Zalecenie Microsoft Entra: Odnów wygasające poświadczenia aplikacji (wersja wstępna)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące odnawiania wygasających poświadczeń aplikacji. To zalecenie nazywa się applicationCredentialExpiry w interfejsie API zaleceń w programie Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytnik zabezpieczeń	Tylko do odczytu
Globalny czytelnik	Tylko do odczytu
Administrator zasad uwierzytelniania	Zaktualizuj i przeczytaj
Administrator programu Exchange	Zaktualizuj i przeczytaj
Administrator zabezpieczeń	Zaktualizuj i przeczytaj
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz tabelę przeglądu zaleceń .

opis

Poświadczenia aplikacji mogą zawierać certyfikaty i inne typy wpisów tajnych, które muszą być zarejestrowane w tej aplikacji. Te poświadczenia są używane do potwierdzenia tożsamości aplikacji.

To zalecenie pojawia się, jeśli klient ma poświadczenia aplikacyjne, które wkrótce wygasną.

Poświadczenie aplikacji wygasa, jeśli:

• Znajduje się w rejestracji aplikacji i wygasa w ciągu najbliższych 30 dni.

Następujące poświadczenia są wykluczone z tego zalecenia:

• Poświadczenia, które zostały zidentyfikowane jako wygasające, ale od tego czasu zostały usunięte z rejestracji aplikacji
• Poświadczenia, których data wygaśnięcia wygasła, są wyświetlane jako ukończone na liście zasobów, których dotyczy to.

Wartość

Odnawianie poświadczeń aplikacji przed datą wygaśnięcia ma kluczowe znaczenie dla utrzymania nieprzerwanych operacji i zminimalizowania ryzyka przestoju wynikającego z nieaktualnych poświadczeń.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Tożsamość>Przegląd.

3. Wybierz kartę Zalecenia i wybierz zalecenie Odnawianie wygasających poświadczeń aplikacji.

4. Zwróć uwagę na następujące szczegóły z tabeli Zasobów Dotkniętych.

   • Kolumna Zasób wyświetla nazwę aplikacji

   • Kolumna ID wyświetla identyfikator aplikacji

     

5. Wybierz pozycję Więcej szczegółów w kolumnie Akcje .

6. W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru Certyfikaty i wpisy tajne rejestracji aplikacji, aby odnowić wygasające poświadczenia.

   1. Alternatywnie przejdź do Identity>Applications>App registrations i znajdź aplikację, dla której należy obrócić poświadczenia.

   

   1. Przejdź do sekcji Certyfikaty i Sekrety rejestracji aplikacji.

7. Wybierz typ poświadczeń, który chcesz rotować, i przejdź do zakładki Certyfikaty lub Sekret klienta, i postępuj zgodnie z monitami.

   

8. Po pomyślnym dodaniu certyfikatu lub tajnego klucza zaktualizuj kod usługi, aby zapewnić, że działa z nowym poświadczeniem i nie ma negatywnego wpływu na klientów.

9. Użyj dzienników logowania Microsoft Entra, aby sprawdzić, czy ID klucza poświadczenia jest zgodny z tym, który został ostatnio dodany.

10. Po zweryfikowaniu nowego poświadczenia wróć do Rejestracje aplikacji>Certyfikaty i tajne informacje dla aplikacji i usuń stare poświadczenie.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są uprawnienia DirectoryRecommendations.Read.All i DirectoryRecommendations.ReadWrite.All. Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Aby pobrać wszystkie zalecenia dotyczące najemcy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_ApplicationCredentialExpiry.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_ApplicationCredentialExpiry

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_ ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Zanotuj AppId, CredentialId i Origin poświadczenia, które chcesz usunąć. Aby usunąć poświadczenia, skorzystaj z poniższych wskazówek dotyczących programu Microsoft Graph:

• addPassword
• dodajKlucz
• removePassword
• usuńKlucz

Przykładowa odpowiedź

 {
  "id": "aaaabbbb-6666-cccc-7777-dddd8888eeee_ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Powiązana zawartość

• Zapoznaj się z przeglądem zaleceń firmy Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń
• Dowiedz się więcej o obiektach aplikacji i obiektach głównego serwisu w Microsoft Entra ID