Microsoft Entra-rekommendation: Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn (förhandsversion)

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn. Den här rekommendationen anropas servicePrincipalKeyExpiry i API:et för rekommendationer i Microsoft Graph.

beskrivning

Microsoft Entra-tjänstens huvudnamn är den lokala representationen av ett programobjekt i en enda klientorganisation eller katalog. Tjänstens huvudnamn definierar vem som kan komma åt ett program och vilka resurser programmet kan komma åt. Autentisering av tjänstens huvudnamn slutförs ofta med certifikatautentiseringsuppgifter som har en livslängd. Om autentiseringsuppgifterna upphör att gälla kan programmet inte autentiseras med din klientorganisation.

Den här rekommendationen visas om din klientorganisation har tjänstens huvudnamn med autentiseringsuppgifter som snart upphör att gälla.

Värde

Om du förnyar autentiseringsuppgifterna för tjänstens huvudnamn innan förfallotiden ser du till att programmet fortsätter att fungera och minskar risken för stilleståndstid på grund av en utgången autentiseringsuppgift.

Åtgärdsplan

1. Välj namnet på programmet i listan över berörda resurser för att gå direkt till sidan Företagsprogram – enkel inloggning för det valda programmet.

   a. Du kan också bläddra till Identity>Applications>Enterprise-program. Status för tjänstens huvudnamn visas i kolumnen Status för certifikatets förfallodatum .

   b. Använd sökrutan överst i listan för att hitta programmet som angavs i rekommendationen.

   c. Välj tjänstens huvudnamn med de autentiseringsuppgifter som måste roteras och välj sedan Enkel inloggning på sidomenyn.

2. Redigera avsnittet SAML-signeringscertifikat och följ anvisningarna för att lägga till ett nytt certifikat.

   

3. När du har lagt till certifikatet ändrar du dess egenskaper så att certifikatet blir aktivt, vilket gör det andra certifikatet inaktivt.

4. När certifikatet har lagts till och aktiverats uppdaterar du tjänstkoden så att den fungerar med de nya autentiseringsuppgifterna och påverkar inte kunderna negativt.

5. Använd Inloggningsloggarna för Microsoft Entra för att verifiera att certifikatets nyckel-ID matchar det som nyligen laddades upp.

   • Gå till Inloggningsloggar för Microsoft Entra Tjänstens>huvudnamn inloggningar.
   • Öppna informationen för en relaterad inloggning och kontrollera att klientautentiseringstypen är "Klienthemlighet" och nyckel-ID :t för autentiseringsuppgifter matchar dina autentiseringsuppgifter.

6. När du har verifierat de nya autentiseringsuppgifterna går du tillbaka till området Enkel inloggning för appen och tar bort de gamla autentiseringsuppgifterna.

Använd Microsoft Graph för att förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn

Du kan använda Microsoft Graph för att förnya utgångna tjänstautentiseringsuppgifter programmatiskt. Information om hur du kommer igång finns i Använda Microsoft Graph med Microsoft Entra-rekommendationer.

När du förnyar autentiseringsuppgifterna för tjänstens huvudnamn med Hjälp av Microsoft Graph måste du köra en fråga för att hämta autentiseringsuppgifterna för lösenord på tjänstens huvudnamn, lägga till en ny lösenordsautentiseringsuppgift och sedan ta bort de gamla autentiseringsuppgifterna.

1. Kör följande fråga i Microsoft Graph för att hämta autentiseringsuppgifterna för lösenord på tjänstens huvudnamn:

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Ersätt {id} med tjänstens huvudnamns-ID.

2. Lägg till en ny lösenordsautentiseringsuppgift.

   • Använda api-tjänstens api-åtgärd för Microsoft Graph-tjänstens huvudnamn addPassword
   • servicePrincipal: addPassword MS Graph API-dokumentation

3. Ta bort de gamla/ursprungliga autentiseringsuppgifterna.

   • Använda api-tjänstens api-åtgärd för Microsoft Graph-tjänstens huvudnamn removePassword
   • servicePrincipal: removePassword MS Graph API-dokumentation

Kända begränsningar

• Den här rekommendationen identifierar autentiseringsuppgifter för tjänstens huvudnamn som snart upphör att gälla. Om de upphör att gälla skiljer rekommendationen inte mellan att autentiseringsuppgifterna upphör att gälla på egen hand eller om du har åtgärdat det.

• Autentiseringsuppgifter för tjänstens huvudnamn som upphör att gälla innan rekommendationen har slutförts slutförs av systemet.

• Rekommendationen visar för närvarande inte lösenordshemlighetens autentiseringsuppgifter i tjänstens huvudnamn när du väljer en resurs som påverkas i listan.

• ID :t som visas i listan över berörda resurser är för programmet, inte tjänstens huvudnamn.

Nästa steg

• Granska översikten över Microsoft Entra-rekommendationer
• Lär dig hur du använder Microsoft Entra-rekommendationer
• Utforska egenskaperna för Microsoft Graph API för rekommendationer
• Lär dig mer om att skydda tjänstens huvudnamn