Рекомендация Microsoft Entra: продление срока действия учетных данных субъекта-службы (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматриваются рекомендации по продлению учетных данных субъекта-службы с истекающим сроком действия. Эта рекомендация называется servicePrincipalKeyExpiry в API рекомендаций в Microsoft Graph.

Предварительные требования

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Читатель отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновите и читайте
Администратор Exchange	Обновить и читать
Администратор безопасности	Обновить и прочитать
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Для получения дополнительной информации см. обзорную таблицу рекомендаций .

Описание

Учетные данные субъекта-службы включают сертификаты и секреты клиента, добавленные в субъект-службу. Учетные данные используются для подтверждения удостоверения этого субъекта-службы. Если срок действия учетных данных истекает, служебный принципал не может пройти проверку подлинности, что может привести к простою в вашем бизнес-сценарии. Эта рекомендация отображается, если у клиента есть учетные записи служб с учетными данными, срок действия которых истекает в ближайшее время.

Срок действия учетных данных сервисного субъекта истекает, если:

• Срок действия учетной записи службы истекает в течение следующих 30 дней.

Следующие учетные данные исключены из этой рекомендации:

• Учетные данные, которые были определены как истечение срока действия, но с тех пор были удалены из регистрации приложения.
• Учетные данные, срок действия которых истек, отображаются как завершенные в списке затронутых ресурсов.

Значение

Продление учетных данных субъекта-службы до истечения срока действия важно для поддержания непрерывных операций и минимизации риска простоя из-за устаревших учетных данных.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор безопасности.

2. Перейдите к Идентификация>Обзор.

3. Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Продлить срок действия учетных данных субъекта-службы".

4. Выберите дополнительные сведения из столбца "Действия ".

5. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области единого входа регистрации приложения.

   1. Кроме того, перейдите к Identity>Applications>App registrations и найдите приложение, для которого необходимо обновить учетные данные.

   

   1. Перейдите к разделу единого входа регистрации приложения.

6. Измените раздел сертификата подписи SAML и следуйте инструкциям по добавлению нового сертификата.

   

7. После успешного добавления сертификата или секрета обновите конфигурацию сертификата подписи SAML, чтобы сделать новый сертификат активным.

8. Убедитесь, что приложение работает должным образом, а затем удалите неактивный сертификат SAML из коллекции сертификатов SAML.

Примечание.

Если у вас нет настроенных учетных данных SAML, но вы получили эту рекомендацию, используйте конечную точку Microsoft Graph ServicePrincipalAPI для проверки свойств keyCredentials и passwordCredentials основного объекта службы. Найдите и измените учетные данные.

Мы настоятельно рекомендуем изменить службу, чтобы она работала с учетными данными, определенными в объекте поддерживающего приложения, а не с основным учетным элементом службы.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются разрешения DirectoryRecommendations.Read.All и DirectoryRecommendations.ReadWrite.All. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

При продлении учетных данных субъекта-службы с помощью Microsoft Graph необходимо выполнить запрос, чтобы получить учетные данные пароля для субъекта-службы, добавить новые учетные данные пароля, а затем удалить старые учетные данные.

1. Войдите в Graph Explorer.
2. Выберите метод HTTP GET в раскрывающемся списке.

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Чтобы отфильтровать список ресурсов на основе их состояния, например только ресурсы, помеченные как active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Обратите внимание на AppId, CredentialId и источник учетных данных, которые вы хотите удалить.
• Используйте эти API Microsoft Graph для добавления нового пароля или учетных данных ключа:
  • addPassword
  • addKey
• Используйте эти API Microsoft Graph для удаления старых учетных данных:
  • removePassword
  • удалитьКлюч

Пример ответа

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций
• Сведения о защите субъектов-служб