Recomendación de Microsoft Entra: renovar las credenciales de aplicación próximas a caducar (vista previa)

Las recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.

Este artículo describe la recomendación de renovar las credenciales de aplicación próximas a caducar. Esta recomendación se llama applicationCredentialExpiry en la API de recomendaciones de Microsoft Graph.

Requisitos previos

Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Rol de Microsoft Entra	Tipo de acceso
Lector de informes	Solo lectura
Lector de seguridad	Solo lectura
Lector global	Solo lectura
Administrador de directivas de autenticación	Actualización y lectura
Administrador de Exchange	Actualización y lectura
Administrador de seguridad	Actualización y lectura
DirectoryRecommendations.Read.All	Solo lectura en Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Actualización y lectura en Microsoft Graph

Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte Requisitos de disponibilidad y licencia para recomendaciones.

Descripción

Las credenciales de aplicación pueden incluir certificados y otros tipos de secretos que deben registrarse en esa aplicación. Estas credenciales se usan para demostrar la identidad de la aplicación.

Esta recomendación se muestra si el inquilino tiene credenciales de aplicación que expirarán pronto.

Una credencial de aplicación expira si:

• Está en un registro de aplicación Y expira en los próximos 30 días.

Las credenciales siguientes están exentas de esta recomendación:

• Credenciales identificadas como expiración, pero que se han quitado del registro de la aplicación
• Las credenciales cuya fecha de expiración ha expirado se muestran como completadas en la lista de recursos afectados.

Valor

La renovación de las credenciales de una aplicación antes de su fecha de expiración es fundamental para mantener operaciones ininterrumpidas y minimizar el riesgo de cualquier tiempo de inactividad resultante de credenciales obsoletas.

Plan de acción

Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API.

Centro de administración de Microsoft Entra

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>Información general.

3. Seleccione la pestaña Recomendaciones y seleccione la recomendación Renovar credenciales de aplicación que expiran.

4. Tome nota de los detalles siguientes de la tabla Recursos afectados.

   • La columna Recurso muestra el nombre de la aplicación.

   • La columna Id. muestra el identificador de aplicación.

     

5. Seleccione Más detalles en la columna Acciones .

6. En el panel que se abre, seleccione Actualizar credencial para ir directamente al área Certificados y secretos del registro de la aplicación para renovar la credencial de expiración.

   1. Como alternativa, vaya a Aplicaciones> de identidad>Registros de aplicaciones y busque la aplicación para la que se debe rotar la credencial.

   

   1. Vaya a la sección Certificados y secretos del registro de la aplicación.

7. Seleccione el tipo de credencial que desea rotar y vaya a la pestaña Certificados o Secreto de cliente y siga las instrucciones.

   

8. Después de agregar correctamente el certificado o el secreto, actualice el código de servicio para asegurarse de que funcione con la nueva credencial y que no afecte a los clientes de forma negativa.

9. Use los registros de inicio de sesión de Microsoft Entra para validar que el id. clave de la credencial coincida con el que se ha agregado recientemente.

10. Después de validar la nueva credencial, vuelva a Registros de aplicaciones>Certificados y secretos de la aplicación y quite la credencial antigua.

API de Microsoft Graph

Las siguientes solicitudes se pueden usar para recuperar la recomendación y los recursos afectados mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los DirectoryRecommendations.Read.All permisos y DirectoryRecommendations.ReadWrite.All . Para obtener más información, vea Cómo usar recomendaciones de identidad.

1. Inicie sesión en Probador de Graph.
2. Seleccione GET como método HTTP en el menú desplegable.

Para recuperar todas las recomendaciones del inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

En la respuesta, busque el identificador de la recomendación que coincida con el siguiente patrón: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Para identificar los recursos afectados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Para filtrar los recursos en función de su estado (por ejemplo, recursos activos ):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Anote los AppIdvalores , CredentialIdy Origin de la credencial que desea quitar. Para quitar la credencial, use las siguientes instrucciones de Microsoft Graph:

• addPassword
• addKey
• removePassword
• removeKey

Respuesta de muestra

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Contenido relacionado

• Revisión de la introducción a las recomendaciones de Microsoft Entra
• Aprender a usar las recomendaciones de Microsoft Entra
• Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones
• Más información sobre los objetos principales de aplicación y de entidad de servicio en Microsoft Entra ID