Microsoft Entra 建議 是一項功能,提供您個人化洞察和可操作指導,以調整您的租戶以符合建議的最佳實務。
本文涵蓋更新即將到期應用程式認證的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 applicationCredentialExpiry。
必要條件
要檢視或更新建議,需要不同的角色要求。 針對所需的存取類型,使用最低特殊權限角色。 如需角色的完整清單,請參閱<工作的最低特殊權限角色>。
| Microsoft Entra 角色 | 存取類型 |
|---|---|
| 報告閱讀器 | 唯讀 |
| 安全性檢視者 | 唯讀 |
| 全球閱讀器 | 唯讀 |
| 驗證原則管理員 | 更新及讀取 |
| Exchange 系統管理員 | 更新及讀取 |
| 安全性系統管理員 | 更新及讀取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中是唯讀的 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和讀取 |
某些建議可能需要 P2 或其他授權。 如需詳細資訊,請參閱 Recommendations 概觀數據表。
描述
應用程式認證可以包含憑證和需要使用該應用程式註冊之其他類型的秘密。 這些認證可用來證明應用程式的身分識別。
如果您的租用戶有即將到期的應用程式認證,就會顯示這項建議。
如果應用程式憑證即將過期,
- 它位於應用程式註冊中,且在未來 30 天內即將到期。
下列認證不受此建議的豁免:
- 已被識別為即將過期但之後已從應用程式註冊中移除的認證
- 到期日已失效的認證會在受影響的資源清單中顯示為已完成。
值
在到期日之前更新應用程式的認證,對於維護不間斷的作業,並將因過期認證所造成的停機風險降到最低至關重要。
行動方案
此建議適用於 Microsoft Entra 系統管理中心,並使用 Microsoft Graph API。
以至少安全性系統管理員的身分登入Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[概觀]。
選取 [建議] 索引標籤,然後選取 [更新過期的應用程式認證建議]。
請記下 [受影響的資源] 資料表中的 下列詳細數據 。
[資源] 資源列會顯示應用程式名稱
ID 欄位顯示應用程式識別碼
![建議的螢幕快照,其中已醒目提示 [更多詳細數據] 選項。](media/recommendation-renew-expiring-application-credential/recommendation-renew-expiring-app-credentials.png)
從[動作]欄選取[更多詳細資訊]。
從開啟的面板中,選取 [更新認證 ] 以直接流覽至 應用程式註冊的 [憑證與秘密 ] 區域,以更新即將到期的認證。
- 或者,流覽至 身分識別>應用程式>應用程式註冊,然後找出需要更換憑證的應用程式。
- 瀏覽至應用程式註冊的 [憑證與密碼] 區段。
挑選您要旋轉的認證類型,並瀏覽至 [憑證] 或 [用戶端密碼] 索引標籤,然後依照提示執行。
![Microsoft Entra ID 之 [憑證與密碼] 區段的螢幕擷取畫面。](media/recommendation-renew-expiring-application-credential/app-certificates-secrets.png)
成功新增憑證或密碼之後,請更新服務程式碼,以確保其能與新的認證搭配運作,且不會對客戶造成負面影響。
使用 Microsoft Entra 登入記錄來驗證認證的金鑰識別碼是否符合最近新增的密鑰識別碼。
驗證新認證之後,請瀏覽回至應用程式的 [應用程式註冊]>[憑證與密碼],並移除舊的認證。
![建議的螢幕快照,其中已醒目提示 [更多詳細數據] 選項。](media/recommendation-renew-expiring-application-credential/recommendation-renew-expiring-app-credentials-expanded.png#lightbox)
![Microsoft Entra ID 之 [憑證與密碼] 區段的螢幕擷取畫面。](media/recommendation-renew-expiring-application-credential/app-certificates-secrets-expanded.png#lightbox)