Recomendação do Microsoft Entra: Renovar credenciais da entidade de serviço que expiram (visualização)

As recomendações do Microsoft Entra são um recurso que fornece informações personalizadas e orientações acionáveis para alinhar seu locatário com as práticas recomendadas recomendadas.

Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço que expiram. Essa recomendação é chamada servicePrincipalKeyExpiry na API de recomendações no Microsoft Graph.

Description

Uma entidade de serviço do Microsoft Entra é a representação local de um objeto de aplicativo em um único locatário ou diretório. A entidade de serviço define quem pode acessar um aplicativo e quais recursos o aplicativo pode acessar. A autenticação de entidades de serviço geralmente é concluída usando credenciais de certificado, que têm uma vida útil. Se as credenciais expirarem, o aplicativo não poderá ser autenticado com seu locatário.

Essa recomendação aparece se o locatário tiver entidades de serviço com credenciais que expirarão em breve.

Value

A renovação da(s) credencial(is) da entidade de serviço antes da expiração garante que o aplicativo continue a funcionar e reduz a possibilidade de tempo de inatividade devido a uma credencial expirada.

Plano de ação

1. Selecione o nome do aplicativo na lista de Recursos afetados para ir diretamente para a página Aplicativos corporativos - Logon único para o aplicativo selecionado.

   a. Como alternativa, navegue até Identity>Applications>Enterprise applications. O status da entidade de serviço aparece na coluna Status de Expiração do Certificado.

   b. Use a caixa de pesquisa na parte superior da lista para encontrar o aplicativo listado na recomendação.

   c. Selecione a entidade de serviço com a credencial que precisa ser girada e, em seguida, selecione Logon único no menu lateral.

2. Edite a seção de certificado de assinatura SAML e siga as instruções para adicionar um novo certificado.

   

3. Depois de adicionar o certificado, altere suas propriedades para torná-lo ativo, o que torna o outro certificado inativo.

4. Depois que o certificado for adicionado e ativado com êxito, atualize o código de serviço para garantir que ele funcione com a nova credencial e não afete negativamente os clientes.

5. Use os logs de entrada do Microsoft Entra para validar se a ID da chave do certificado corresponde à que foi carregada recentemente.

   • Vá para Logs>de entrada do Microsoft Entra Entradas da entidade de serviço.
   • Abra os detalhes de um início de sessão relacionado e verifique se o tipo de credencial do Cliente é "Segredo do cliente" e se o ID da chave de credencial corresponde à sua credencial.

6. Depois de validar a nova credencial, navegue de volta para a área de logon único do aplicativo e remova a credencial antiga.

Usar o Microsoft Graph para renovar as credenciais da entidade de serviço que expiram

Você pode usar o Microsoft Graph para renovar credenciais de serviço que expiram programaticamente. Para começar, consulte Como usar o Microsoft Graph com recomendações do Microsoft Entra.

Ao renovar as credenciais da entidade de serviço usando o Microsoft Graph, você precisa executar uma consulta para obter as credenciais de senha em uma entidade de serviço, adicionar uma nova credencial de senha e remover as credenciais antigas.

1. Execute a seguinte consulta no Microsoft Graph para obter as credenciais de senha em uma entidade de serviço:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Substitua {id} pelo ID da entidade de serviço.

2. Adicione uma nova credencial de senha.

   • Usar a ação de serviço da API Principal do Serviço Microsoft Graph addPassword
   • servicePrincipal: documentação da API addPassword MS Graph

3. Remova as credenciais antigas/originais.

   • Usar a ação de serviço da API Principal do Serviço Microsoft Graph removePassword
   • servicePrincipal: documentação da API do MS Graph removePassword

Limitações conhecidas

• Esta recomendação identifica as credenciais da entidade de serviço que estão prestes a expirar. Se eles expirarem, a recomendação não fará distinção entre a credencial expirando por conta própria ou se você a abordou.

• As credenciais da entidade de serviço que expiram antes que a recomendação seja concluída são concluídas pelo sistema.

• Atualmente, a recomendação não exibe a credencial secreta de senha na entidade de serviço quando você seleciona um recurso Afetado na lista.

• A ID mostrada na lista de recursos afetados é para o aplicativo, não para a entidade de serviço.

Próximos passos

• Consulte a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre como proteger entidades de serviço