Microsoft Entra önerisi: Süresi dolan hizmet sorumlusu kimlik bilgilerini yenileme (önizleme)

Microsoft Entra önerileri , kiracınızı önerilen en iyi yöntemlerle uyumlu hale getirmek için kişiselleştirilmiş içgörüler ve eyleme dönüştürülebilir yönergeler sağlayan bir özelliktir.

Bu makale, süresi dolan hizmet sorumlusu kimlik bilgilerini yenileme önerisini kapsar. Bu öneri Microsoft Graph'taki öneriler API'sinde çağrılır servicePrincipalKeyExpiry .

Önkoşullar

Bir öneriyi görüntülemek veya güncelleştirmek için farklı rol gereksinimleri vardır. Gereken erişim türü için en az ayrıcalıklı rolü kullanın. Rollerin tam listesi için bkz . Göreve göre en az ayrıcalıklı roller.

Microsoft Entra rolü	Erişim türü
Rapor Okuyucusu	Salt Okunur
Güvenlik Okuyucusu	Salt Okunur
Genel Okuyucu	Salt Okunur
Kimlik Doğrulama İlkesi Yöneticisi	Güncelleştirme ve okuma
Exchange Yöneticisi	Güncelleştirme ve okuma
Güvenlik Yöneticisi	Güncelleştirme ve okuma
DirectoryRecommendations.Read.All	Microsoft Graph'ta salt okunur
DirectoryRecommendations.ReadWrite.All	Microsoft Graph'ta güncelleştirme ve okuma

Bazı öneriler için P2 veya başka bir lisans gerekebilir. Daha fazla bilgi için Önerilere genel bakış tablosuna bakın.

Açıklama

Hizmet sorumlusu kimlik bilgileri, hizmet sorumlusuna eklenen sertifikaları ve istemci gizli dizilerini içerir. Kimlik bilgileri, bu hizmet sorumlusunun kimliğini kanıtlamak için kullanılır. Kimlik bilgilerinin süresi dolarsa hizmet sorumlusu kimlik doğrulaması yapamaz ve bu da iş senaryonuzda kapalı kalma süresine neden olabilir. Bu öneri, kiracınızda yakında süresi dolan kimlik bilgilerine sahip hizmet sorumluları olup olmadığını gösterir.

Şu durumda hizmet sorumlusu kimlik bilgilerinin süresi doluyor:

• Bir hizmet sorumlusu üzerindedir ve süresi sonraki 30 gün içinde doluyor.

Aşağıdaki kimlik bilgileri bu önerinin dışında tutulur:

• Süresi dolmuş olarak tanımlanan ancak uygulama kaydından kaldırılan kimlik bilgileri.
• Son kullanma tarihi geçmiş kimlik bilgileri, Etkilenen kaynaklar listesinde tamamlandı olarak gösterilir.

Değer

Hizmet sorumlusunun kimlik bilgilerinin süresi dolmadan önce yenilenmesi, kesintisiz işlemlerin sürdürülmesi ve süresi geçmiş kimlik bilgilerinin kesintiye uğraması riskinin en aza indirilmesi açısından çok önemlidir.

Eylem planı

Bu öneri, Microsoft Entra yönetim merkezinde ve Microsoft Graph API'sini kullanarak kullanılabilir.

Microsoft Entra yönetim merkezi

1. Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.

2. Kimliğe>göz atın.

3. Öneriler sekmesini seçin ve Süresi dolan hizmet sorumlusu kimlik bilgilerini yenile önerisini seçin.

4. Eylemler sütunundan Diğer Ayrıntılar'ı seçin.

5. Açılan panelden Kimlik Bilgilerini Güncelleştir'i seçerek doğrudan uygulama kaydının Çoklu oturum açma alanına gidin.

   1. Alternatif olarak, Kimlik> göz atın Uygulama kayıtları ve kimlik bilgilerinin döndürülmesi gereken uygulamayı bulun.

   

   1. Uygulama kaydının Çoklu oturum açma bölümüne gidin.

6. SAML imzalama sertifikası bölümünü düzenleyin ve istemleri izleyerek yeni bir sertifika ekleyin.

   

7. Sertifika veya gizli dizi başarıyla eklendikten sonra SAML imzalama sertifikası yapılandırmasını güncelleştirerek yeni sertifikayı etkin hale getirin.

8. Uygulamanın beklendiği gibi çalıştığını doğrulayın ve etkin olmayan SAML sertifikasını SAML sertifikaları koleksiyonundan kaldırın.

Not

Yapılandırılmış saml kimlik bilgileriniz yoksa ancak bu öneriyi aldıysanız, hizmet sorumlusu nesnesinin ve özelliklerini denetlemek için Microsoft Graph keyCredentials uç noktasını kullanın. Kimlik bilgilerini bulun ve döndürün.

Hizmetinizi, hizmet sorumlusu yerine arka uygulama nesnesinde tanımlanan kimlik bilgileriyle çalışacak şekilde değiştirmenizi kesinlikle öneririz.

Microsoft Graph API

Aşağıdaki istekler, Microsoft Graph API'sini kullanarak öneriyi ve etkilenen kaynakları almak için kullanılabilir. Microsoft Graph API'sini kullanmak için ve DirectoryRecommendations.Read.All izinlerine ihtiyacınız vardırDirectoryRecommendations.ReadWrite.All. Daha fazla bilgi için bkz . Kimlik Önerilerini kullanma.

Microsoft Graph kullanarak hizmet sorumlusu kimlik bilgilerini yenilerken, bir hizmet sorumlusuna parola kimlik bilgilerini almak, yeni bir parola kimlik bilgisi eklemek ve ardından eski kimlik bilgilerini kaldırmak için bir sorgu çalıştırmanız gerekir.

1. Graph Explorer'da oturum açın.
2. Açılan listeden HTTP yöntemi olarak GET'i seçin.

Kiracınız için tüm önerileri almak için:

HTTP

GET https://graph.microsoft.com/beta/directory/recommendations

Yanıtta, aşağıdaki desenle eşleşen önerinin kimliğini bulun: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Etkilenen kaynakları tanımlamak için:

HTTP

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Kaynak listesini durumlarına göre filtrelemek için, örneğin yalnızca olarak activeişaretlenmiş kaynaklar:

HTTP

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Kaldırmak istediğiniz kimlik bilgilerinin , AppIdve kaynağını not CredentialIdedin.
• Yeni bir parola veya anahtar kimlik bilgisi eklemek için şu Microsoft Graph API'lerini kullanın:
  • addPassword
  • addKey
• Eski kimlik bilgilerini kaldırmak için şu Microsoft Graph API'lerini kullanın:
  • removePassword
  • removeKey

Örnek yanıt

JSON

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

İlgili içerik

• Microsoft Entra önerilerine genel bakış makalesini gözden geçirin
• Microsoft Entra önerilerini kullanmayı öğrenin
• Öneriler için Microsoft Graph API özelliklerini keşfetme
• Hizmet sorumlularının güvenliğini sağlama hakkında bilgi edinin