Zalecenie firmy Microsoft Entra: Odnawianie wygasających poświadczeń aplikacji (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące odnawiania wygasających poświadczeń aplikacji. To zalecenie jest wywoływane applicationCredentialExpiry w interfejsie API zaleceń w programie Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytelnik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizowanie i odczytywanie
Administrator programu Exchange	Aktualizowanie i odczytywanie
Administrator zabezpieczeń	Aktualizowanie i odczytywanie
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.

opis

Poświadczenia aplikacji mogą zawierać certyfikaty i inne typy wpisów tajnych, które muszą być zarejestrowane w tej aplikacji. Te poświadczenia są używane do potwierdzenia tożsamości aplikacji.

To zalecenie jest wyświetlane, jeśli dzierżawa ma poświadczenia aplikacji, które wkrótce wygasną.

Poświadczenie aplikacji wygasa, jeśli:

• Jest on w rejestracji aplikacji i wygasa w ciągu najbliższych 30 dni.

Następujące poświadczenia są wykluczone z tego zalecenia:

• Poświadczenia, które zostały zidentyfikowane jako wygasające, ale od tego czasu zostały usunięte z rejestracji aplikacji
• Poświadczenia, których data wygaśnięcia wygasła, są wyświetlane jako ukończone na liście zasobów, których dotyczy to.

Wartość

Odnawianie poświadczeń aplikacji przed datą wygaśnięcia ma kluczowe znaczenie dla utrzymania nieprzerwanych operacji i zminimalizowania ryzyka przestoju wynikającego z nieaktualnych poświadczeń.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do strony Przegląd tożsamości>.

3. Wybierz kartę Zalecenia i wybierz zalecenie Odnawianie wygasających poświadczeń aplikacji.

4. Zanotuj następujące szczegóły z tabeli Zasoby , których to dotyczy.

   • Kolumna Zasób wyświetla nazwę aplikacji

   • Kolumna ID wyświetla identyfikator aplikacji

     

5. Wybierz pozycję Więcej szczegółów w kolumnie Akcje .

6. W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru Certyfikaty i wpisy tajne rejestracji aplikacji, aby odnowić wygasające poświadczenia.

   1. Alternatywnie przejdź do sekcji Identity>Applications> Rejestracje aplikacji i znajdź aplikację, dla której należy obrócić poświadczenia.

   

   1. Przejdź do sekcji Certyfikaty i wpisy tajne rejestracji aplikacji.

7. Wybierz typ poświadczeń, który chcesz obrócić, i przejdź do karty Certyfikaty lub Klucz tajny klienta i postępuj zgodnie z monitami.

   

8. Po pomyślnym dodaniu certyfikatu lub wpisu tajnego zaktualizuj kod usługi, aby upewnić się, że działa z nowym poświadczeniu i nie ma negatywnego wpływu na klientów.

9. Użyj dzienników logowania entra firmy Microsoft, aby sprawdzić, czy identyfikator klucza poświadczeń jest zgodny z ostatnio dodanym.

10. Po zweryfikowaniu nowego poświadczenia wróć do Rejestracje aplikacji> Certificates i wpisy tajne dla aplikacji i usuń stare poświadczenia.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są DirectoryRecommendations.Read.All uprawnienia i DirectoryRecommendations.ReadWrite.All . Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Aby pobrać wszystkie zalecenia dotyczące dzierżawy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Zanotuj AppIdpoświadczenia , CredentialIdi Origin , które chcesz usunąć. Aby usunąć poświadczenia, skorzystaj z poniższych wskazówek dotyczących programu Microsoft Graph:

• addPassword
• addKey
• removePassword
• removeKey

Przykładowa odpowiedź

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Powiązana zawartość

• Zapoznaj się z omówieniem zaleceń firmy Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń
• Dowiedz się więcej o obiektach aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft