Рекомендация Microsoft Entra. Продление учетных данных приложения с истекающим сроком действия (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматриваются рекомендации по продлению учетных данных приложения с истекающим сроком действия. Эта рекомендация вызывается applicationCredentialExpiry в API рекомендаций в Microsoft Graph.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Читатель отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновление и чтение
Администратор Exchange	Обновление и чтение
Администратор безопасности	Обновление и чтение
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Description

Учетные данные приложения могут включать сертификаты и другие типы секретов, которые должны быть зарегистрированы в этом приложении. Эти учетные данные используются для подтверждения удостоверения приложения.

Эта рекомендация отображается, если у клиента есть учетные данные приложения, срок действия которого истекает в ближайшее время.

Срок действия учетных данных приложения истекает, если:

• Он находится на регистрации приложения и истекает в течение следующих 30 дней.

Следующие учетные данные исключены из этой рекомендации:

• Учетные данные, которые были определены как истечение срока действия, но с тех пор были удалены из регистрации приложения
• Учетные данные, срок действия которых истекает, отображается как завершено в списке затронутых ресурсов.

Значение

Продление учетных данных приложения до даты истечения срока действия имеет решающее значение для поддержания непрерывных операций и минимизации риска простоя в результате устаревших учетных данных.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к обзору удостоверений>.

3. Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Продлить срок действия учетных данных приложения".

4. Запишите следующие сведения из таблицы затронутых ресурсов .

   • В столбце "Ресурс" отображается имя приложения

   • В столбце идентификатора отображается идентификатор приложения

     

5. Выберите дополнительные сведения из столбца "Действия ".

6. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области сертификатов и секретов регистрации приложения, чтобы продлить срок действия учетных данных.

   1. Кроме того, перейдите к приложениям> удостоверений>Регистрация приложений и найдите приложение, для которого необходимо повернуть учетные данные.

   

   1. Перейдите в раздел "Сертификаты и секреты" регистрации приложения.

7. Выберите тип учетных данных, который вы хотите повернуть, и перейдите на вкладку "Сертификаты" или "Секрет клиента" и следуйте инструкциям.

   

8. После успешного добавления сертификата или секрета обновите код службы, чтобы убедиться, что он работает с новыми учетными данными и не негативно влияет на клиентов.

9. Используйте журналы входа Microsoft Entra, чтобы проверить, соответствует ли идентификатор ключа учетных данных недавно добавленным.

10. После проверки новых учетных данных вернитесь к Регистрация приложений> Certificates и Secret для приложения и удалите старые учетные данные.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются DirectoryRecommendations.Read.All разрешения и DirectoryRecommendations.ReadWrite.All разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

1. Войдите в обозреватель Graph.
2. Выберите метод HTTP GET в раскрывающемся списке.

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Чтобы отфильтровать ресурсы на основе их состояния (например, активные ресурсы):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Запишите AppIdи CredentialIdучетные данные, Origin которые вы хотите удалить. Чтобы удалить учетные данные, используйте следующее руководство по Microsoft Graph:

• addPassword
• addKey
• removePassword
• removeKey

Пример ответа

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций
• Сведения о объектах приложения и субъекта-службы в идентификаторе Microsoft Entra