Recomendación de Microsoft Entra: Renovar las credenciales de entidad de servicio por expirar (versión preliminar)

Las Recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.

En este artículo se describe la recomendación de renovar las credenciales de entidad de servicio que expiran. Esta recomendación se llama servicePrincipalKeyExpiry en la API de recomendaciones de Microsoft Graph.

Requisitos previos

Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Rol de Microsoft Entra	Tipo de acceso
Lector de informes	Solo lectura
Lector de seguridad	Solo lectura
Lector global	Solo lectura
Administrador de directivas de autenticación	Actualización y lectura
Administrador de Exchange	Actualización y lectura
Administrador de seguridad	Actualización y lectura
DirectoryRecommendations.Read.All	Solo lectura en Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Actualización y lectura en Microsoft Graph

Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte Requisitos de disponibilidad y licencia para recomendaciones.

Descripción

Las credenciales de entidad de servicio incluyen certificados y secretos de cliente agregados a una entidad de servicio. Las credenciales se usan para demostrar la identidad de esa entidad de servicio. Si las credenciales expiran, la entidad de servicio no se puede autenticar, lo que puede provocar tiempo de inactividad para el escenario empresarial. Esta recomendación se muestra si el inquilino tiene entidades de servicio con credenciales que expiran pronto.

Una credencial de entidad de servicio expira si:

• Está en una entidad de servicio Y expira en los próximos 30 días.

Las credenciales siguientes están exentas de esta recomendación:

• Credenciales que se identificaron como expiración, pero que se han quitado del registro de la aplicación.
• Las credenciales cuya fecha de expiración ha expirado se muestran como completadas en la lista de recursos afectados.

Valor

La renovación de las credenciales de una entidad de servicio antes de su fecha de expiración es fundamental para mantener operaciones ininterrumpidas y minimizar el riesgo de cualquier tiempo de inactividad resultante de credenciales obsoletas.

Plan de acción

Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API.

Centro de administración de Microsoft Entra

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>Información general.

3. Seleccione la pestaña Recomendaciones y seleccione la recomendación Renovar credenciales de entidad de servicio caducadas.

4. Seleccione Más detalles en la columna Acciones .

5. En el panel que se abre, seleccione Actualizar credencial para ir directamente al área Inicio de sesión único del registro de la aplicación.

   1. Como alternativa, vaya a Aplicaciones> de identidad>Registros de aplicaciones y busque la aplicación para la que se debe rotar la credencial.

   

   1. Vaya a la sección Inicio de sesión único del registro de la aplicación.

6. Edite la sección Certificado de firma de SAML y siga las indicaciones para agregar un nuevo certificado.

   

7. Una vez agregado correctamente el certificado o el secreto, actualice la configuración del certificado de firma de SAML para que el nuevo certificado esté activo.

8. Compruebe que la aplicación funciona según lo previsto y, a continuación, quite el certificado SAML inactivo de la colección de certificados SAML.

Nota:

Si no tiene ninguna credencial de SAML configurada, pero recibió esta recomendación, use el punto de conexión servicePrincipalAPI de Microsoft Graph para comprobar las keyCredentials propiedades y passwordCredentials del objeto de entidad de servicio. Busque y gire la credencial.

Se recomienda encarecidamente cambiar el servicio para que funcione con la credencial definida en el objeto de aplicación de respaldo en lugar de la entidad de servicio.

API de Microsoft Graph

Las siguientes solicitudes se pueden usar para recuperar la recomendación y los recursos afectados mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los DirectoryRecommendations.Read.All permisos y DirectoryRecommendations.ReadWrite.All . Para obtener más información, vea Cómo usar recomendaciones de identidad.

Al renovar las credenciales de la entidad de servicio mediante Microsoft Graph, debe ejecutar una consulta para obtener las credenciales de contraseña en una entidad de servicio, agregar una nueva credencial de contraseña y, a continuación, quitar las credenciales antiguas.

1. Inicie sesión en Probador de Graph.
2. Seleccione GET como método HTTP en el menú desplegable.

Para recuperar todas las recomendaciones del inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

En la respuesta, busque el identificador de la recomendación que coincida con el siguiente patrón: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Para identificar los recursos afectados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Para filtrar la lista de recursos en función de su estado, por ejemplo, solo los recursos marcados como active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Tome nota de , AppIdCredentialIdy el origen de la credencial que desea quitar.
• Use estas API de Microsoft Graph para agregar una nueva contraseña o credencial de clave:
  • addPassword
  • addKey
• Use estas API de Microsoft Graph para quitar la credencial antigua:
  • removePassword
  • removeKey

Respuesta de muestra

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Contenido relacionado

• Revisión de la introducción a las recomendaciones de Microsoft Entra
• Aprender a usar las recomendaciones de Microsoft Entra
• Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones
• Obtenga información sobre la protección de entidades de servicio