Рекомендация Microsoft Entra: продление срока действия учетных данных субъекта-службы (предварительная версия)
Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.
В этой статье рассматриваются рекомендации по продлению учетных данных субъекта-службы с истекающим сроком действия. Эта рекомендация вызывается servicePrincipalKeyExpiry
в API рекомендаций в Microsoft Graph.
Необходимые компоненты
Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".
Роль Microsoft Entra | Тип доступа |
---|---|
Читатель отчетов | Только для чтения |
Читатель сведений о безопасности | Только для чтения |
Глобальный читатель | Только для чтения |
Администратор политики проверки подлинности | Обновление и чтение |
Администратор Exchange | Обновление и чтение |
Администратор безопасности | Обновление и чтение |
DirectoryRecommendations.Read.All |
Только для чтения в Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Обновление и чтение в Microsoft Graph |
Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.
Description
Учетные данные субъекта-службы включают сертификаты и секреты клиента, добавленные в субъект-службу. Учетные данные используются для подтверждения удостоверения этого субъекта-службы. Если срок действия учетных данных истек, субъект-служба не может пройти проверку подлинности, что может привести к простою для вашего бизнес-сценария. Эта рекомендация отображается, если у клиента есть субъекты-службы с учетными данными, срок действия которых истекает в ближайшее время.
Срок действия учетных данных субъекта-службы истекает, если:
- Срок действия субъекта-службы истекает в течение следующих 30 дней.
Следующие учетные данные исключены из этой рекомендации:
- Учетные данные, которые были определены как истечение срока действия, но с тех пор были удалены из регистрации приложения.
- Учетные данные, срок действия которых истекает, отображается как завершено в списке затронутых ресурсов.
Значение
Продление учетных данных субъекта-службы до истечения срока действия имеет решающее значение для поддержания непрерывных операций и минимизации риска простоя в результате устаревших учетных данных.
План действий
Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к обзору удостоверений>.
Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Продлить срок действия учетных данных субъекта-службы".
Выберите дополнительные сведения из столбца "Действия ".
На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области единого входа регистрации приложения.
- Кроме того, перейдите к приложениям> удостоверений>Регистрация приложений и найдите приложение, для которого необходимо повернуть учетные данные.
- Перейдите к разделу единого входа регистрации приложения.
Измените раздел сертификата подписи SAML и следуйте инструкциям по добавлению нового сертификата.
После успешного добавления сертификата или секрета обновите конфигурацию сертификата подписи SAML, чтобы сделать новый сертификат активным.
Убедитесь, что приложение работает должным образом, а затем удалите неактивный сертификат SAML из коллекции сертификатов SAML.
Примечание.
Если у вас нет учетных данных SAML, но вы получили эту рекомендацию, используйте конечную точку Microsoft Graph ServicePrincipalAPI для проверки keyCredentials
и passwordCredentials
свойств объекта субъекта-службы. Найдите и измените учетные данные.
Мы настоятельно рекомендуем изменить службу, чтобы она работала с учетными данными, определенными в объекте резервного приложения, а не субъектом-службой.