. 使用列表顶部的搜索框查找建议中列出的应用程序。

   c. 选择具有需要轮换的凭据的服务主体，然后从侧菜单中选择“单一登录”。

5. 编辑“SAML 签名证书”部分，并按照提示添加新证书。

   

6. 添加证书后，请更改其属性，使证书处于活动状态，从而使其他证书处于非活动状态。

7. 成功添加并激活证书后，请更新服务代码以确保它适用于新凭据，并且不会对客户产生负面影响。

8. 使用 Microsoft Entra 登录日志验证该证书的密钥 ID 是否与最近上传的内容相匹配。

   • 转到“Microsoft Entra 登录日志”>“服务主体登录”。
   • 打开相关登录的详细信息，检查“客户端凭据类型”是否为“客户端密码”，以及“凭据密钥 ID”是否与你的凭据匹配。

9. 验证新凭据后，导航回应用的“单一登录”区域并删除旧凭据。

使用 Microsoft Graph 续订即将过期的服务主体凭据

可以使用 Microsoft Graph 以编程方式续订即将过期的服务凭据。 如果要开始使用，请参阅如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用。

使用 Microsoft Graph 续订服务主体凭据时，需要运行查询来获取服务主体的密码凭据，添加新的密码凭据，然后删除旧凭据。

1. 在 Microsoft Graph 中运行以下查询，获取服务主体的密码凭据：

   https://microsoftgraph.chinacloudapi.cn/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • 将 {id} 替换为服务主体 ID。

2. 添加新的密码凭据。

   • 使用 Microsoft Graph 服务主体 API 服务操作 addPassword
   • servicePrincipal：addPassword MS Graph API 文档

3. 删除旧/原始凭据。

   • 使用 Microsoft Graph 服务主体 API 服务操作 removePassword
   • servicePrincipal：removePassword MS Graph API 文档

已知的限制

• 此建议标识即将过期的服务主体凭据。 如果凭据确实过期，则建议不会区分凭据自行过期或是否已解决。

• 在完成建议之前过期的服务主体凭据将被系统标记为已完成。

• 从列表中选择“受影响的资源”时，建议当前不会在服务主体中显示密码机密凭据。

• “受影响的资源”列表中显示的 ID 适用于应用程序，而不是服务主体。

后续步骤

• 查看 Microsoft Entra 建议概述
• 了解如何使用 Microsoft Entra 建议
• 探索 Microsoft Graph API 属性以获取建议
• 了解如何保护服务主体