Recomendación de Microsoft Entra: Renovar las credenciales de entidad de servicio por expirar (versión preliminar)
Las Recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.
En este artículo se describe la recomendación de renovar las credenciales de entidad de servicio que expiran. Esta recomendación se llama servicePrincipalKeyExpiry
en la API de recomendaciones de Microsoft Graph.
Requisitos previos
Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.
Rol de Microsoft Entra | Tipo de acceso |
---|---|
Lector de informes | Solo lectura |
Lector de seguridad | Solo lectura |
Lector global | Solo lectura |
Administrador de directivas de autenticación | Actualización y lectura |
Administrador de Exchange | Actualización y lectura |
Administrador de seguridad | Actualización y lectura |
DirectoryRecommendations.Read.All |
Solo lectura en Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Actualización y lectura en Microsoft Graph |
Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte Requisitos de disponibilidad y licencia para recomendaciones.
Descripción
Las credenciales de entidad de servicio incluyen certificados y secretos de cliente agregados a una entidad de servicio. Las credenciales se usan para demostrar la identidad de esa entidad de servicio. Si las credenciales expiran, la entidad de servicio no se puede autenticar, lo que puede provocar tiempo de inactividad para el escenario empresarial. Esta recomendación se muestra si el inquilino tiene entidades de servicio con credenciales que expirarán pronto.
Una credencial de entidad de servicio expira si:
- Está en una entidad de servicio Y expira en los próximos 30 días.
Las credenciales siguientes están exentas de esta recomendación:
- Credenciales que se identificaron como expiración, pero que se han quitado del registro de la aplicación.
- Las credenciales cuya fecha de expiración ha expirado se muestran como completadas en la lista de recursos afectados.
Valor
La renovación de las credenciales de una entidad de servicio antes de su fecha de expiración es fundamental para mantener operaciones ininterrumpidas y minimizar el riesgo de cualquier tiempo de inactividad resultante de credenciales obsoletas.
Plan de acción
Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Información general.
Seleccione la pestaña Recomendaciones y seleccione la recomendación Renovar credenciales de entidad de servicio caducadas.
Seleccione Más detalles en la columna Acciones .
En el panel que se abre, seleccione Actualizar credencial para ir directamente al área Inicio de sesión único del registro de la aplicación.
- Como alternativa, vaya a Identidad>Aplicaciones>Registros de aplicaciones y busque la aplicación para la que se debe rotar la credencial.
- Vaya a la sección Inicio de sesión único del registro de la aplicación.
Edite la sección Certificado de firma de SAML y siga las indicaciones para agregar un nuevo certificado.
Una vez agregado correctamente el certificado o el secreto, actualice la configuración del certificado de firma de SAML para que el nuevo certificado esté activo.
Compruebe que la aplicación funciona según lo previsto y, a continuación, quite el certificado SAML inactivo de la colección de certificados SAML.
Nota:
Si no tiene ninguna credencial de SAML configurada, pero recibió esta recomendación, use el punto de conexión ServicePrincipalAPI de Microsoft Graph para comprobar las propiedades keyCredentials
y passwordCredentials
del objeto de entidad de servicio. Busque y gire la credencial.
Se recomienda encarecidamente cambiar el servicio para que funcione con la credencial definida en el objeto de aplicación de respaldo en lugar de la entidad de servicio.