Microsoft Entra-rekommendation: Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn (förhandsversion)

Artikel
10/24/2024

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn. Den här rekommendationen anropas servicePrincipalKeyExpiry i API:et för rekommendationer i Microsoft Graph.

Förutsättningar

Det finns olika rollkrav för att visa eller uppdatera en rekommendation. Använd den minst privilegierade rollen för den typ av åtkomst som behövs. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.

Microsoft Entra-roll	Åtkomsttyp
Rapportläsare	Skrivskydd
Säkerhetsläsare	Skrivskydd
Global läsare	Skrivskydd
Administratör av autentiseringsprincip	Uppdatera och läsa
Exchange-administratör	Uppdatera och läsa
Säkerhetsadministratör	Uppdatera och läsa
`DirectoryRecommendations.Read.All`	Skrivskyddad i Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Uppdatera och läsa i Microsoft Graph

Vissa rekommendationer kan kräva en P2- eller annan licens. Mer information finns i Rekommendationstillgänglighet och licenskrav.

beskrivning

Autentiseringsuppgifter för tjänstens huvudnamn omfattar certifikat och klienthemligheter som lagts till i ett huvudnamn för tjänsten. Autentiseringsuppgifterna används för att bevisa identiteten för tjänstens huvudnamn. Om autentiseringsuppgifterna upphör att gälla kan tjänstens huvudnamn inte autentiseras, vilket kan orsaka stilleståndstid för ditt affärsscenario. Den här rekommendationen visas om klientorganisationen har tjänstens huvudnamn med autentiseringsuppgifter som snart upphör att gälla.

En autentiseringsuppgift för tjänstens huvudnamn upphör att gälla om:

Tjänstens huvudnamn OCH upphör att gälla inom de närmaste 30 dagarna.

Följande autentiseringsuppgifter är undantagna från den här rekommendationen:

Autentiseringsuppgifter som har identifierats som förfallna men som sedan har tagits bort från programregistreringen.
Autentiseringsuppgifter vars förfallodatum har upphört att gälla visas som slutförda i listan över berörda resurser.

Värde

Att förnya autentiseringsuppgifterna för tjänstens huvudnamn före förfallodatumet är avgörande för att upprätthålla oavbrutna åtgärder och minimera risken för stilleståndstid till följd av inaktuella autentiseringsuppgifter.

Åtgärdsplan

Den här rekommendationen är tillgänglig i administrationscentret för Microsoft Entra och med hjälp av Microsoft Graph API.

Administrationscenter för Microsoft Entra
Microsoft Graph API

Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Identitetsöversikt>.
Välj fliken Rekommendationer och välj rekommendationen Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn.
Välj Mer information i kolumnen Åtgärder .
I panelen som öppnas väljer du Uppdatera autentiseringsuppgifter för att navigera direkt till området Enkel inloggning i appregistreringen.
1. Du kan också bläddra till Identitetsprogram>> Appregistreringar och leta upp programmet som autentiseringsuppgifterna måste roteras för.
1. Gå till avsnittet Enkel inloggning i appregistreringen.
Redigera avsnittet SAML-signeringscertifikat och följ anvisningarna för att lägga till ett nytt certifikat.
När certifikatet eller hemligheten har lagts till uppdaterar du konfigurationen för SAML-signeringscertifikat för att göra det nya certifikatet aktivt.
Kontrollera att programmet fungerar som förväntat och ta sedan bort det inaktiva SAML-certifikatet från SAML-certifikatsamlingen.

Kommentar

Om du inte har konfigurerat några SAML-autentiseringsuppgifter men du har fått den här rekommendationen använder du Microsoft Graph ServicePrincipalAPI-slutpunkten för att kontrollera keyCredentials egenskaperna och passwordCredentials för objektet för tjänstens huvudnamn. Leta upp och rotera autentiseringsuppgifterna.

Vi rekommenderar starkt att du ändrar din tjänst så att den fungerar med autentiseringsuppgifterna som definierats på det säkerhetskopierade programobjektet i stället för tjänstens huvudnamn.

Följande begäranden kan användas för att hämta rekommendationen och de resurser som påverkas med hjälp av Microsoft Graph API. Om du vill använda Microsoft Graph-API:et behöver du behörigheterna DirectoryRecommendations.Read.All och DirectoryRecommendations.ReadWrite.All . Mer information finns i Använda identitetsrekommendationer.

När du förnyar autentiseringsuppgifterna för tjänstens huvudnamn med Hjälp av Microsoft Graph måste du köra en fråga för att hämta autentiseringsuppgifterna för lösenord på tjänstens huvudnamn, lägga till en ny lösenordsautentiseringsuppgift och sedan ta bort de gamla autentiseringsuppgifterna.

Logga in på Graph Explorer.
Välj GET som HTTP-metod i listrutan.

Så här hämtar du alla rekommendationer för din klientorganisation:

GET https://graph.microsoft.com/beta/directory/recommendations

I svaret hittar du ID:t för rekommendationen som matchar följande mönster: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Så här identifierar du resurser som påverkas:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Om du vill filtrera listan över resurser baserat på deras status, till exempel endast resurser som har markerats som active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Anteckna AppId, CredentialIdoch ursprunget för de autentiseringsuppgifter som du vill ta bort.
Använd dessa Microsoft Graph-API:er för att lägga till ett nytt lösenord eller nyckelautentiseringsuppgifter:
- addPassword
- addKey
Använd dessa Microsoft Graph-API:er för att ta bort de gamla autentiseringsuppgifterna:
- removePassword
- removeKey

Exempelsvar

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Dela via

Microsoft Entra-rekommendation: Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Exempelsvar

Feedback

Ytterligare resurser

Dela via

Microsoft Entra-rekommendation: Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Relaterat innehåll

Feedback

Ytterligare resurser