Microsoft 是否将客户端机密的有效期更改为最长 2 年?不能再选择“从不”了吗?
答案 0 :(得分:7)
Microsoft 是否将客户端机密的到期日期更改为最大 2年?不能再选择“从不”了吗?
没错。客户端密钥的新过期期限最长为 2 年。
答案 1 :(得分:5)
有人可以指出 Microsoft 为何以及何时强制执行此操作的链接吗?这并不是真正的安全最佳做法,可能会对正在运行的应用程序产生严重影响。
这不是一个可能泄露的密码暴露前端。有些机密仅在服务器后端使用,并且很复杂且长度至少为 20 个字符。如今,暴力无法打破这些。 因此,事实上,由于 Azure 上没有像证书那样的监控和警报,因此在 2 年后,这对 Azure 用户来说将是一场噩梦。
答案 2 :(得分:2)
我自己刚刚遇到了这个。您可以使用 Powershell 设置添加超过 2 年的凭据。所以我猜这是一个 UI 限制。
$startDate = Get-Date
$endDate = $startDate.AddYears(98)
$aadAppsecret01 = New-AzureADApplicationPasswordCredential -ObjectId b09d3e1b-417d-425c-be05-9e46943d7207 -StartDate $startDate -EndDate $endDate
答案 3 :(得分:0)
我是新用户,无法直接向dainfo99发表评论。
<块引用>有人可以指出 Microsoft 为何以及何时强制执行此操作的链接吗?这并不是真正的安全最佳做法,可能会对正在运行的应用程序产生严重影响。
这不是一个可能泄露的密码暴露前端。有些机密仅在服务器后端使用,并且很复杂且长度至少为 20 个字符。如今,暴力无法打破这些。因此,事实上,由于 Azure 上没有像证书那样的监控和警报,因此在 2 年后,这对 Azure 用户来说将是一场噩梦。
我想说这更多地与用于管理客户端机密的 Gemalto(或同等)后端有关,尽管之前分配的“从不”机密现在 99 年后过期,因此它可能无法完全解释问题.
但是,我不同意它是否可以暴露。应用程序注册可公开访问,并且(如果未被发现)可能会受到秘密尝试的无限挑战。我不相信仅仅使用 2 年会有所不同。
这可能很简单,因为 Microsoft 遇到了一个问题,即配置不当或废弃的配置暴露了 Azure AD 平台的一部分,这是他们减少废弃的一种方式。他们对原始“从不”配置的秘密无能为力,但任何新的秘密都会有时间限制。