Doporučení Microsoft Entra: Odebrání nepoužívaných přihlašovacích údajů z aplikací (Preview)

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k odebrání nepoužívaných přihlašovacích údajů z aplikací. Toto doporučení se volá StaleAppCreds v rozhraní API pro doporučení v Microsoft Graphu.

Požadavky

Pro zobrazení nebo aktualizaci doporučení existují různé požadavky na roli. Pro typ potřebného přístupu použijte nejméně privilegovanou roli. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Role Microsoft Entra	Typ přístupu
Čtenář sestav	Jen pro čtení
Čtenář zabezpečení	Jen pro čtení
Globální čtenář	Jen pro čtení
Správce zásad ověřování	Aktualizace a čtení
Správce Exchange	Aktualizace a čtení
Správce zabezpečení	Aktualizace a čtení
DirectoryRecommendations.Read.All	Jen pro čtení v Microsoft Graphu
DirectoryRecommendations.ReadWrite.All	Aktualizace a čtení v Microsoft Graphu

Některá doporučení můžou vyžadovat licenci P2 nebo jinou. Další informace najdete v přehledové tabulce Doporučení.

Popis

Přihlašovací údaje aplikace můžou zahrnovat certifikáty a další typy tajných kódů, které je potřeba v této aplikaci zaregistrovat. Tyto přihlašovací údaje slouží k prokázání identity aplikace. V aplikaci by měly zůstat zaregistrované jenom přihlašovací údaje, které aplikace aktivně používá.

Přihlašovací údaje se považují za nepoužité, pokud:

• V posledních 30 dnech se nepoužila.
• Jedná se o přihlašovací údaje přidané do aplikace, které se mají použít pro toky OAuth/OIDC nebo instanční objekt pro tok SAML.

Z doporučení jsou vyloučené následující přihlašovací údaje:

• Přihlašovací údaje s vypršenou platností se nezobrazují v seznamu ovlivněných prostředků .
• Přihlašovací údaje, které byly identifikovány jako nepoužité, ale jejichž platnost vypršela, se od označení příznakem zobrazují jako Dokončeno v seznamu Ovlivněné prostředky .

Hodnota

Odebrání nepoužívaných přihlašovacích údajů aplikace pomáhá snížit prostor pro útok a pomáhá snížit portfolio aplikací tenanta.

Akční plán:

Toto doporučení je k dispozici v Centru pro správu Microsoft Entra a pomocí rozhraní Microsoft Graph API.

Centrum pro správu Microsoft Entra

Aplikace, které doporučení identifikovaly, se zobrazí v seznamu ovlivněných prostředků v dolní části doporučení.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na Přehled identity>.

3. Vyberte kartu Doporučení a vyberte možnost Odebrat nepoužívané přihlašovací údaje z doporučení aplikací.

4. Poznamenejte si následující podrobnosti z tabulky Ovlivněné prostředky .

   • Sloupec Prostředek zobrazuje název aplikace.
   • Ve sloupci ID se zobrazí ID aplikace.

5. Pokud chcete zobrazit další podrobnosti, vyberte ve sloupci Akce další podrobnosti.

   

   Poznámka:

   Pokud je původ přihlašovacích údajů instanční objekt, postupujte podle pokynů v části Instanční objekty .

6. Na panelu, který se otevře, vyberte Aktualizovat přihlašovací údaje a přejděte přímo do oblasti Certifikáty a tajné kódy registrace aplikace a odeberte nepoužívané přihlašovací údaje.

   1. Případně přejděte do části Aplikace>Registrace aplikací a vyberte aplikaci, která se v rámci tohoto doporučení zobrazí.

      

   2. Pak přejděte do části Certifikáty a tajné kódy registrace aplikace.

      

7. Vyhledejte nepoužívané přihlašovací údaje a odeberte je.

Microsoft Graph API

Následující požadavky je možné použít k načtení doporučení a ovlivněných prostředků pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All oprávnění. Další informace najdete v tématu Jak používat doporučení identit.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

Načtení všech doporučení pro vašeho tenanta:

GET https://graph.microsoft.com/beta/directory/recommendations

V odpovědi vyhledejte ID doporučení, které odpovídá následujícímu vzoru: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Identifikace ovlivněných prostředků:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Filtrování prostředků na základě jejich stavu (například aktivní prostředky):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Poznamenejte AppIdsi , CredentialIda původ přihlašovacích údajů, které chcete odebrat.
• Pomocí těchto rozhraní Microsoft Graph API přidejte nové heslo nebo přihlašovací údaje klíče:
  • removePassword
  • removeKey

Ukázková odpověď

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Instanční objekty

Pokud je původ přihlašovacích údajů instančním objektem, je potřeba vzít v úvahu několik důležitých informací a provést další kroky.

Vzhledem k tomu, že pro jednu aplikaci často existuje více instančních objektů, může být jednodušší přejít na podnikové aplikace a zobrazit všechno na jednom místě.

1. V Centru pro správu Microsoft Entra přejděte k >.

2. Vyhledejte a otevřete aplikaci, která se v rámci tohoto doporučení otevřela.

3. V boční nabídce vyberte jednotné přihlašování .

   Pokud jsou přihlašovací údaje instančním objektem, ale používají se certifikáty SAML, můžete identifikovat podrobnosti přihlašovacích údajů pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All oprávnění. Další informace najdete v tématu Jak používat doporučení identit.

4. Přihlaste se k Graph Exploreru.

5. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

6. Nastavte verzi rozhraní API na beta.

7. Dotazování na keyCredential koncové body a passwordCredential koncové body

8. removePassword Pomocí koncových bodů odeberte removeKey přihlašovací údaje z instančního objektu.

Související obsah

• Přehled doporučení Microsoft Entra
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení
• Informace o objektech aplikace a instančního objektu v Microsoft Entra ID