Recommandation Microsoft Entra : renouveler les informations d’identification de l’application arrivant à expiration (préversion)

Les recommandations De Microsoft Entra sont une fonctionnalité qui vous fournit des insights personnalisés et des conseils actionnables pour aligner votre locataire avec les meilleures pratiques recommandées.

Cet article décrit la recommandation concernant le renouvellement des informations d’identification d’application qui arrivent à expiration. Cette recommandation est appelée applicationCredentialExpiry dans l’API recommandations de Microsoft Graph.

Prerequisites

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles avec privilèges minimum par tâche.

Rôle Microsoft Entra	Type d’accès
Lecteur de rapports	Read-only
Lecteur de sécurité	Read-only
Lecteur général	Read-only
Administrateur de la stratégie d’authentification	Mettre à jour et lire
Administrateur Exchange	Mettre à jour et lire
Administrateur de la sécurité	Mettre à jour et lire
DirectoryRecommendations.Read.All	Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez le tableau récapitulatif des recommandations .

Descriptif

Les informations d’identification d’application peuvent comprendre des certificats et d’autres types de secrets devant être inscrits auprès de cette application. Ces informations d’identification servent à prouver l’identité de l’application.

Cette recommandation s’affiche si votre locataire a des applications dont les informations d’identification arrivent bientôt à expiration.

Les informations d’identification d’une application arrivent à expiration si :

• Elles se trouvent sur une inscription d’application ET expirent dans les 30 prochains jours.

Les informations d’identification suivantes sont exemptées de cette recommandation :

• Informations d’identification identifiées comme arrivant à expiration, mais qui ont depuis été supprimées de l’inscription d’application
• Les informations d’identification dont la date d’expiration a expiré s’affichent comme terminées dans la liste des ressources affectées.

Valeur

Le renouvellement des informations d’identification d’une application avant leur date d’expiration est cruciale pour assurer la continuité des opérations et minimiser le risque de temps d’arrêt résultant d’informations d’identification obsolètes.

Plan d’action

Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph.

Centre d’administration Microsoft Entra

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez à Entra ID>Vue d’ensemble.

3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation renouveler les informations d’identification de l’application arrivant à expiration .

4. Notez les détails suivants de la table des ressources impactées .

   • La colonne Ressource affiche le nom de l’application

   • La colonne ID affiche l’ID d’application

     

5. Sélectionnez Plus de détails dans la colonne Actions .

6. Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone Certificats et secrets de l’inscription de l’application pour renouveler les informations d’identification arrivant à expiration.

   1. Vous pouvez également naviguer vers Entra ID>Inscriptions de l'application et localiser l'application pour laquelle les informations d'identification doivent être renouvelées.

   

   1. Accédez à la section Certificats et secrets de l’inscription de l’application.

7. Sélectionnez le type d’informations d’identification que vous souhaitez faire pivoter et accédez à l’onglet Certificats ou Secret client , puis suivez les invites.

   

8. Une fois le certificat ou le secret correctement ajouté, mettez à jour le code du service pour veiller à ce qu’il fonctionne avec les nouvelles informations d’identification et qu’il n’ait pas une incidence négative sur les clients.

9. Utilisez les journaux de connexion Microsoft Entra pour confirmer que l’ID de clé des informations d’identification correspond à celui récemment ajouté.

10. Après avoir validé le nouvel identifiant, retournez à Inscriptions d'application> et Certificats et secrets pour l'application et supprimez l'ancien identifiant.

Microsoft Graph API

Vous pouvez utiliser les requêtes suivantes pour récupérer la recommandation et les ressources affectées à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations DirectoryRecommendations.Read.All et DirectoryRecommendations.ReadWrite.All. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

1. Connectez-vous à l’Explorateur Graph.
2. Sélectionnez GET comme méthode HTTP dans la liste déroulante.

Pour récupérer toutes les recommandations pour votre locataire :

GET https://graph.microsoft.com/beta/directory/recommendations

Dans la réponse, recherchez l’ID de la recommandation qui correspond au modèle suivant : {tenantId}_ApplicationCredentialExpiry.

Pour identifier les ressources affectées :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_ApplicationCredentialExpiry

Pour filtrer les ressources en fonction de leur état (par exemple, les ressources actives ) :

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_ ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Prenez note des AppId, CredentialId et Origin des informations d’identification que vous souhaitez supprimer. Pour supprimer les informations d’identification, suivez les instructions de Microsoft Graph suivants :

• addPassword
• ajouterClé
• removePassword
• retirerClé

Exemple de réponse

 {
  "id": "aaaabbbb-6666-cccc-7777-dddd8888eeee_ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Contenu associé

• Consultez la vue d’ensemble des recommandations De Microsoft Entra
• Découvrez comment utiliser des recommandations Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
• Découvrez les objets application et principal de service dans Microsoft Entra ID