Microsoft Entra のレコメンデーション: 期限切れのサービス プリンシパル資格情報を更新する (プレビュー)
Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。
この記事では、期限切れのサービス プリンシパル資格情報を更新するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で servicePrincipalKeyExpiry
と呼ばれます。
説明
Microsoft Entra サービス プリンシパルは、単一のテナントまたはディレクトリ内のアプリケーション オブジェクトをローカルに表現したものです。 サービス プリンシパルは、誰がアプリケーションにアクセスできるかと、アプリケーションがどのリソースにアクセスできるかを定義するものです。 サービス プリンシパルの認証は、多くの場合、有効期間がある証明書資格情報を使用して完了します。 資格情報の有効期限が切れると、アプリケーションはテナントで認証できなくなります。
このレコメンデーションは、間もなく期限切れになる資格情報を持つサービス プリンシパルがテナントにある場合に表示されます。
Value
有効期限が切れる前にサービス プリンシパルの資格情報を更新すると、アプリケーションが引き続き機能し、資格情報の有効期限切れによるダウンタイムが発生する可能性が軽減されます。
行動計画
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
ID>概要 を参照します。
[推奨事項] タブを選択し、[期限切れ間近のサービス プリンシパルの資格情報を更新する] 推奨事項を選択します。
[影響を受けるリソース] の一覧からアプリケーションの名前を選択して、選択したアプリケーションの [Enterprise applications - Single sign-on] (エンタープライズ アプリケーション - シングル サインオン) ページに直接移動します。
a. または、[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。 サービス プリンシパルの状態が [証明書有効期限の状態] 列に表示されます。
b. 一覧の上部にある検索ボックスを使用して、レコメンデーションに一覧表示されたアプリケーションを見つけます。
c. ローテーションする必要がある資格情報を持つサービス プリンシパルを選択し、サイド メニューから [シングル サインオン] を選択します。
[SAML 署名証明書] セクションを編集し、プロンプトに従って新しい証明書を追加します。
証明書を追加した後、そのプロパティを変更して証明書をアクティブにし、これにより他の証明書が非アクティブになります。
証明書が正常に追加されてアクティブ化されたら、サービス コードを更新して、新しい資格情報で動作し、お客様に悪影響を与えないことを確認します。
Microsoft Entra サインイン ログを使用して、証明書のキー ID が最近アップロードされたものと一致することを検証します。
- [Microsoft Entra サインイン ログ]>[サービス プリンシパルのサインイン] の順に移動します。
- 関連するサインインの詳細を開き、クライアント資格情報の種類が "クライアント シークレット" であり、資格情報キー ID が資格情報と一致することを確認します。
新しい資格情報を検証した後、アプリの [シングル サインオン] エリアに戻り、古い資格情報を削除します。
Microsoft Graph を使用して期限切れのサービス プリンシパルの資格情報を更新する
Microsoft Graph を使用して、期限切れのサービス資格情報をプログラムで更新できます。 作業を開始するには、「Microsoft Entraの推奨事項で Microsoft Graph を使用する方法」を参照してください。
Microsoft Graph を使用してサービス プリンシパルの資格情報を更新する場合は、クエリを実行してサービス プリンシパルのパスワード資格情報を取得し、新しいパスワード資格情報を追加してから、古い資格情報を削除する必要があります。
Microsoft Graph で次のクエリを実行して、サービス プリンシパルのパスワード資格情報を取得します。
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
- {id} をサービス プリンシパル ID に置き換えます。
パスワード資格情報を追加します。
- Microsoft Graph サービス プリンシパル API サービス アクション
addPassword
を使用します - servicePrincipal: addPassword MS Graph API ドキュメント
- Microsoft Graph サービス プリンシパル API サービス アクション
古い/元の資格情報を削除します。
- Microsoft Graph サービス プリンシパル API サービス アクション
removePassword
を使用します - servicePrincipal: removePassword MS Graph API ドキュメント
- Microsoft Graph サービス プリンシパル API サービス アクション
既知の制限事項
このレコメンデーションでは、有効期限が迫っているサービス プリンシパルの資格情報を特定します。 有効期限が切れた場合、レコメンデーションでは、資格情報の有効期限がそれ自体で切れているか、ユーザーが対処したかは区別されません。
レコメンデーションが完了する前に有効期限が切れるサービス プリンシパルの資格情報は、システムによって完了されます。
現在、レコメンデーションでは、一覧から影響を受けたリソースを選択しても、サービス プリンシパルにパスワード シークレットの資格情報は表示されません。
影響を受けたリソースの一覧に表示される ID は、サービス プリンシパルではなくアプリケーション用です。