Zalecenie firmy Microsoft Entra: Odnawianie wygasających poświadczeń jednostki usługi (wersja zapoznawcza)
Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.
W tym artykule opisano zalecenie dotyczące odnawiania wygasających poświadczeń jednostki usługi. To zalecenie jest wywoływane servicePrincipalKeyExpiry
w interfejsie API zaleceń w programie Microsoft Graph.
Wymagania wstępne
Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.
Rola Microsoft Entra | Typ dostępu |
---|---|
Czytelnik raportów | Tylko do odczytu |
Czytelnik zabezpieczeń | Tylko do odczytu |
Czytelnik globalny | Tylko do odczytu |
Administrator zasad uwierzytelniania | Aktualizowanie i odczytywanie |
Administrator programu Exchange | Aktualizowanie i odczytywanie |
Administrator zabezpieczeń | Aktualizowanie i odczytywanie |
DirectoryRecommendations.Read.All |
Tylko do odczytu w programie Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Aktualizowanie i odczytywanie w programie Microsoft Graph |
Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.
opis
Poświadczenia jednostki usługi obejmują certyfikaty i wpisy tajne klienta dodane do jednostki usługi. Poświadczenia są używane do potwierdzenia tożsamości tej jednostki usługi. Jeśli poświadczenia wygasną, jednostka usługi nie może się uwierzytelnić, co może spowodować przestój w scenariuszu biznesowym. To zalecenie jest wyświetlane, jeśli dzierżawa ma jednostki usługi z poświadczeniami, które wkrótce wygasają.
Poświadczenie jednostki usługi wygasa, jeśli:
- Jest on w jednostce usługi i wygasa w ciągu najbliższych 30 dni.
Następujące poświadczenia są wykluczone z tego zalecenia:
- Poświadczenia, które zostały zidentyfikowane jako wygasające, ale od tego czasu zostały usunięte z rejestracji aplikacji.
- Poświadczenia, których data wygaśnięcia wygasła, są wyświetlane jako ukończone na liście zasobów, których dotyczy to.
Wartość
Odnawianie poświadczeń jednostki usługi przed datą wygaśnięcia ma kluczowe znaczenie dla utrzymania nieprzerwanych operacji i zminimalizowania ryzyka przestoju wynikającego z nieaktualnych poświadczeń.
Plan działania
To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do strony Przegląd tożsamości>.
Wybierz kartę Zalecenia i wybierz zalecenie Odnawianie wygasających poświadczeń jednostki usługi.
Wybierz pozycję Więcej szczegółów w kolumnie Akcje .
W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru logowanie jednokrotne rejestracji aplikacji.
- Alternatywnie przejdź do sekcji Identity>Applications> Rejestracje aplikacji i znajdź aplikację, dla której należy obrócić poświadczenia.
- Przejdź do sekcji Logowanie jednokrotne rejestracji aplikacji.
Edytuj sekcję Certyfikat podpisywania SAML i postępuj zgodnie z monitami, aby dodać nowy certyfikat.
Po pomyślnym dodaniu certyfikatu lub wpisu tajnego zaktualizuj konfigurację certyfikatu podpisywania SAML, aby nowy certyfikat był aktywny.
Sprawdź, czy aplikacja działa zgodnie z oczekiwaniami, a następnie usuń nieaktywny certyfikat SAML z kolekcji certyfikatów SAML.
Uwaga
Jeśli nie masz żadnych poświadczeń SAML skonfigurowanych, ale otrzymano to zalecenie, użyj punktu końcowego ServicePrincipalAPI programu Microsoft Graph, aby sprawdzić keyCredentials
właściwości i passwordCredentials
obiektu jednostki usługi. Zlokalizuj i obróć poświadczenia.
Zdecydowanie zalecamy zmianę usługi tak, aby działała z poświadczeniami zdefiniowanymi w obiekcie aplikacji zapasowej zamiast jednostki usługi.