Microsoft Entra の推奨事項: 期限切れのアプリケーション資格情報を更新する (プレビュー)
Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。
この記事では、期限切れのアプリケーション資格情報を更新するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で applicationCredentialExpiry
と呼ばれます。
前提条件
推奨事項を表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。 ロールの完全な一覧については、「 タスク別の特権ロールを参照してください。
Microsoft Entra ロール | アクセスの種類 |
---|---|
レポート閲覧者 | 読み取り専用 |
セキュリティ閲覧者 | 読み取り専用 |
グローバル閲覧者 | 読み取り専用 |
認証ポリシー管理者 | 更新と読み取り |
Exchange 管理者 | 更新と読み取り |
セキュリティ管理者 | 更新と読み取り |
DirectoryRecommendations.Read.All |
Microsoft Graph での読み取り専用 |
DirectoryRecommendations.ReadWrite.All |
Microsoft Graph で更新と読み取りを行う |
推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 推奨事項の可用性とライセンス要件」を参照してください。
説明
アプリケーション資格情報には、そのアプリケーションに登録する必要がある証明書やその他の型のシークレットを含めることができます。 これらの資格情報は、アプリケーションの ID を証明するために使用されます。
このレコメンデーションは、間もなく期限切れになるアプリケーション資格情報がテナントにある場合に表示されます。
次のような場合は、アプリケーションの資格情報の有効期限が切れかけています。
- アプリケーションの登録が行われており、今後 30 日以内に有効期限が切れるもの。
次の資格情報は推奨事項から除外されます。
- 有効期限が切れていることが確認され、その後アプリ登録から削除された資格情報
- 有効期限が切れた資格情報は、影響を受けるリソースのリストに完了と表示されます。
値
アプリケーションの資格情報を有効期限前に更新することは、中断のない操作を維持し、古い資格情報に起因するダウンタイムのリスクを最小限に抑えるために非常に重要です。
行動計画
この推奨事項は、Microsoft Entra 管理センター、または Microsoft Graph API で使用できます。
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
ID>概要 を参照します。
[推奨事項] タブを選択し、[期限切れ間近のアプリケーションの資格情報を更新する] 推奨事項を選択します。
[影響を受けたリソース] テーブルから、次の詳細をメモしておきます。
[アクション] 列から [詳細] を選択します。
開いたパネルから [資格情報の更新] を選択し、アプリ登録の [証明書とシークレット] 領域に直接移動して、有効期限が切れた資格情報を更新します。
- あるいは、[ID]>[アプリケーション]>[アプリの登録] を参照し、資格情報をローテーションする必要があるアプリケーションを見つけます。
- アプリ登録の [証明書とシークレット] セクションに移動します。
ローテーションする資格情報型型を選択し、[ 証明書] タブまたは [ クライアント シークレット ] タブに移動し、プロンプトに従います。
証明書またはシークレットが正常に追加されたら、サービス コードを更新して、新しい資格情報で動作し、お客様に悪影響を与えないことを確認します。
Microsoft Entra サインイン情報ログを使用して、資格情報のキー ID が最近追加されたものと一致することを検証します。
新しい資格情報を検証したら、アプリの [アプリの登録]>[証明書とシークレット] に戻り、古い資格情報を削除します。