Aanbeveling voor Microsoft Entra: verlopen toepassingsreferenties verlengen (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling besproken voor het vernieuwen van verlopen toepassingsreferenties. Deze aanbeveling wordt aangeroepen applicationCredentialExpiry in de aanbevelingen-API in Microsoft Graph.

Vereisten

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen-lezen
Beveiligingslezer	Alleen-lezen
Algemene lezer	Alleen-lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie De beschikbaarheids- en licentievereisten voor aanbevelingen voor meer informatie.

Beschrijving

Toepassingsreferenties kunnen certificaten en andere typen geheimen bevatten die moeten worden geregistreerd bij die toepassing. Deze referenties worden gebruikt om de identiteit van de toepassing te bewijzen.

Deze aanbeveling wordt weergegeven als uw tenant toepassingsreferenties heeft die binnenkort verlopen.

Een toepassingsreferentie verloopt als:

• De registratie van een toepassing verloopt binnen de komende 30 dagen.

De volgende referenties zijn uitgesloten van deze aanbeveling:

• Referenties die zijn geïdentificeerd als verlopen, maar die sindsdien zijn verwijderd uit de app-registratie
• Referenties waarvan de vervaldatum is verstreken, worden weergegeven als voltooid in de lijst met betrokken resources.

Weergegeven als

Het vernieuwen van de referenties van een toepassing vóór de vervaldatum is van cruciaal belang voor het handhaven van ononderbroken bewerkingen en het minimaliseren van het risico op downtime als gevolg van verouderde referenties.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitsoverzicht>.

3. Selecteer het tabblad Aanbevelingen en selecteer de aanbeveling toepassingsreferenties vernieuwen.

4. Noteer de volgende details uit de tabel Betrokken resources .

   • In de kolom Resource wordt de naam van de toepassing weergegeven

   • In de kolom ID wordt de toepassings-id weergegeven

     

5. Selecteer Meer details in de kolom Acties .

6. Selecteer referentie bijwerken in het deelvenster dat wordt geopend om rechtstreeks naar het gebied Certificaten en geheimen van de app-registratie te navigeren om de verlopende referentie te vernieuwen.

   1. U kunt ook naar Identiteitstoepassingen>> bladeren App-registraties en de toepassing zoeken waarvoor de referentie moet worden gedraaid.

   

   1. Navigeer naar de sectie Certificaten en geheimen van de app-registratie.

7. Kies het referentietype dat u wilt draaien en navigeren naar het tabblad Certificaten of Clientgeheim en volg de aanwijzingen.

   

8. Zodra het certificaat of geheim is toegevoegd, werkt u de servicecode bij om ervoor te zorgen dat deze werkt met de nieuwe referentie en geen negatieve invloed heeft op klanten.

9. Gebruik de aanmeldingslogboeken van Microsoft Entra om te controleren of de sleutel-id van de referentie overeenkomt met de id die onlangs is toegevoegd.

10. Nadat u de nieuwe referentie hebt gecontroleerd, gaat u terug naar App-registraties> Certificates en Geheimen voor de app en verwijdert u de oude referentie.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Identiteitsaanaanveling gebruiken voor meer informatie.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Betrokken resources identificeren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

De resources filteren op basis van hun status (bijvoorbeeld actieve resources):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Noteer de AppId, CredentialIden Origin de referentie die u wilt verwijderen. Als u de referentie wilt verwijderen, gebruikt u de volgende Microsoft Graph-richtlijnen:

• addPassword
• addKey
• removePassword
• removeKey

Voorbeeldrespons

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over app- en service-principal-objecten in Microsoft Entra ID