我在尝试使用“用户分配的托管身份”时遇到了这个问题。App Services似乎会自动将“系统管理身份”用于密钥库引用，即使没有配置。
但是，您可以通过设置“keyVaultReferenceIdentity”来告诉Azure使用特定的托管身份，如此处所述：

• https://learn.microsoft.com/en-us/azure/app-service/app-service-key-vault-references?tabs=azure-cli#access-vaults-with-a-user-assigned-identity

userAssignedIdentityResourceId=$(az identity show -g MyResourceGroupName -n MyUserAssignedIdentityName --query id -o tsv)
appResourceId=$(az webapp show -g MyResourceGroupName -n MyAppName --query id -o tsv)
az rest --method PATCH --uri "${appResourceId}?api-version=2021-01-01" --body "{'properties':{'keyVaultReferenceIdentity':'${userAssignedIdentityResourceId}'}}"

一旦我更新了这个，蓝色图标变成了那个神奇的绿色复选框！;-）

绿色表示它能够执行身份验证/检索密钥。
红色表示有问题。（例如，它可以是网络安全规则）
没有标记，可能没有使用密钥库引用

蓝色圆圈表示“此时门户无法确认您的密钥库引用的状态。请通过检查环境变量是否已解析，直接从应用程序确认状态”。
单击显示蓝色圆圈的环境变量的名称。从那里单击“单击此处访问应用程序”。在打开的页面中，您可以通过单击“应用程序设置”来验证您的密钥库访问是否有效。