Recomendação do Microsoft Entra: renovar credenciais de entidade de serviço expiradas (versão prévia)

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço expiradas. Essa recomendação é chamada de servicePrincipalKeyExpiry na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Somente leitura
Leitor de segurança	Somente leitura
Leitor global	Somente leitura
Administrador de Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
DirectoryRecommendations.Read.All	Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.

Descrição

As credenciais da entidade de serviço incluem certificados e segredos do cliente adicionados a uma entidade de serviço. As credenciais são usadas para provar a identidade da entidade de serviço. Se as credenciais expirarem, a entidade de serviço não poderá se autenticar, o que pode causar tempo de inatividade para seu cenário de negócios. Essa recomendação aparecerá se o locatário tiver entidades de serviço com credenciais que expirarão em breve.

Uma credencial de entidade de serviço estará expirando se:

• Ele está em uma entidade de serviço e está expirando nos próximos 30 dias.

As seguintes credenciais são isentas desta recomendação:

• Credenciais que foram identificadas como expirando, mas foram removidas do registro do aplicativo.
• As credenciais cuja data de validade expirou são mostradas como concluídas na lista de recursos afetados.

Valor

Renovar as credenciais de uma entidade de serviço antes da data de expiração é crucial para manter operações ininterruptas e minimizar o risco de qualquer tempo de inatividade resultante de credenciais desatualizadas.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Visão Geral.

3. Selecione a guia Recomendações e escolha a recomendação Renovar as credenciais da entidade de serviço que estão prestes a expirar.

4. Selecione Mais detalhes na coluna Ações.

5. No painel aberto, selecione Atualizar Credencial para navegar diretamente para a área Logon único do registro do aplicativo.

   1. Como alternativa, navegue até Identidade>Aplicativos>Registros de aplicativo e localize o aplicativo para o qual a credencial precisa ser girada.

   

   1. Navegue até a seção Logon único do registro de aplicativo.

6. Edite a seção do Certificado de autenticação SAML e siga as instruções para adicionar um novo certificado.

   

7. Depois que o certificado ou o segredo for adicionado com êxito, atualize a configuração do certificado de autenticação SAML para tornar o novo certificado ativo.

8. Verifique se o aplicativo funciona conforme o esperado e remova o certificado SAML inativo da coleção de certificados SAML.

Observação

Se você não tiver nenhuma credencial SAML configurada, mas tiver recebido essa recomendação, use o ponto de extremidade ServicePrincipalAPI do Microsoft Graph para verificar as propriedades keyCredentials e passwordCredentials do objeto da entidade de serviço. Localize e gire a credencial.

É altamente recomendável alterar seu serviço para que ele funcione com a credencial definida no objeto de aplicativo de suporte em vez da entidade de serviço.

API do Microsoft Graph

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

Ao renovar as credenciais da entidade de serviço usando o Microsoft Graph, você precisa executar uma consulta para obter as credenciais de senha em uma entidade de serviço, adicionar uma nova credencial de senha e remover as credenciais antigas.

1. Entre no Gerenciador de gráficos.
2. Selecione GET como o método HTTP na lista suspensa.

Para recuperar todas as recomendações para seu locatário:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize a ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Para filtrar a lista de recursos com base em seu status, por exemplo, somente recursos marcados como active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Anote o AppId, o CredentialId e a origem da credencial que você deseja remover.
• Use estas APIs do Microsoft Graph para adicionar uma nova senha ou credencial de chave:
  • addPassword
  • addKey
• Use estas APIs do Microsoft Graph para remover a credencial antiga:
  • removePassword
  • removeKey

Resposta de exemplo

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Conteúdo relacionado

• Examinar a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre como proteger as entidades de serviço