Recomendação do Microsoft Entra: renovar as credenciais de aplicativo que estão expirando (versão prévia)

Artigo
10/24/2024

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para renovar as credenciais de aplicativo que estão expirando. Essa recomendação é chamada de applicationCredentialExpiry na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Somente leitura
Leitor de segurança	Somente leitura
Leitor global	Somente leitura
Administrador de Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
`DirectoryRecommendations.Read.All`	Somente leitura no Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.

Descrição

As credenciais do aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados nesse aplicativo. Essas credenciais são usadas para provar a identidade do aplicativo.

Essa recomendação aparecerá se o locatário tiver credenciais de aplicativo que vão expirar em breve.

Uma credencial de aplicativo está expirando se:

Ele está em um registro de aplicativo E está expirando nos próximos 30 dias.

As seguintes credenciais são isentas desta recomendação:

Credenciais que foram identificadas como prestes a expirar, mas foram removidas do registro do aplicativo
As credenciais cuja data de validade expirou são mostradas como concluídas na lista de recursos afetados.

Valor

Renovar as credenciais de um aplicativo antes da data de expiração é crucial para manter operações ininterruptas e minimizar o risco de qualquer tempo de inatividade resultante de credenciais desatualizadas.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra
API do Microsoft Graph

Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Visão Geral.
Selecione a guia Recomendações e selecione a recomendação Renovar credenciais de aplicativo prestes a exirar.
Anote os detalhes a seguir da tabela de recursos afetados.
- A coluna Recurso exibe o nome do aplicativo
- A coluna ID exibe a ID do aplicativo
Selecione Mais detalhes na coluna Ações.
No painel que é aberto, selecione Atualizar credencial para navegar diretamente até a área Certificados e segredos do registro do aplicativo para renovar a credencial expirada.
1. Como alternativa, navegue até Identidade>Aplicativos>Registros de aplicativo e localize o aplicativo para o qual a credencial precisa ser girada.
1. Navegue até a seção Certificados e Segredos do registro de aplicativo.
Escolha o tipo de credencial que sofrerá a rotação, navegue até a guia Certificados ou Segredo do Cliente e siga os prompts.
Depois que o certificado ou o segredo for adicionado com êxito, atualize o código de serviço para garantir que ele funcione com a nova credencial e não prejudique os clientes.
Use os logs de entrada do Microsoft Entra para validar se a ID da chave da credencial corresponde à que foi adicionada recentemente.
Depois de validar a nova credencial, retorne para Registros de aplicativos>Certificados e Segredos do aplicativo e remova a credencial antiga.

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

Inicie a sessão no Explorador de gráficos.
Selecione GET como o método HTTP na lista suspensa.

Para recuperar todas as recomendações para seu locatário:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize a ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights. ApplicationCredentialExpiry’/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Anote o AppId, CredentialId e Origin da credencial que você deseja remover. Para remover a credencial, use as seguintes diretrizes do Microsoft Graph:

Resposta de exemplo

 {
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ApplicationCredentialExpiry",
  "recommendationType": "applicationCredentialExpiry",
  "createdDateTime": "2022-06-08T00:08:01Z",
  "impactStartDateTime": "2022-06-08T00:08:01Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-29T12:03:16Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring application credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials that will expire soon.",
  "benefits": "Renewing the app credential(s) before its expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the App registration section and locate the application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Certificates & Secrets” blade of the app registration."
    },
    {
      "stepNumber": 3,
      "text": "3. Pick the credential type that you want to rotate and navigate to either “Certificates” or “Client Secret” tab and follow the prompts.",
      "actionUrl": null
    },
    {
      "stepNumber": 4,
      "text": "4. Once the certificate or secret is successfully added, update the service code to ensure it works with the new credential and has no negative customer impact. You should use Microsoft Entra ID’s sign-in logs to validate that the thumbprint of the certificate matches the one that was just uploaded.",
      "actionUrl": null
    },
    {
      "stepNumber": 5,
      "text": "5. After validating the new credential, navigate back to the Certificates and Secrets blade for the app and remove the old credential.",
      "actionUrl": null
    }
  ]
}

Compartilhar via

Recomendação do Microsoft Entra: renovar as credenciais de aplicativo que estão expirando (versão prévia)

Pré-requisitos

Descrição

Valor

Plano de ação

Resposta de exemplo

Comentários

Recursos adicionais

Compartilhar via

Recomendação do Microsoft Entra: renovar as credenciais de aplicativo que estão expirando (versão prévia)

Pré-requisitos

Descrição

Valor

Plano de ação

Conteúdo relacionado

Comentários

Recursos adicionais