Microsoft Entra 권장 사항: 만료되는 서비스 사용자 자격 증명 갱신(미리 보기)
Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.
이 문서에서는 만료되는 서비스 사용자 자격 증명을 갱신하는 권장 사항에 대해 설명합니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 servicePrincipalKeyExpiry이라고 합니다.
필수 조건
권장 사항을 보거나 업데이트하기 위한 다양한 역할 요구 사항이 있습니다. 필요한 액세스 유형에 대해 최소 권한 역할을 사용합니다. 역할의 전체 목록은 태스크별 최소 권한 역할을 참조 하세요.
| Microsoft Entra 역할 | 액세스 형식 |
|---|---|
| 보고서 읽기 권한자 | 읽기 전용 |
| 보안 판독기 | 읽기 전용 |
| 전역 Reader | 읽기 전용 |
| 인증 정책 관리자 | 업데이트 및 읽기 |
| Exchange 관리자 | 업데이트 및 읽기 |
| 보안 관리자 | 업데이트 및 읽기 |
DirectoryRecommendations.Read.All |
Microsoft Graph에서 읽기 전용 |
DirectoryRecommendations.ReadWrite.All |
Microsoft Graph에서 업데이트 및 읽기 |
일부 권장 사항에는 P2 또는 기타 라이선스가 필요할 수 있습니다. 자세한 내용은 권장 가용성 및 라이선스 요구 사항을 참조하세요.
설명
서비스 주체 자격 증명에는 서비스 주체에 추가된 인증서 및 클라이언트 비밀이 포함됩니다. 자격 증명은 해당 서비스 주체의 ID를 증명하는 데 사용됩니다. 자격 증명이 만료되면 서비스 주체가 인증할 수 없으므로 비즈니스 시나리오에 가동 중지 시간이 발생할 수 있습니다. 이 권장 사항은 테넌트에 곧 만료되는 자격 증명이 있는 서비스 주체가 있는 경우에 표시됩니다.
다음과 같은 경우 서비스 주체 자격 증명이 만료됩니다.
- 서비스 주체에 있으며 향후 30일 이내에 만료됩니다.
다음 자격 증명은 이 권장 사항에서 제외됩니다.
- 만료된 것으로 식별되었지만 이후 애플리케이션 등록에서 제거된 자격 증명입니다.
- 만료 날짜가 경과된 자격 증명은 영향을 받는 리소스 목록에 완료된 것으로 표시됩니다.
값
만료 날짜 이전에 서비스 주체의 자격 증명을 갱신하는 것은 중단 없는 작업을 유지하고 오래된 자격 증명으로 인한 가동 중지 시간의 위험을 최소화하는 데 중요합니다.
작업 플랜:
이 권장 사항은 Microsoft Entra 관리 센터 및 Microsoft Graph API를 사용하여 사용할 수 있습니다.
최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>개요로 이동합니다.
권장 사항 탭을 선택하고 만료되는 서비스 주체 자격 증명 갱신 권장 사항을 선택합니다.
작업 열에서 자세히를 선택합니다.
열리는 패널에서 자격 증명 업데이트를 선택하여 앱 등록의 Single Sign-On 영역으로 직접 이동합니다.
- 또는 ID>애플리케이션>앱 등록 찾아 자격 증명을 회전해야 하는 애플리케이션을 찾습니다.
- 앱 등록의 Single Sign-On 섹션으로 이동합니다.
SAML 서명 인증서 섹션을 편집하고 프롬프트에 따라 새 인증서를 추가합니다.
인증서 또는 비밀이 성공적으로 추가되면 SAML 서명 인증서 구성을 업데이트하여 새 인증서를 활성화합니다.
애플리케이션이 예상대로 작동하는지 확인한 다음 SAML 인증서 컬렉션에서 비활성 SAML 인증서를 제거합니다.
참고 항목
구성된 SAML 자격 증명이 없지만 이 권장 사항을 받은 경우 Microsoft Graph ServicePrincipalAPI 엔드포인트를 사용하여 서비스 주체 개체의 속성과 passwordCredentials 속성을 확인 keyCredentials 합니다. 자격 증명을 찾아서 회전합니다.
서비스 주체 대신 지원 애플리케이션 개체에 정의된 자격 증명으로 작동할 수 있도록 서비스를 변경하는 것이 좋습니다.