Microsoft Entra 建議：更新即將到期的服務主體認證 (預覽)

Microsoft Entra 建議這項功能可提供個人化的深入解析和可行的指引，讓租用戶符合建議最佳做法。

本文介紹更新即將到期之服務主體認證的建議。 此建議在 Microsoft Graph 的建議 API 中名為 servicePrincipalKeyExpiry。

描述

Microsoft Entra 服務主體是單一租用戶或目錄中應用程式物件的本機表示法。 服務主體會定義哪些人員可以存取應用程式，以及應用程式可以存取哪些資源。 服務主體的驗證通常會使用有生命週期的憑證認證來完成。 如果認證過期，應用程式就無法向租用戶進行驗證。

若租用戶有即將到期之認證的服務主體，就會顯示此建議。

值

在服務主體認證到期之前更新，可確保應用程式繼續運作，並降低因為認證過期造成停機的可能性。

行動方案：

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[概觀]。

3. 選取 [建議] 索引標籤，然後選取 [更新即將到期的服務主體認證] 建議。

4. 從 [受影響的資源] 清單中選取應用程式名稱，以直接移至所選應用程式的 [企業應用程式 - 單一登入] 頁面。

   a. 或者，瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。 服務主體的狀態會顯示在 [憑證到期狀態] 資料行。

   b. 使用清單頂端的搜尋方塊來尋找建議中列出的應用程式。

   c. 選取需要輪替認證的服務主體，然後從側邊功能表選取 [單一登入]。

5. 編輯 [SAML 簽署憑證] 區段，並遵循提示來新增憑證。

   

6. 新增憑證後，請變更其屬性以使憑證成為作用中，這會導致其他憑證狀態變成非作用中。

7. 成功新增並啟用憑證之後，請更新服務程式碼，以確保其能與新的認證搭配運作，且不會對客戶造成負面影響。

8. 使用 Microsoft Entra 登入記錄來驗證憑證的金鑰識別碼是否符合最近上傳的金鑰識別碼。

   • 移至 [Microsoft Entra 登入記錄] > [服務主體登入]。
   • 開啟相關登入的詳細資料，並確認 [用戶端認證類型] 是否為「用戶端密碼」，且 [認證金鑰識別碼] 符合您的認證。

9. 驗證新認證之後，請瀏覽回到應用程式的 [單一登入] 區域，並移除舊的認證。

使用 Microsoft Graph 更新即將到期的服務主體認證

您可以使用 Microsoft Graph，以程式設計方式更新即將到期的服務認證。 若要開始使用，請參閱如何使用 Microsoft Graph 搭配 Microsoft Entra 建議。

使用 Microsoft Graph 更新服務主體認證時，您必須執行查詢以取得服務主體上的密碼認證、新增密碼認證，然後移除舊的認證。

1. 在 Microsoft Graph 中執行下列查詢，以取得服務主體的密碼認證：

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • 將 {id} 取代為服務主體 ID。

2. 新增密碼認證。

   • 使用 Microsoft Graph 服務主體 API 服務動作 addPassword
   • servicePrincipal：addPassword MS Graph API 文件

3. 移除舊的/原始認證。

   • 使用 Microsoft Graph 服務主體 API 服務動作 removePassword
   • servicePrincipal：removePassword MS Graph API 文件

已知的限制

• 此建議會識別即將到期的服務主體認證。 如果認證到期，建議並不會區分認證是自行到期還是您指定到期。

• 在建議完成之前到期的服務主體認證是由系統完成。

• 從清單中選取 [受影響的資源] 時，該建議目前不會顯示服務主體中的密碼祕密認證。

• [受影響的資源] 清單中顯示的 [ID] 是用於應用程式而非服務主體。

下一步

• 檢閱 Microsoft Entra 建議概觀
• 瞭解如何使用 Microsoft Entra 建議
• 探索 Microsoft Graph API 屬性以取得建議
• 了解保護服務主體