Raccomandazione di Microsoft Entra: Rimuovere le credenziali inutilizzate dalle app (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di rimuovere le credenziali inutilizzate dalle app. Questo consiglio viene chiamato StaleAppCreds nell'API consigli in Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Lettore di report	Sola lettura
Lettore di sicurezza	Sola lettura
Lettore Globale	Sola lettura
Amministratore dei criteri di autenticazione	Aggiornamento e lettura
Amministratore di Exchange	Aggiornamento e lettura
Amministratore della sicurezza	Aggiorna e leggi
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere la tabella di panoramica delle raccomandazioni .

Descrizione

Le credenziali dell'applicazione possono includere certificati e altri tipi di segreti che devono essere registrati con tale applicazione. Queste credenziali vengono usate per dimostrare l'identità dell'applicazione. Solo le credenziali usate attivamente da un'applicazione devono rimanere registrate con l'applicazione.

Una credenziale viene considerata inutilizzata se:

• Non è stato usato negli ultimi 30 giorni.
• Si tratta di credenziali aggiunte a un'applicazione da usare per i flussi OAuth/OIDC o all'entità servizio per il flusso SAML.

Le credenziali seguenti sono escluse dalla raccomandazione:

• Le credenziali scadute non vengono visualizzate nell'elenco Risorse interessate .
• Le credenziali identificate come inutilizzate ma scadute dopo essere state contrassegnate come Completato nell'elenco Risorse interessate .

Valore

La rimozione delle credenziali dell'applicazione inutilizzate consente di ridurre la superficie di attacco e di ridurre il portfolio di app di un tenant.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Le applicazioni identificate dalla raccomandazione vengono visualizzate nell'elenco delle risorse interessate nella parte inferiore della raccomandazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare il consiglio Rimuovi credenziali inutilizzate dalle applicazioni .

4. Prendere nota dei dettagli seguenti nella tabella Risorse interessate .

   • Nella colonna Risorsa viene visualizzato il nome dell'applicazione
   • La colonna ID visualizza l'ID applicazione

5. Selezionare Altri dettagli nella colonna Azioni per visualizzare altri dettagli.

   

   Nota

   Se l'origine della credenziale è Principale servizio, seguire le indicazioni nella sezione Principali servizio.

6. Nel pannello visualizzato selezionare Aggiorna credenziali per passare direttamente all'area Certificati e segreti della registrazione dell'app per rimuovere le credenziali inutilizzate.

   1. In alternativa, passare a Identità>Applicazioni>Registrazioni app e selezionare l'applicazione visualizzata come parte di questo suggerimento.

      

   2. Passare quindi alla sezione Certificati e segreti della registrazione dell'app.

      

7. Individuare le credenziali inutilizzate e rimuoverle.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per ulteriori informazioni, vedere Come utilizzare le Raccomandazioni di Identità.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Per recuperare tutte le raccomandazioni per il tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Per filtrare le risorse in base al relativo stato (ad esempio, risorse attive ):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Prendere nota dell'origine AppId, CredentialIde delle credenziali da rimuovere.
• Usare queste API di Microsoft Graph per aggiungere una nuova password o una nuova credenziale della chiave:
  • removePassword
  • removeKey

Risposta di esempio

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Principali del servizio

Se l'origine della credenziale è principal del servizio, è necessario tenere presenti alcune considerazioni e passaggi aggiuntivi da seguire.

Poiché spesso sono presenti più entità servizio per una singola applicazione, può essere più facile passare alle app aziendali per visualizzare tutti gli elementi in un'unica posizione.

1. Nell'interfaccia di amministrazione di Microsoft Entra, passare a Identità, Applicazioni, Applicazioni aziendali.

2. Cercare e aprire l'applicazione visualizzata come parte di questa raccomandazione.

3. Selezionare Single Sign-On dal menu laterale.

   Se la credenziale è un'entità di servizio ma sono in uso certificati SAML, è possibile identificare i dettagli della credenziale usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per ulteriori informazioni, vedere Come usare i consigli per l'identità.

4. Accedere a Graph explorer.

5. Selezionare GET come metodo HTTP dall'elenco a discesa.

6. Impostare la versione dell'API su beta.

7. Eseguire query sull'endpoint keyCredential e su quello passwordCredential.

8. Usare l'removePassword o l'removeKey endpoint per rimuovere la credenziale dal principale di servizio.

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli
• Informazioni sugli oggetti app e entità servizio in Microsoft Entra ID