Рекомендация Microsoft Entra: продление срока действия учетных данных субъекта-службы (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматриваются рекомендации по продлению учетных данных субъекта-службы с истекающим сроком действия. Эта рекомендация вызывается servicePrincipalKeyExpiry в API рекомендаций в Microsoft Graph.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra Тип доступа
Читатель отчетов Только для чтения
Читатель сведений о безопасности Только для чтения
Глобальный читатель Только для чтения
Администратор политики проверки подлинности Обновление и чтение
Администратор Exchange Обновление и чтение
Администратор безопасности Обновление и чтение
DirectoryRecommendations.Read.All Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Description

Учетные данные субъекта-службы включают сертификаты и секреты клиента, добавленные в субъект-службу. Учетные данные используются для подтверждения удостоверения этого субъекта-службы. Если срок действия учетных данных истек, субъект-служба не может пройти проверку подлинности, что может привести к простою для вашего бизнес-сценария. Эта рекомендация отображается, если у клиента есть субъекты-службы с учетными данными, срок действия которых истекает в ближайшее время.

Срок действия учетных данных субъекта-службы истекает, если:

  • Срок действия субъекта-службы истекает в течение следующих 30 дней.

Следующие учетные данные исключены из этой рекомендации:

  • Учетные данные, которые были определены как истечение срока действия, но с тех пор были удалены из регистрации приложения.
  • Учетные данные, срок действия которых истекает, отображается как завершено в списке затронутых ресурсов.

Значение

Продление учетных данных субъекта-службы до истечения срока действия имеет решающее значение для поддержания непрерывных операций и минимизации риска простоя в результате устаревших учетных данных.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к обзору удостоверений>.

  3. Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Продлить срок действия учетных данных субъекта-службы".

  4. Выберите дополнительные сведения из столбца "Действия ".

  5. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области единого входа регистрации приложения.

    1. Кроме того, перейдите к приложениям> удостоверений>Регистрация приложений и найдите приложение, для которого необходимо повернуть учетные данные.

    Снимок экрана: страница регистрации приложения Microsoft Entra.

    1. Перейдите к разделу единого входа регистрации приложения.
  6. Измените раздел сертификата подписи SAML и следуйте инструкциям по добавлению нового сертификата.

    Снимок экрана: процесс редактирования единого входа.

  7. После успешного добавления сертификата или секрета обновите конфигурацию сертификата подписи SAML, чтобы сделать новый сертификат активным.

  8. Убедитесь, что приложение работает должным образом, а затем удалите неактивный сертификат SAML из коллекции сертификатов SAML.

Ескерім

Если у вас нет учетных данных SAML, но вы получили эту рекомендацию, используйте конечную точку Microsoft Graph ServicePrincipalAPI для проверки keyCredentials и passwordCredentials свойств объекта субъекта-службы. Найдите и измените учетные данные.

Мы настоятельно рекомендуем изменить службу, чтобы она работала с учетными данными, определенными в объекте резервного приложения, а не субъектом-службой.