Microsoft Entra の推奨事項: 期限切れのアプリケーション資格情報を更新する (プレビュー)

Microsoft Entra の推奨事項は、パーソナライズされた分析情報と、推奨されるベスト プラクティスにテナントを整合させるために実行できるガイダンスを提供する機能です。

この記事では、期限切れのアプリケーション資格情報を更新するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で applicationCredentialExpiry と呼ばれます。

前提条件

推奨事項を表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。 ロールの完全な一覧については、「 タスク別の特権ロールを参照してください。

Microsoft Entra ロール	アクセスの種類
レポート閲覧者	読み取り専用
セキュリティ閲覧者	読み取り専用
グローバル閲覧者	読み取り専用
認証ポリシー管理者	更新と読み取り
Exchange 管理者	更新と読み取り
セキュリティ管理者	更新と読み取り
DirectoryRecommendations.Read.All	Microsoft Graph での読み取り専用
DirectoryRecommendations.ReadWrite.All	Microsoft Graph で更新と読み取りを行う

推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 推奨事項の可用性とライセンス要件」を参照してください。

説明

アプリケーション資格情報には、そのアプリケーションに登録する必要がある証明書やその他の型のシークレットを含めることができます。 これらの資格情報は、アプリケーションの ID を証明するために使用されます。

このレコメンデーションは、間もなく期限切れになるアプリケーション資格情報がテナントにある場合に表示されます。

次の場合、アプリケーション資格情報の有効期限が切れています。

• アプリケーションの登録中であり、今後 30 日以内に有効期限が切れています。

次の資格情報は、この推奨事項から除外されます。

• 有効期限が切れていると識別されたが、その後アプリの登録から削除された資格情報
• 有効期限が切れた資格情報は、影響を受けるリソースの一覧に完了と表示されます。

Value

有効期限前にアプリケーションの資格情報を更新することは、中断されない操作を維持し、古い資格情報によって生じるダウンタイムのリスクを最小限に抑えるために重要です。

行動計画

この推奨事項は、Microsoft Entra 管理センターと Microsoft Graph API を使用して使用できます。

Microsoft Entra 管理センター

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. ID>概要 を参照します。

3. [推奨事項] タブを選択し、期限切れのアプリケーション資格情報の更新に関する推奨事項を選択します。

4. 影響を受けるリソーステーブルの次の詳細を書き留めます。

   • [ リソース] 列にアプリケーション名が表示されます

   • ID 列にアプリケーション ID が表示されます

     

5. [アクション] 列から [詳細] を選択します。

6. 開いたパネルから [資格情報の更新] を選択し、アプリ登録の [証明書とシークレット] 領域に直接移動して、期限切れの資格情報を更新します。

   1. または、ID>アプリケーション>を参照しアプリの登録資格情報を交換する必要があるアプリケーションを見つけます。

   

   1. アプリ登録の [証明書とシークレット] セクションに移動します。

7. ローテーションする資格情報型型を選択し、[ 証明書] タブまたは [ クライアント シークレット ] タブに移動し、プロンプトに従います。

   

8. 証明書またはシークレットが正常に追加されたら、サービス コードを更新して、新しい資格情報で動作し、お客様に悪影響を与えないことを確認します。

9. Microsoft Entra サインイン情報ログを使用して、資格情報のキー ID が最近追加されたものと一致することを検証します。

10. 新しい資格情報を検証したら、アプリの [アプリの登録]>[証明書とシークレット] に戻り、古い資格情報を削除します。

Microsoft Graph API

次の要求を使用して、Microsoft Graph API を使用して推奨事項と影響を受けるリソースを取得できます。 Microsoft Graph API を使用するには、アクセス許可とDirectoryRecommendations.ReadWrite.Allアクセス許可がDirectoryRecommendations.Read.All必要です。 詳細については、「ID に関する推奨事項を使用する方法」を参照してください。

1. グラフ エクスプローラーにサインインします。
2. ドロップダウンから HTTP メソッドとして [GET] を選択します。

テナントのすべての推奨事項を取得するには:

GET https://graph.microsoft.com/beta/directory/recommendations

応答から、次のパターン {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiryに一致する推奨事項の ID を見つけます。

影響を受けるリソースを特定するには:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

状態 (アクティブなリソースなど) に基づいてリソースをフィルター処理するには:

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

削除するAppIdCredentialIdOrigin資格情報をメモしておきます。 資格情報を削除するには、次の Microsoft Graph ガイダンスを使用します。

• addPassword
• addKey
• removePassword
• removeKey

サンプル応答

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

関連するコンテンツ

• Microsoft Entraの推奨事項の概要を確認する
• Microsoft Entra の推奨事項を使用する方法について説明する
• 推奨事項用の Microsoft Graph API のプロパティを調べる
• Microsoft Entra ID のアプリとサービス プリンシパル オブジェクトについて確認する