Recommandation Microsoft Entra : renouveler les informations d’identification du principal de service qui arrivent à expiration (préversion)
Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.
Cet article décrit la recommandation concernant le renouvellement des informations d’identification du principal de service qui arrivent à expiration. Cette recommandation est appelée servicePrincipalKeyExpiry
dans l’API recommandations de Microsoft Graph.
Prérequis
Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.
Rôle Microsoft Entra | Type d’accès |
---|---|
Lecteur de rapports | Lecture seule |
Lecteur Sécurité | Lecture seule |
Lecteur général | Lecture seule |
Administrateur de la stratégie d’authentification | Mettre à jour et lire |
Administrateur Exchange | Mettre à jour et lire |
Security Administrator | Mettre à jour et lire |
DirectoryRecommendations.Read.All |
Lecture seule dans Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Mettre à jour et lire dans Microsoft Graph |
Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.
Description
Les informations d’identification du principal de service incluent les certificats et les secrets clients ajoutés à un principal de service. Les informations d’identification sont utilisées pour prouver l’identité de ce principal de service. Si les informations d’identification expirent, le principal de service ne peut pas s’authentifier, ce qui peut entraîner un temps d’arrêt pour votre scénario métier. Cette recommandation s’affiche si votre locataire a des principaux de service avec des informations d’identification qui arrivent bientôt à expiration.
Les informations d’identification d’un principal de service expirent si :
- Il est sur un principal de service ET expire dans les 30 prochains jours.
Les informations d’identification suivantes sont exemptées de cette recommandation :
- Informations d’identification identifiées comme arrivant à expiration, mais qui ont depuis été supprimées de l’inscription d’application.
- Les informations d’identification dont la date d’expiration est caduque s’affichent comme terminées dans la liste des Ressources impactées.
Valeur
La vérification des informations d’identification d’un principal de service avant leur date d’expiration est cruciale pour un maintien ininterrompu des opérations et une minimisation du risque de temps d’arrêt résultant d’informations d’identification obsolètes.
Plan d’action
Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph.
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Vue d’ensemble.
Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Renouveler les informations d’identification du principal de service arrivant à expiration.
Sélectionnez Détails supplémentaires de la colonne Actions.
Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone d’authentification unique de l’inscription de l’application.
- Vous pouvez également accédez àIdentité>Applications>Inscriptions d’applications et recherchez l’application dont les informations d’identification doivent faire l’objet d’une rotation.
- Accédez à la section Authentification unique de l’inscription de l’application.
Modifiez la section Certificat de signature SAML et suivez les invites pour ajouter un nouveau certificat.
Une fois le certificat ou le secret ajouté, mettez à jour la configuration du certificat de signature SAML pour activer le nouveau certificat.
Vérifiez que l’application fonctionne comme prévu, puis supprimez le certificat SAML inactif de la collection de certificats SAML.
Remarque
Si vous n’avez pas configuré d’informations d’identification SAML, mais que vous avez reçu cette recommandation, utilisez le point de terminaison Microsoft Graph ServicePrincipalAPI pour vérifier les propriétés keyCredentials
et passwordCredentials
de l’objet principal de service. Recherchez et faites pivoter les informations d’identification.
Nous vous recommandons vivement de modifier votre service afin qu’il fonctionne avec les informations d’identification définies sur l’objet d’application de stockage au lieu du principal de service.