Recomendação do Microsoft Entra: renovar credenciais de entidade de serviço expiradas (versão prévia)
As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.
Este artigo aborda a recomendação para renovar as credenciais da entidade de serviço expiradas. Essa recomendação é chamada de servicePrincipalKeyExpiry na API de recomendações do Microsoft Graph.
Pré-requisitos
Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.
| Função do Microsoft Entra | Tipo de acesso |
|---|---|
| Leitor de Relatórios | Somente leitura |
| Leitor de segurança | Somente leitura |
| Leitor global | Somente leitura |
| Administrador de Política de Autenticação | Atualizar e ler |
| Administrador do Exchange | Atualizar e ler |
| Administrador de Segurança | Atualizar e ler |
DirectoryRecommendations.Read.All |
Somente leitura no Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Atualizar e ler no Microsoft Graph |
Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.
Descrição
As credenciais da entidade de serviço incluem certificados e segredos do cliente adicionados a uma entidade de serviço. As credenciais são usadas para provar a identidade dessa entidade de serviço. Se as credenciais expirarem, a entidade de serviço não poderá se autenticar, o que pode causar tempo de inatividade para seu cenário de negócios. Essa recomendação será exibida se o locatário tiver entidades de serviço com credenciais que expirarão em breve.
Uma credencial de entidade de serviço expirará se:
- Está em uma entidade de serviço E está expirando nos próximos 30 dias.
As seguintes credenciais estão isentas desta recomendação:
- Credenciais que foram identificadas como expiradas, mas já foram removidas do registro do aplicativo.
- As credenciais cuja data de expiração expirou são exibidas como concluídas na lista de recursos afetados.
Valor
Renovar as credenciais de uma entidade de serviço antes da data de expiração é crucial para manter operações ininterruptas e minimizar o risco de qualquer tempo de inatividade resultante de credenciais desatualizadas.
Plano de ação
Essa recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Visão Geral.
Selecione a guia Recomendações e escolha a recomendação Renovar as credenciais da entidade de serviço que estão prestes a expirar.
Selecione Mais detalhes na coluna Ações .
No painel que é aberto, selecione Atualizar credencial para navegar diretamente para a área Logon único do registro do aplicativo.
- Como alternativa, navegue até Identity>Applications>App registrations e localize o aplicativo para o qual a credencial precisa ser alternada.
- Navegue até a seção Logon único do registro do aplicativo.
Edite a seção do Certificado de autenticação SAML e siga as instruções para adicionar um novo certificado.
Depois que o certificado ou segredo for adicionado com êxito, atualize a configuração do certificado de autenticação SAML para ativar o novo certificado.
Verifique se o aplicativo funciona conforme o esperado e remova o certificado SAML inativo da coleção de certificados SAML.
Observação
Se você não tiver nenhuma credencial SAML configurada, mas tiver recebido essa recomendação, use o ponto de extremidade ServicePrincipalAPI do Microsoft Graph para verificar as propriedades e passwordCredentials do keyCredentials objeto da entidade de serviço. Localize e gire a credencial.
É altamente recomendável alterar seu serviço para que ele funcione com a credencial definida no objeto do aplicativo de suporte em vez da entidade de serviço.