Azure Web App 在添加新的秘密版本时失去对 keyvault 秘密的权限

我的 .NET6 网络应用程序在其配置中使用密钥库秘密引用。 引用设置如下：

@Microsoft.KeyVault(SecretUri=https://myapp.vault.azure.net/secrets/My--Secret)

应用程序正在使用发布管道部署。部署还允许应用程序使用应用程序的 AD 身份访问密钥库（目前使用旧版 RM）：

$servicePrincipalId = $(Get-AzureRmADServicePrincipal -DisplayName $servicePrincipalName).Id

Set-AzureRmKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $servicePrincipalId

应用程序部署后一切正常。它也可以在没有问题的情况下重新启动。

但是，当我将新版本添加到引用的机密并重新启动 Web 应用程序时，它会显示该特定密钥的访问错误：

Key Vault reference was not able to be resolved because site was denied access to Key Vault reference's vault.

我尝试了很多东西：

• 重启应用程序几次 - 没有帮助
• 重新运行 Powershell 脚本 - 没有帮助
• 从 keyvault 访问策略中手动删除应用程序，重新启动（确定 - 所有引用显示红色），手动将应用程序添加回 keyvault 访问策略 - 所有引用再次变为绿色，除了我修改的那个
• 重新部署应用程序的文件 - 没有帮助
• 通过 Azure 资源组部署任务重新部署应用程序 - 它有效！

总而言之，为应用程序授予修改后的 keyvault 机密权限的唯一方法是重新部署应用程序。

我可以使用同一应用程序的两个实例在两个 Azure 订阅中可靠地重现该问题。

这是设计使然的正常行为还是我的应用程序以某种奇怪的方式损坏？授予应用程序所有秘密版本（包括未来版本）权限的可靠程序应该是什么？