Microsoft Entra 建议:续订即将过期的服务主体凭据(预览)
Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。
本文介绍续订即将过期的服务主体凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 servicePrincipalKeyExpiry。
先决条件
查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读者 | 只读 |
| 安全读取者 | 只读 |
| 全局读取者 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange 管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求。
说明
服务主体凭证包括添加到服务主体的证书和客户端密码。 凭证用于证明该服务主体的标识。 如果凭证过期,服务主体无法进行身份验证,这可能会导致业务应用场景停机。 如果租户的服务主体具有即将过期的凭证,则会显示此建议。
如果出现以下情况,服务主体凭证将过期:
- 它位于服务主体上,并且在接下来的 30 天内过期。
以下凭证不受此建议的约束:
- 标识为过期但此后已从应用程序注册中删除的凭证。
- 过期日期已失效的凭证在“受影响的资源”列表中显示为“已完成”。
值
在到期日期之前续订服务主体的凭证对于保持不间断的操作并最大限度地减少因过期凭证而导致的任何停机风险至关重要。
操作计划
此建议在 Microsoft Entra 管理中心内提供。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”。
选择“建议”选项卡,然后选择“续订即将过期的服务主体凭据”建议。
从“操作”列中,选择“更多详细信息”。
在打开的面板中,选择“更新凭证”以直接导航到应用注册的“单一登录”区域。
- 或者,浏览到“标识”>“应用程序”>“应用注册”,并找到需要轮换凭证的应用程序。
- 导航到应用注册的“单一登录”部分。
编辑“SAML 签名证书”部分,并按照提示添加新证书。
成功添加证书或机密后,更新 SAML 签名证书配置以激活新证书。
验证应用程序是否按预期工作,然后从 SAML 证书集合中删除非活动的 SAML 证书。
注意
如果没有配置任何 SAML 凭证,但收到此建议,请使用 Microsoft Graph ServicePrincipalAPI 终结点检查服务主体对象的 keyCredentials 和 passwordCredentials 属性。 找到并轮换凭证。
强烈建议更改服务,使其适用于在支持应用程序对象上定义的凭证,而不是服务主体。