Microsoft Entra のレコメンデーション: 期限切れのサービスプリンシパル資格情報を更新する (プレビュー)

[アーティクル]
12/04/2024

Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベストプラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。

この記事では、期限切れのサービスプリンシパル資格情報を更新するためのレコメンデーションについて説明します。この推奨事項は、Microsoft Graph の推奨事項 API で servicePrincipalKeyExpiry と呼ばれます。

前提条件

推奨事項を表示または更新するためのさまざまなロール要件があります。必要なアクセスの型には、最小特権ロールを使用します。ロールの完全な一覧については、「タスク別の特権ロールを参照してください。

Microsoft Entra ロール	アクセスの種類
レポート閲覧者	読み取り専用
セキュリティ閲覧者	読み取り専用
グローバル閲覧者	読み取り専用
認証ポリシー管理者	更新と読み取り
Exchange 管理者	更新と読み取り
セキュリティ管理者	更新と読み取り
`DirectoryRecommendations.Read.All`	Microsoft Graph での読み取り専用
`DirectoryRecommendations.ReadWrite.All`	Microsoft Graph で更新と読み取りを行う

推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。詳細については、「推奨事項の可用性とライセンス要件」を参照してください。

説明

サービスプリンシパルの資格情報には、サービスプリンシパルに追加された証明書とクライアントシークレットが含まれます。資格情報は、そのサービスプリンシパルの ID を証明するために使用されます。資格情報の有効期限が切れると、サービスプリンシパルを認証できないため、ビジネスシナリオにダウンタイムが発生する可能性があります。このレコメンデーションは、間もなく期限切れになる資格情報を持つサービスプリンシパルがテナントにある場合に表示されます。

次の場合、サービスプリンシパルの資格情報が期限切れになります。

サービスプリンシパルに設定されていて、30 日以内に有効期限が切れます。

次の資格情報はこの推奨事項から除外されます。

有効期限が切れることが確認され、その後アプリケーションの登録から削除された資格情報。
有効期限が切れて、[影響を受けたリソース] のリストに [完了] と表示されている資格情報。

値

サービスプリンシパルの資格情報を有効期限前に更新することは、中断のない操作を維持し、古い資格情報によって生じるダウンタイムのリスクを最小限に抑えるために不可欠です。

行動計画

この推奨事項は、Microsoft Entra 管理センター、または Microsoft Graph API で使用できます。

Microsoft Entra 管理センター
Microsoft Graph API

セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
ID>概要を参照します。
[推奨事項] タブを選択し、[期限切れ間近のサービスプリンシパルの資格情報を更新する] 推奨事項を選択します。
[アクション] 列から [詳細] を選択します。
開いたパネルから [資格情報の更新] を選択し、アプリ登録の [シングルサインオン] 領域に直接移動します。
1. または、[ID]>[アプリケーション]>[アプリの登録] を参照し、資格情報をローテーションする必要があるアプリケーションを見つけます。
1. アプリ登録の [シングルサインオン] セクションに移動します。
[SAML 署名証明書] セクションを編集し、プロンプトに従って新しい証明書を追加します。
証明書またはシークレットが正常に追加されたら、SAML 署名証明書の構成を更新して、新しい証明書をアクティブにします。
アプリケーションが期待どおりに動作することを確認し、非アクティブな SAML 証明書を SAML 証明書コレクションから削除します。

Note

SAML 資格情報が構成されていない場合にこの推奨事項を受け取った場合は、Microsoft Graph の ServicePrincipalAPI エンドポイントを使用して、サービスプリンシパルオブジェクトの keyCredentials プロパティと passwordCredentials プロパティを確認します。資格情報を見つけてローテーションします。

サービスプリンシパルではなく、バッキングアプリケーションオブジェクトで定義されている資格情報で動作するようにサービスを変更することを強くお勧めします。

次の要求を使用すると、Microsoft Graph API で推奨事項と影響を受けるリソースを取得できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。詳細については、ID の推奨事項の使用方法に関する記事を参照してください。

Microsoft Graph を使用してサービスプリンシパルの資格情報を更新する場合は、クエリを実行してサービスプリンシパルのパスワード資格情報を取得し、新しいパスワード資格情報を追加してから、古い資格情報を削除する必要があります。

グラフエクスプローラーにサインインします
ドロップダウンから HTTP メソッドとして [GET] を選択します。

テナントのすべての推奨事項を取得するには:

GET https://graph.microsoft.com/beta/directory/recommendations

応答から、次のパターンに一致する推奨事項の ID を見つけます: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry。

影響を受けるリソースを特定するには:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

状態に基づいてリソースの一覧をフィルター処理するには (たとえば、active としてマークされているリソースのみ):

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

削除する資格情報の AppId、CredentialId、情報元をメモしておきます。
次の Microsoft Graph API を使用して、新しいパスワードまたはキー資格情報を追加します。
- addPassword
- addKey
古い資格情報を削除するには、次の Microsoft Graph API を使用します。
- removePassword
- removeKey

サンプル応答

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

次の方法で共有

Microsoft Entra のレコメンデーション: 期限切れのサービスプリンシパル資格情報を更新する (プレビュー)

前提条件

説明

値

行動計画

サンプル応答

フィードバック

その他のリソース

次の方法で共有

Microsoft Entra のレコメンデーション: 期限切れのサービス プリンシパル資格情報を更新する (プレビュー)

前提条件

説明

値

行動計画

関連するコンテンツ

フィードバック

その他のリソース

Microsoft Entra のレコメンデーション: 期限切れのサービスプリンシパル資格情報を更新する (プレビュー)