Doporučení Microsoft Entra: Prodloužení platnosti přihlašovacích údajů aplikace (Preview)

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k prodloužení platnosti přihlašovacích údajů aplikace. Toto doporučení se volá applicationCredentialExpiry v rozhraní API pro doporučení v Microsoft Graphu.

Požadavky

Pro zobrazení nebo aktualizaci doporučení existují různé požadavky na roli. Pro typ potřebného přístupu použijte nejméně privilegovanou roli. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Role Microsoft Entra	Typ přístupu
Prohlížeč sestav	Jen pro čtení
Prohlížeč zabezpečení	Jen pro čtení
Globální čtenář	Jen pro čtení
Správce zásad ověřování	Aktualizace a čtení
Správce Exchange	Aktualizace a čtení
Správce zabezpečení	Aktualizace a čtení
DirectoryRecommendations.Read.All	Jen pro čtení v Microsoft Graphu
DirectoryRecommendations.ReadWrite.All	Aktualizace a čtení v Microsoft Graphu

Některá doporučení můžou vyžadovat licenci P2 nebo jinou. Další informace najdete v tabulce přehledu Doporučení .

Popis

Přihlašovací údaje aplikace můžou zahrnovat certifikáty a další typy tajných kódů, které je potřeba v této aplikaci zaregistrovat. Tyto přihlašovací údaje slouží k prokázání identity aplikace.

Toto doporučení se zobrazí, pokud má váš tenant přihlašovací údaje aplikace, jejichž platnost brzy vyprší.

Platnost přihlašovacích údajů aplikace vyprší, pokud:

• Je to v registraci aplikace A její platnost vyprší během následujících 30 dnů.

Z tohoto doporučení jsou vyloučeny následující přihlašovací údaje:

• Přihlašovací údaje, které byly identifikovány jako vypršení platnosti, ale od té doby byly odebrány z registrace aplikace
• Přihlašovací údaje, jejichž datum vypršení platnosti vypršelo, se v seznamu ovlivněných prostředků zobrazuje jako dokončené.

Hodnota

Prodloužení přihlašovacích údajů aplikace před datem vypršení platnosti je zásadní pro zachování nepřerušovaných operací a minimalizaci rizika jakýchkoli výpadků způsobených zastaralými přihlašovacími údaji.

Akční plán:

Toto doporučení je k dispozici v Centru pro správu Microsoft Entra a pomocí rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na Identity>Přehled.

3. Vyberte kartu Doporučení a vyberte doporučení prodloužit platnost přihlašovacích údajů aplikace.

4. Poznamenejte si následující podrobnosti z tabulky Ovlivněné prostředky .

   • Sloupec Prostředek zobrazuje název aplikace.

   • Ve sloupci ID se zobrazí ID aplikace.

     

5. Ve sloupci Akce vyberte Další podrobnosti.

6. Na panelu, který se otevře, vyberte Aktualizovat přihlašovací údaje a přejděte přímo do oblasti Certifikáty a tajné kódy registrace aplikace, abyste obnovili platnost přihlašovacích údajů, jejichž platnost vypršela.

   1. Případně přejděte do části Identity>Aplikace>Registrace aplikací a vyhledejte aplikaci, pro kterou je potřeba přihlašovací údaje zrotovat.

   

   1. Přejděte do části Certifikáty a tajné kódy registrace aplikace.

7. Vyberte typ přihlašovacích údajů, který chcete otočit, a přejděte na kartu Certifikáty nebo Tajný klíč klienta a postupujte podle pokynů.

   

8. Po úspěšném přidání certifikátu nebo tajného kódu aktualizujte kód služby, aby zajistil, že funguje s novými přihlašovacími údaji a nemá negativní vliv na zákazníky.

9. Pomocí protokolů přihlašování Microsoft Entra ověřte, že ID klíče přihlašovacích údajů odpovídá id klíče, které bylo nedávno přidáno.

10. Po ověření nových přihlašovacích údajů přejděte zpět na Registrace aplikací>Certifikáty a Tajnosti pro aplikaci a odeberte staré přihlašovací údaje.

Microsoft Graph API

Následující požadavky je možné použít k načtení doporučení a ovlivněných prostředků pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All. Další informace najdete v tématu Jak používat doporučení identit.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

Chcete-li načíst všechna doporučení pro vašeho klienta:

GET https://graph.microsoft.com/beta/directory/recommendations

V odpovědi vyhledejte ID doporučení, které odpovídá následujícímu vzoru: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Identifikace ovlivněných prostředků:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Filtrování prostředků na základě jejich stavu (například aktivní prostředky):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Poznamenejte si AppId, CredentialId a Origin přihlašovacích údajů, které chcete odebrat. Pokud chcete přihlašovací údaje odebrat, použijte následující doprovodné materiály k Microsoft Graphu:

• addPassword
• addKey
• removePassword
• odstranitKlíč

Ukázková odpověď

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Související obsah

• Přehled doporučení Microsoft Entra
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení
• Zjistěte více o objektech aplikací a objektech hlavní služby v Microsoft Entra ID