Microsoft Entra-Empfehlung: Erneuern ablaufender Anwendungsanmeldeinformationen (Vorschau)

Microsoft Entra-Empfehlungen sind eine Funktion, die Ihnen personalisierte Einblicke und handlungsrelevante Anleitungen bietet, um Ihren Mandanten mit empfohlenen Best Practices in Einklang zu bringen.

In diesem Artikel wird die Empfehlung behandelt, ablaufende Anwendungsanmeldeinformationen zu erneuern. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung applicationCredentialExpiry genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle	Zugriffstyp
Meldet Reader	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Authentifizierungsadministrator Richtlinien	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Beschreibung

Anwendungsanmeldeinformationen können Zertifikate und andere Arten von Geheimnissen umfassen, die bei dieser Anwendung registriert sein müssen. Diese Anmeldeinformationen werden verwendet, um die Identität der Anwendung nachzuweisen.

Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Anwendungsanmeldeinformationen verfügt, die bald ablaufen.

Eine Anwendungsanmeldeinformation läuft aus, wenn:

• sie für die Anwendungsregistrierung verwendet wird UND innerhalb der nächsten 30 Tage abläuft.

Die folgenden Anmeldeinformationen sind von dieser Empfehlung ausgenommen:

• Anmeldeinformationen, die als ablaufend identifiziert wurden, aber seitdem aus der App-Registrierung entfernt wurden
• Anmeldeinformationen, deren Ablaufdatum überschritten ist, werden als abgeschlossen in der Liste Betroffene Ressourcen angezeigt.

Wert

Das Erneuern der Anmeldeinformationen einer Anwendung vor dem Ablaufdatum ist entscheidend für die Gewährleistung unterbrechungsfreier Vorgänge und die Minimierung des Risikos von Ausfallzeiten aufgrund veralteter Anmeldeinformationen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph-API verfügbar.

Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Übersicht.

3. Wählen Sie die Registerkarte Empfehlungen und dann die Empfehlung Erneuern auslaufender Anwendungsanmeldeinformationen aus.

4. Beachten Sie die folgenden Details der Tabelle Betroffene Ressourcen.

   • In der Spalte Ressource wird der Anwendungsname angezeigt

   • In der Spalte ID wird die Anwendungs-ID angezeigt

     

5. Wählen Sie Weitere Details in der Spalte Aktionen aus.

6. Wählen Sie im geöffneten Bereich Anmeldeinformationen aktualisieren aus, um direkt zum Bereich Zertifikate und Geheimnisse der App-Registrierung zu navigieren, um die ablaufenden Anmeldeinformationen zu erneuern.

   1. Navigieren Sie alternativ zu Identität>Anwendungen>App-Registrierungen und suchen Sie die Anwendung, für die die Anmeldeinformationen rotiert werden müssen.

   

   1. Navigieren Sie zum Abschnitt Zertifikate und Geheimnisse der App-Registrierung.

7. Wählen Sie den Anmeldeinformationstyp aus, den Sie rotieren möchten, und navigieren Sie entweder zur Registerkarte Zertifikate oder zur Registerkarte Geheimer Clientschlüssel, und folgen Sie den Eingabeaufforderungen.

   

8. Nachdem das Zertifikat oder das Geheimnis erfolgreich hinzugefügt wurde, aktualisieren Sie den Dienstcode, um sicherzustellen, dass er mit der neuen Anmeldeinformation funktioniert und sich nicht negativ auf Kunden auswirkt.

9. Verwenden Sie die Microsoft Entra-Anmeldeprotokolle, um zu überprüfen, ob die Schlüssel-ID der Anmeldeinformation mit der zuletzt hinzugefügten übereinstimmt.

10. Navigieren Sie nach dem Überprüfen der neuen Anmeldeinformationen zurück zu App-Registrierungen>Zertifikate und Geheimnisse für die App, und entfernen Sie die alte Anmeldeinformation.

Microsoft Graph-API

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

Gehen Sie folgendermaßen vor, um alle Empfehlungen für Ihren Mandanten abzurufen:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Die betroffenen Ressourcen können Sie folgendermaßen identifizieren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Gehen Sie folgendermaßen vor, um die Ressourcen anhand ihres Status (z. B. aktive Ressourcen) zu filtern:

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Notieren Sie sich die AppId, CredentialId und Origin der Anmeldeinformationen, die Sie entfernen möchten. Verwenden Sie zum Entfernen der Anmeldeinformationen den folgenden Leitfaden für Microsoft Graph:

• addPassword
• addKey
• removePassword
• removeKey

Beispiel für eine Antwort

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Zugehöriger Inhalt

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.
• Erfahren Sie mehr über App- und Dienstprinzipalobjekte in Microsoft Entra ID.