Doporučení Microsoft Entra: Prodloužení platnosti přihlašovacích údajů instančního objektu (Preview)

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k prodloužení platnosti přihlašovacích údajů instančního objektu. Toto doporučení se volá servicePrincipalKeyExpiry v rozhraní API pro doporučení v Microsoft Graphu.

Požadavky

Pro zobrazení nebo aktualizaci doporučení existují různé požadavky na roli. Pro typ potřebného přístupu použijte nejméně privilegovanou roli. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Role Microsoft Entra	Typ přístupu
Čtenář sestav	Jen pro čtení
Čtenář zabezpečení	Jen pro čtení
Globální čtenář	Jen pro čtení
Správce zásad ověřování	Aktualizace a čtení
Správce Exchange	Aktualizace a čtení
Správce zabezpečení	Aktualizace a čtení
DirectoryRecommendations.Read.All	Jen pro čtení v Microsoft Graphu
DirectoryRecommendations.ReadWrite.All	Aktualizace a čtení v Microsoft Graphu

Některá doporučení můžou vyžadovat licenci P2 nebo jinou. Další informace najdete v tabulce přehledu Doporučení.

Popis

Přihlašovací údaje instančního objektu zahrnují certifikáty a tajné kódy klienta přidané do instančního objektu. Přihlašovací údaje slouží k prokázání identity tohoto instančního objektu. Pokud vyprší platnost přihlašovacích údajů, instanční objekt se nemůže ověřit, což může způsobit výpadky pro váš obchodní scénář. Toto doporučení se zobrazí, pokud má váš tenant instanční objekty s přihlašovacími údaji, jejichž platnost brzy vyprší.

Platnost přihlašovacích údajů instančního objektu vyprší, pokud:

• Platnost instančního objektu vyprší do 30 dnů.

Z tohoto doporučení jsou vyloučeny následující přihlašovací údaje:

• Přihlašovací údaje, které byly identifikovány jako vypršení platnosti, ale od té doby byly odebrány z registrace aplikace.
• Přihlašovací údaje, jejichž datum vypršení platnosti vypršelo, se v seznamu ovlivněných prostředků zobrazuje jako dokončené.

Hodnota

Obnovení přihlašovacích údajů instančního objektu před datem vypršení platnosti je zásadní pro zachování nepřerušovaných operací a minimalizaci rizika jakýchkoli výpadků způsobených zastaralými přihlašovacími údaji.

Akční plán:

Toto doporučení je k dispozici v Centru pro správu Microsoft Entra a pomocí rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na Přehled identity>.

3. Vyberte kartu Doporučení a vyberte doporučení obnovit platnost přihlašovacích údajů instančního objektu.

4. Ve sloupci Akce vyberte Další podrobnosti.

5. Na panelu, který se otevře, vyberte Aktualizovat přihlašovací údaje a přejděte přímo do oblasti jednotného přihlašování registrace aplikace.

   1. Případně přejděte do části Aplikace>Registrace aplikací a vyhledejte aplikaci, pro kterou je potřeba přihlašovací údaje otočit.

   

   1. Přejděte do části Jednotné přihlašování registrace aplikace.

6. Upravte oddíl podpisového certifikátu SAML a podle pokynů přidejte nový certifikát.

   

7. Po úspěšném přidání certifikátu nebo tajného kódu aktualizujte konfiguraci podpisového certifikátu SAML, aby byl nový certifikát aktivní.

8. Ověřte, že aplikace funguje podle očekávání, a pak odeberte neaktivní certifikát SAML z kolekce certifikátů SAML.

Poznámka:

Pokud nemáte nakonfigurované žádné přihlašovací údaje SAML, ale obdrželi jste toto doporučení, zkontrolujte a vlastnosti instančního objektu pomocí koncového bodu Microsoft Graph ServicePrincipalAPI.keyCredentialspasswordCredentials Vyhledejte a otočte přihlašovací údaje.

Důrazně doporučujeme změnit službu tak, aby fungovala s přihlašovacími údaji definovanými v backing aplikačním objektu místo instančního objektu.

Microsoft Graph API

Následující požadavky je možné použít k načtení doporučení a ovlivněných prostředků pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All oprávnění. Další informace najdete v tématu Jak používat doporučení identit.

Při obnovování přihlašovacích údajů instančního objektu pomocí Microsoft Graphu musíte spustit dotaz, abyste získali přihlašovací údaje pro heslo instančního objektu, přidali nové přihlašovací údaje hesla a potom odebrali staré přihlašovací údaje.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

Načtení všech doporučení pro vašeho tenanta:

GET https://graph.microsoft.com/beta/directory/recommendations

V odpovědi vyhledejte ID doporučení, které odpovídá následujícímu vzoru: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Identifikace ovlivněných prostředků:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Pokud chcete filtrovat seznam prostředků na základě jejich stavu, například pouze prostředky, které jsou označené jako active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Poznamenejte AppIdsi , CredentialIda původ přihlašovacích údajů, které chcete odebrat.
• Pomocí těchto rozhraní Microsoft Graph API přidejte nové heslo nebo přihlašovací údaje klíče:
  • addPassword
  • addKey
• Pomocí těchto rozhraní Microsoft Graph API odeberte staré přihlašovací údaje:
  • removePassword
  • removeKey

Ukázková odpověď

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Související obsah

• Přehled doporučení Microsoft Entra
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení
• Informace o zabezpečení instančních objektů