Zalecenie firmy Microsoft Entra: Odnawianie wygasających poświadczeń jednostki usługi (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące odnawiania wygasających poświadczeń jednostki usługi. To zalecenie jest wywoływane servicePrincipalKeyExpiry w interfejsie API zaleceń w programie Microsoft Graph.

opis

Jednostka usługi Microsoft Entra jest lokalną reprezentacją obiektu aplikacji w jednej dzierżawie lub katalogu. Jednostka usługi definiuje, kto może uzyskać dostęp do aplikacji i do jakich zasobów może uzyskiwać dostęp do aplikacji. Uwierzytelnianie jednostek usługi jest często wykonywane przy użyciu poświadczeń certyfikatu, które mają żywotność. Jeśli poświadczenia wygasną, aplikacja nie może uwierzytelnić się w dzierżawie.

To zalecenie jest wyświetlane, jeśli dzierżawa ma jednostki usługi z poświadczeniami, które wkrótce wygasną.

Wartość

Odnawianie poświadczeń jednostki usługi przed wygaśnięciem gwarantuje, że aplikacja będzie nadal działać i zmniejsza możliwość przestoju z powodu wygasłych poświadczeń.

Plan działania

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do strony Przegląd tożsamości>.

3. Wybierz kartę Zalecenia i wybierz zalecenie Odnawianie wygasających poświadczeń jednostki usługi.

4. Wybierz nazwę aplikacji z listy Zasobów, których dotyczy wpływ, aby przejść bezpośrednio do strony Aplikacje dla przedsiębiorstw — logowanie jednokrotne dla wybranej aplikacji.

   a. Alternatywnie przejdź do sekcji Identity Applications Enterprise applications>(Aplikacje dla przedsiębiorstw tożsamości).> Stan jednostki usługi jest wyświetlany w kolumnie Stan wygaśnięcia certyfikatu.

   b. Użyj pola wyszukiwania w górnej części listy, aby znaleźć aplikację wymienioną w rekomendacji.

   c. Wybierz jednostkę usługi z poświadczeniami, które należy obrócić, a następnie wybierz pozycję Logowanie jednokrotne z menu bocznego.

5. Edytuj sekcję Certyfikat podpisywania SAML i postępuj zgodnie z monitami, aby dodać nowy certyfikat.

   

6. Po dodaniu certyfikatu zmień jego właściwości, aby certyfikat był aktywny, co sprawia, że inny certyfikat jest nieaktywny.

7. Po pomyślnym dodaniu i aktywowaniu certyfikatu zaktualizuj kod usługi, aby upewnić się, że działa z nowym poświadczeniu i nie ma negatywnego wpływu na klientów.

8. Użyj dzienników logowania firmy Microsoft Entra, aby sprawdzić, czy identyfikator klucza certyfikatu jest zgodny z niedawno przekazanym.

   • Przejdź do pozycji Microsoft Entra sign-in logs>Service principal sign-ins (Logowania jednostki usługi firmy Microsoft).
   • Otwórz szczegóły powiązanego logowania i sprawdź, czy typ poświadczeń klienta to "Klucz tajny klienta", a identyfikator klucza poświadczeń jest zgodny z poświadczeniami.

9. Po zweryfikowaniu nowego poświadczenia wróć do obszaru Logowanie jednokrotne dla aplikacji i usuń stare poświadczenia.

Odnawianie wygasających poświadczeń jednostki usługi przy użyciu programu Microsoft Graph

Program Microsoft Graph umożliwia programowe odnawianie wygasających poświadczeń usługi. Aby rozpocząć, zobacz Jak używać programu Microsoft Graph z zaleceniami firmy Microsoft Entra.

Podczas odnawiania poświadczeń jednostki usługi przy użyciu programu Microsoft Graph należy uruchomić zapytanie, aby uzyskać poświadczenia hasła w jednostce usługi, dodać nowe poświadczenia hasła, a następnie usunąć stare poświadczenia.

1. Uruchom następujące zapytanie w programie Microsoft Graph, aby uzyskać poświadczenia hasła w jednostce usługi:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Zastąp element {id} identyfikatorem jednostki usługi.

2. Dodaj nowe poświadczenia hasła.

   • Korzystanie z akcji interfejsu API jednostki usługi programu Microsoft Graph addPassword
   • servicePrincipal: dokumentacja interfejsu API programu MS Graph addPassword

3. Usuń stare/oryginalne poświadczenia.

   • Korzystanie z akcji interfejsu API jednostki usługi programu Microsoft Graph removePassword
   • servicePrincipal: removePassword MS Graph API documentation (dokumentacja interfejsu API programu MS Graph dla elementu servicePrincipal: removePassword MS Graph API)

Znane ograniczenia

• To zalecenie identyfikuje poświadczenia jednostki usługi, które wkrótce wygasną. Jeśli wygaśnie, zalecenie nie rozróżnia poświadczeń wygasających samodzielnie lub jeśli je rozwiązano.

• Poświadczenia jednostki usługi wygasające przed ukończeniem rekomendacji są wykonywane przez system.

• Rekomendacja obecnie nie wyświetla poświadczeń wpisu tajnego hasła w jednostce usługi po wybraniu zasobu, którego dotyczy to zdarzenie z listy.

• Identyfikator pokazany na liście zasobów, których dotyczy wpływ, dotyczy aplikacji, a nie jednostki usługi.

Następne kroki

• Zapoznaj się z omówieniem zaleceń firmy Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń
• Dowiedz się więcej o zabezpieczaniu jednostek usługi