Udostępnij za pośrednictwem


Zalecenie firmy Microsoft Entra: Odnawianie wygasających poświadczeń jednostki usługi (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące odnawiania wygasających poświadczeń jednostki usługi. To zalecenie jest wywoływane servicePrincipalKeyExpiry w interfejsie API zaleceń w programie Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra Typ dostępu
Czytelnik raportów Tylko do odczytu
Czytelnik zabezpieczeń Tylko do odczytu
Czytelnik globalny Tylko do odczytu
Administrator zasad uwierzytelniania Aktualizowanie i odczytywanie
Administrator programu Exchange Aktualizowanie i odczytywanie
Administrator zabezpieczeń Aktualizowanie i odczytywanie
DirectoryRecommendations.Read.All Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.

opis

Poświadczenia jednostki usługi obejmują certyfikaty i wpisy tajne klienta dodane do jednostki usługi. Poświadczenia są używane do potwierdzenia tożsamości tej jednostki usługi. Jeśli poświadczenia wygasną, jednostka usługi nie może się uwierzytelnić, co może spowodować przestój w scenariuszu biznesowym. To zalecenie jest wyświetlane, jeśli dzierżawa ma jednostki usługi z poświadczeniami, które wkrótce wygasają.

Poświadczenie jednostki usługi wygasa, jeśli:

  • Jest on w jednostce usługi i wygasa w ciągu najbliższych 30 dni.

Następujące poświadczenia są wykluczone z tego zalecenia:

  • Poświadczenia, które zostały zidentyfikowane jako wygasające, ale od tego czasu zostały usunięte z rejestracji aplikacji.
  • Poświadczenia, których data wygaśnięcia wygasła, są wyświetlane jako ukończone na liście zasobów, których dotyczy to.

Wartość

Odnawianie poświadczeń jednostki usługi przed datą wygaśnięcia ma kluczowe znaczenie dla utrzymania nieprzerwanych operacji i zminimalizowania ryzyka przestoju wynikającego z nieaktualnych poświadczeń.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do strony Przegląd tożsamości>.

  3. Wybierz kartę Zalecenia i wybierz zalecenie Odnawianie wygasających poświadczeń jednostki usługi.

  4. Wybierz pozycję Więcej szczegółów w kolumnie Akcje .

  5. W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru logowanie jednokrotne rejestracji aplikacji.

    1. Alternatywnie przejdź do sekcji Identity>Applications> Rejestracje aplikacji i znajdź aplikację, dla której należy obrócić poświadczenia.

    Zrzut ekranu przedstawiający stronę rejestracji aplikacji Microsoft Entra.

    1. Przejdź do sekcji Logowanie jednokrotne rejestracji aplikacji.
  6. Edytuj sekcję Certyfikat podpisywania SAML i postępuj zgodnie z monitami, aby dodać nowy certyfikat.

    Zrzut ekranu przedstawiający proces edytowania logowania jednokrotnego.

  7. Po pomyślnym dodaniu certyfikatu lub wpisu tajnego zaktualizuj konfigurację certyfikatu podpisywania SAML, aby nowy certyfikat był aktywny.

  8. Sprawdź, czy aplikacja działa zgodnie z oczekiwaniami, a następnie usuń nieaktywny certyfikat SAML z kolekcji certyfikatów SAML.

Uwaga

Jeśli nie masz żadnych poświadczeń SAML skonfigurowanych, ale otrzymano to zalecenie, użyj punktu końcowego ServicePrincipalAPI programu Microsoft Graph, aby sprawdzić keyCredentials właściwości i passwordCredentials obiektu jednostki usługi. Zlokalizuj i obróć poświadczenia.

Zdecydowanie zalecamy zmianę usługi tak, aby działała z poświadczeniami zdefiniowanymi w obiekcie aplikacji zapasowej zamiast jednostki usługi.