Microsoft Entra 권장 사항: 만료되는 서비스 사용자 자격 증명 갱신(미리 보기)

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 만료되는 서비스 사용자 자격 증명을 갱신하는 권장 사항에 대해 설명합니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 servicePrincipalKeyExpiry이라고 합니다.

설명

Microsoft Entra 서비스 주체는 단일 테넌트 또는 디렉터리에 있는 애플리케이션 개체의 로컬 표현입니다. 서비스 사용자는 애플리케이션에 액세스할 수 있는 사용자와 애플리케이션이 액세스할 수 있는 리소스를 정의합니다. 서비스 사용자의 인증은 수명이 있는 인증서 자격 증명을 사용하여 완료되는 경우가 많습니다. 자격 증명이 만료되면 애플리케이션은 테넌트로 인증할 수 없습니다.

이 권장 사항은 테넌트가 곧 만료될 자격 증명이 있는 서비스 사용자가 있는 경우에 표시됩니다.

값

만료되기 전에 서비스 사용자 자격 증명을 갱신하면 애플리케이션이 계속 작동하도록 하고 만료된 자격 증명으로 인한 가동 중지 시간이 줄어듭니다.

작업 계획

1. 영향을 받은 리소스 목록에서 애플리케이션의 이름을 선택하여 선택한 애플리케이션에 대한 엔터프라이즈 애플리케이션 - Single Sign-On 페이지로 직접 이동합니다.

   a. 또는 ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다. 서비스 사용자의 상태는 인증서 만료 상태 열에 나타납니다.

   b. 목록 맨 위에 있는 검색 상자를 사용하여 권장 사항에 나열된 애플리케이션을 찾습니다.

   c. 회전해야 하는 자격 증명이 있는 서비스 사용자를 선택한 다음, 측면 메뉴에서 Single Sign-On을 선택합니다.

2. SAML 서명 인증서 섹션을 편집하고 프롬프트에 따라 새 인증서를 추가합니다.

   

3. 인증서를 추가한 후 속성을 변경하여 인증서를 활성화하면 다른 인증서가 비활성화됩니다.

4. 인증서가 성공적으로 추가되고 활성화되면 서비스 코드를 업데이트하여 새 자격 증명에서 작동하며 고객에게 부정적인 영향을 주지 않도록 합니다.

5. Microsoft Entra 로그인 로그를 사용하여 인증서의 키 ID가 최근에 업로드된 것과 일치하는지 확인합니다.

   • Microsoft Entra 로그인 로그>서비스 사용자 로그인으로 이동합니다.
   • 관련 로그인에 대한 세부 정보를 열고 클라이언트 자격 증명 유형이 "클라이언트 암호"이고 자격 증명 키 ID가 자격 증명과 일치하는지 확인합니다.

6. 새 자격 증명의 유효성을 검사한 후 앱의 Single Sign-On 영역으로 돌아가 이전 자격 증명을 제거합니다.

Microsoft Graph를 사용하여 만료되는 서비스 사용자 자격 증명 갱신

Microsoft Graph를 사용하여 만료되는 서비스 자격 증명을 프로그래밍 방식으로 갱신할 수 있습니다. 시작하려면 Microsoft Entra 권장 사항과 함께 Microsoft Graph를 사용하는 방법을 참조하세요.

Microsoft Graph를 사용하여 서비스 사용자 자격 증명을 갱신하는 경우 쿼리를 실행하여 서비스 사용자의 암호 자격 증명을 가져오고 새 암호 자격 증명을 추가한 다음, 이전 자격 증명을 제거해야 합니다.

1. Microsoft Graph에서 다음 쿼리를 실행하여 서비스 사용자에 대한 암호 자격 증명을 가져옵니다.

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • {id}를 서비스 사용자 ID로 바꿉니다.

2. 새 암호 자격 증명을 추가합니다.

   • Microsoft Graph 서비스 사용자 API 서비스 작업 addPassword 사용
   • servicePrincipal: addPassword MS Graph API 설명서

3. 이전/원래 자격 증명을 제거합니다.

   • Microsoft Graph 서비스 사용자 API 서비스 작업 removePassword 사용
   • servicePrincipal: removePassword MS Graph API 설명서

알려진 제한 사항

• 이 권장 사항은 곧 만료되는 서비스 주체 자격 증명을 식별합니다. 자격 증명이 만료되는 경우, 추천은 자격 증명이 저절로 만료되는 것인지 아니면 사용자가 문제를 해결했는지 구분하지 않습니다.

• 추천이 완료되기 전에 만료되는 서비스 주체 자격 증명은 시스템에 의해 완료됩니다.

• 현재 권장 사항은 목록에서 영향을 받은 리소스를 선택할 때 서비스 사용자에 암호 비밀 자격 증명을 표시하지 않습니다.

• 영향을 받은 리소스 목록에 표시된 ID는 서비스 사용자가 아닌 애플리케이션에 대한 것입니다.

다음 단계

• Microsoft Entra 권장 사항 개요 검토
• Microsoft Entra 권장 사항을 사용하는 방법 알아보기
• 권장 사항에 대한 Microsoft Graph API 속성 탐색
• 서비스 사용자 보안에 대해 알아보기