Microsoft Entra-Empfehlung: Erneuern ablaufender Anwendungsanmeldeinformationen (Vorschau)

2025-07-02

Microsoft Entra-Empfehlungen sind ein Feature, mit dem Sie personalisierte Einblicke und umsetzbare Anleitungen erhalten, um Ihren Mandanten an die empfohlenen bewährten Methoden anzupassen.

In diesem Artikel wird die Empfehlung behandelt, ablaufende Anwendungsanmeldeinformationen zu erneuern. Diese Empfehlung wird in der Empfehlungen-API in Microsoft Graph applicationCredentialExpiry genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit minimalen Berechtigungen für den erforderlichen Zugriffstyp. Eine vollständige Liste der Rollen finden Sie unter "Am wenigsten privilegierte Rollen nach Aufgabe".

Microsoft Entra-Rolle	Zugriffstyp
Meldet Reader	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globales Lesen	Schreibgeschützt
Für Authentifizierungsrichtlinienadministration zuständige Person	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
`DirectoryRecommendations.Read.All`	Schreibgeschützt in Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie in der Empfehlungen-Übersichtstabelle .

Beschreibung

Anwendungsanmeldeinformationen können Zertifikate und andere Arten von Geheimnissen umfassen, die bei dieser Anwendung registriert sein müssen. Diese Anmeldeinformationen werden verwendet, um die Identität der Anwendung nachzuweisen.

Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Anwendungsanmeldeinformationen verfügt, die bald ablaufen.

Eine Anwendungsanmeldeinformation läuft ab, wenn:

sie für die Anwendungsregistrierung verwendet wird UND innerhalb der nächsten 30 Tage abläuft.

Die folgenden Anmeldeinformationen sind von dieser Empfehlung ausgenommen:

Anmeldeinformationen, die als ablaufend identifiziert wurden, aber seitdem aus der App-Registrierung entfernt wurden
Anmeldeinformationen, deren Ablaufdatum überschritten ist, werden als abgeschlossen in der Liste Betroffene Ressourcen angezeigt.

value

Das Erneuern der Anmeldeinformationen einer Anwendung vor dem Ablaufdatum ist entscheidend für die Gewährleistung unterbrechungsfreier Betriebsabläufe und die Minimierung des Risikos von Ausfallzeiten aufgrund veralteter Anmeldeinformationen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder bei Verwendung der Microsoft Graph-API verfügbar.

Microsoft Entra Admin Center
Microsoft Graph-API

Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Overview.
Wählen Sie die Registerkarte "Empfehlungen " und dann die Empfehlung für ablaufende Anwendungsanmeldeinformationen verlängern aus.
Notieren Sie sich die folgenden Details aus der Tabelle " Betroffene Ressourcen ".
- In der Spalte "Ressource " wird der Anwendungsname angezeigt.
- In der Spalte "ID " wird die Anwendungs-ID angezeigt.
Wählen Sie "Weitere Details" in der Spalte "Aktionen " aus.
Wählen Sie im daraufhin geöffneten Bereich " Anmeldeinformationen aktualisieren " aus, um direkt zum Bereich "Zertifikate und geheime Schlüssel " der App-Registrierung zu navigieren, um die ablaufenden Anmeldeinformationen zu verlängern.
1. oder navigieren Sie zu Entra ID>App-Registrierungen, und suchen Sie die Anwendung, für die die Anmeldeinformationen aktualisiert werden müssen.
1. Navigieren Sie zum Abschnitt "Zertifikate und Geheime Schlüssel " der App-Registrierung.
Wählen Sie den Anmeldedatentyp aus, den Sie wechseln möchten, und navigieren Sie entweder zur Registerkarte Zertifikate oder Clientgeheimnis und folgen Sie den Anweisungen.
Nachdem das Zertifikat oder das Geheimnis erfolgreich hinzugefügt wurde, aktualisieren Sie den Dienstcode, um sicherzustellen, dass er mit der neuen Anmeldeinformation funktioniert und sich nicht negativ auf Kunden auswirkt.
Verwenden Sie die Microsoft Entra-Anmeldeprotokolle, um zu überprüfen, ob die Schlüssel-ID der Anmeldeinformation mit der zuletzt hinzugefügten übereinstimmt.
Navigieren Sie nach der Überprüfung der neuen Anmeldeinformationen zurück zu App-Registrierungszertifikaten> für die App, und entfernen Sie die alten Anmeldeinformationen.

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

Melden Sie sich beim Graph-Explorer an.
Wählen Sie GET als HTTP-Methode aus der Dropdownliste aus.

Gehen Sie folgendermaßen vor, um alle Empfehlungen für Ihren Mandanten abzurufen:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_ApplicationCredentialExpiry.

Die betroffenen Ressourcen können Sie folgendermaßen identifizieren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_ApplicationCredentialExpiry

So filtern Sie die Ressourcen basierend auf ihrem Status (z. B. aktive Ressourcen):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_ ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Notieren Sie sich die AppId, CredentialId und Origin der Anmeldeinformationen, die Sie entfernen möchten. Verwenden Sie zum Entfernen der Anmeldeinformationen den folgenden Leitfaden für Microsoft Graph:

Beispiel für eine Antwort

 {
  "id": "aaaabbbb-6666-cccc-7777-dddd8888eeee_ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Freigeben über

Microsoft Entra-Empfehlung: Erneuern ablaufender Anwendungsanmeldeinformationen (Vorschau)

Voraussetzungen

Beschreibung

value

Maßnahmenplan

Zugehöriger Inhalt

Feedback

Zusätzliche Ressourcen