Raccomandazione di Microsoft Entra: Rinnovare le credenziali dell'applicazione in scadenza (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di rinnovare le credenziali dell'applicazione in scadenza. Questo consiglio viene chiamato applicationCredentialExpiry nell'API consigli in Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Lettore di report	Sola lettura
Lettore di Sicurezza	Sola lettura
Lettore Globale	Sola lettura
Amministratore dei criteri di autenticazione	Aggiornare e leggere
Amministratore di Exchange	Aggiornamento e lettura
Amministratore della sicurezza	Aggiornamento e lettura
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere la tabella di panoramica delle raccomandazioni .

Descrizione

Le credenziali dell'applicazione possono includere certificati e altri tipi di segreti che devono essere registrati con tale applicazione. Queste credenziali vengono usate per dimostrare l'identità dell'applicazione.

Questa raccomandazione viene visualizzata se il tenant dispone di credenziali dell'applicazione che scadranno presto.

Una credenziale dell'applicazione scade se:

• È in fase di registrazione dell'applicazione e scade entro i 30 giorni successivi.

Le credenziali seguenti sono escluse da questa raccomandazione:

• Credenziali identificate come in scadenza, ma che sono state rimosse dalla registrazione dell'app
• Le credenziali la cui data di scadenza è scaduta vengono visualizzate come completate nell'elenco delle risorse interessate.

Valore

Il rinnovo delle credenziali di un'applicazione prima della data di scadenza è fondamentale per mantenere operazioni ininterrotte e ridurre al minimo il rischio di tempi di inattività derivanti da credenziali obsolete.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare la raccomandazione Rinnova le credenziali dell'applicazione in scadenza.

4. Prendere nota dei dettagli seguenti nella tabella Risorse interessate .

   • Nella colonna Risorsa viene visualizzato il nome dell'applicazione

   • La colonna ID visualizza l'ID applicazione

     

5. Selezionare Altri dettagli nella colonna Azioni .

6. Nel pannello visualizzato selezionare Aggiorna credenziali per passare direttamente all'area Certificati e segreti della registrazione dell'app per rinnovare le credenziali in scadenza.

   1. In alternativa, passare a Identità>Applicazioni>Registrazione applicazioni e individuare l'applicazione per cui devono essere ruotate le credenziali.

   

   1. Passare alla sezione Certificati e segreti della registrazione dell'app.

7. Seleziona il tipo di credenziale che desideri ruotare e passa alla scheda Certificati o Segreto Client e segui le istruzioni.

   

8. Dopo aver aggiunto correttamente il certificato o il segreto, aggiornare il codice del servizio per assicurarsi che funzioni con le nuove credenziali e non influisca negativamente sui clienti.

9. Usare i log di accesso di Microsoft Entra per verificare che l'ID chiave della credenziale corrisponda a quello aggiunto di recente.

10. Dopo aver convalidato le nuove credenziali, tornare a Registrazioni app>Certificati e segreti per l'app e rimuovere le credenziali precedenti.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per ulteriori informazioni, vedere Come utilizzare i consigli sull'identità.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Per recuperare tutti i suggerimenti del tuo tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Per filtrare le risorse in base al relativo stato (ad esempio, risorse attive ):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Prendere nota di AppId, CredentialIde Origin delle credenziali da rimuovere. Per rimuovere le credenziali, usare le indicazioni seguenti per Microsoft Graph:

• addPassword
• aggiungiChiave
• removePassword
• removeKey

Risposta di esempio

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli
• Informazioni sugli oggetti app e sugli oggetti principali del servizio in Microsoft Entra ID