Microsoft Entra 권장 사항: 만료되는 서비스 사용자 자격 증명 갱신(미리 보기)

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 만료되는 서비스 사용자 자격 증명을 갱신하는 권장 사항에 대해 설명합니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 servicePrincipalKeyExpiry이라고 합니다.

설명

Microsoft Entra 서비스 주체는 단일 테넌트 또는 디렉터리에 있는 애플리케이션 개체의 로컬 표현입니다. 서비스 사용자는 애플리케이션에 액세스할 수 있는 사용자와 애플리케이션이 액세스할 수 있는 리소스를 정의합니다. 서비스 사용자의 인증은 수명이 있는 인증서 자격 증명을 사용하여 완료되는 경우가 많습니다. 자격 증명이 만료되면 애플리케이션은 테넌트로 인증할 수 없습니다.

이 권장 사항은 테넌트가 곧 만료될 자격 증명이 있는 서비스 사용자가 있는 경우에 표시됩니다.

값

만료되기 전에 서비스 사용자 자격 증명을 갱신하면 애플리케이션이 계속 작동하도록 하고 만료된 자격 증명으로 인한 가동 중지 시간이 줄어듭니다.

작업 플랜:

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>개요로 이동합니다.

3. 권장 사항 탭을 선택하고 만료되는 서비스 주체 자격 증명 갱신 권장 사항을 선택합니다.

4. 영향을 받은 리소스 목록에서 애플리케이션의 이름을 선택하여 선택한 애플리케이션에 대한 엔터프라이즈 애플리케이션 - Single Sign-On 페이지로 직접 이동합니다.

   a. 또는 ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다. 서비스 사용자의 상태는 인증서 만료 상태 열에 나타납니다.

   b. 목록 맨 위에 있는 검색 상자를 사용하여 권장 사항에 나열된 애플리케이션을 찾습니다.

   c. 회전해야 하는 자격 증명이 있는 서비스 사용자를 선택한 다음, 측면 메뉴에서 Single Sign-On을 선택합니다.

5. SAML 서명 인증서 섹션을 편집하고 프롬프트에 따라 새 인증서를 추가합니다.

   

6. 인증서를 추가한 후 속성을 변경하여 인증서를 활성화하면 다른 인증서가 비활성화됩니다.

7. 인증서가 성공적으로 추가되고 활성화되면 서비스 코드를 업데이트하여 새 자격 증명에서 작동하며 고객에게 부정적인 영향을 주지 않도록 합니다.

8. Microsoft Entra 로그인 로그를 사용하여 인증서의 키 ID가 최근에 업로드된 것과 일치하는지 확인합니다.

   • Microsoft Entra 로그인 로그>서비스 사용자 로그인으로 이동합니다.
   • 관련 로그인에 대한 세부 정보를 열고 클라이언트 자격 증명 유형이 "클라이언트 암호"이고 자격 증명 키 ID가 자격 증명과 일치하는지 확인합니다.

9. 새 자격 증명의 유효성을 검사한 후 앱의 Single Sign-On 영역으로 돌아가 이전 자격 증명을 제거합니다.

Microsoft Graph를 사용하여 만료되는 서비스 사용자 자격 증명 갱신

Microsoft Graph를 사용하여 만료되는 서비스 자격 증명을 프로그래밍 방식으로 갱신할 수 있습니다. 시작하려면 Microsoft Entra 권장 사항과 함께 Microsoft Graph를 사용하는 방법을 참조하세요.

Microsoft Graph를 사용하여 서비스 사용자 자격 증명을 갱신하는 경우 쿼리를 실행하여 서비스 사용자의 암호 자격 증명을 가져오고 새 암호 자격 증명을 추가한 다음, 이전 자격 증명을 제거해야 합니다.

1. Microsoft Graph에서 다음 쿼리를 실행하여 서비스 사용자에 대한 암호 자격 증명을 가져옵니다.

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • {id}를 서비스 사용자 ID로 바꿉니다.

2. 새 암호 자격 증명을 추가합니다.

   • Microsoft Graph 서비스 사용자 API 서비스 작업 addPassword 사용
   • servicePrincipal: addPassword MS Graph API 설명서

3. 이전/원래 자격 증명을 제거합니다.

   • Microsoft Graph 서비스 사용자 API 서비스 작업 removePassword 사용
   • servicePrincipal: removePassword MS Graph API 설명서

알려진 제한 사항

• 이 권장 사항은 곧 만료되는 서비스 주체 자격 증명을 식별합니다. 자격 증명이 만료되는 경우, 추천은 자격 증명이 저절로 만료되는 것인지 아니면 사용자가 문제를 해결했는지 구분하지 않습니다.

• 추천이 완료되기 전에 만료되는 서비스 주체 자격 증명은 시스템에 의해 완료됩니다.

• 현재 권장 사항은 목록에서 영향을 받은 리소스를 선택할 때 서비스 사용자에 암호 비밀 자격 증명을 표시하지 않습니다.

• 영향을 받은 리소스 목록에 표시된 ID는 서비스 사용자가 아닌 애플리케이션에 대한 것입니다.

다음 단계

• Microsoft Entra 권장 사항 개요 검토
• Microsoft Entra 권장 사항을 사용하는 방법 알아보기
• 권장 사항에 대한 Microsoft Graph API 속성 탐색
• 서비스 사용자 보안에 대해 알아보기