Microsoft Entra の推奨事項: アプリから未使用の資格情報を削除する (プレビュー)

Microsoft Entra の推奨事項には、パーソナライズされた分析情報と、推奨されるベストプラクティスにおいてテナントを配置するための実用的ガイダンスの提供という特徴があります。

このアーティクルでは、アプリから未使用の資格情報を削除するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で StaleAppCreds と呼ばれます。

前提条件

推奨事項を表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。 ロールの完全な一覧については、「 タスク別の特権ロールを参照してください。

Microsoft Entra ロール	アクセスの種類
レポート閲覧者	読み取り専用
セキュリティ閲覧者	読み取り専用
グローバル閲覧者	読み取り専用
認証ポリシー管理者	更新と読み取り
Exchange 管理者	更新と読み取り
セキュリティ管理者	更新と読み取り
DirectoryRecommendations.Read.All	Microsoft Graph での読み取り専用
DirectoryRecommendations.ReadWrite.All	Microsoft Graph で更新と読み取りを行う

推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 推奨事項の可用性とライセンス要件」を参照してください。

説明

アプリケーション資格情報には、そのアプリケーションに登録する必要がある証明書やその他の型のシークレットを含めることができます。 これらの資格情報は、アプリケーションの ID を証明するために使用されます。 アプリケーションでアクティブに使用されている資格情報のみが、アプリケーションにレジスタされたままになります。

次の場合、資格情報は使用されていないと見なされます。

• 過去 30 日間使用されていません。
• OAuth/OIDC フローに使用するアプリケーション、または SAML フローのサービス プリンシパルに追加された資格情報です。

次の資格情報は推奨事項から除外されます。

• 有効期限切れの資格情報は、[影響を受けたリソース] の一覧に表示されません。
• 未使用として識別されたものの、フラグが設定された後に有効期限が切れた資格情報は、[影響を受けたリソース] 一覧に [完了済み] として表示されます。

値

未使用のアプリケーション資格情報を削除すると、攻撃面を減らし、テナントのアプリ ポートフォリオから不要なものを片付けるのに役立ちます。

行動計画

この推奨事項は、Microsoft Entra 管理センター、または Microsoft Graph API で使用できます。

Microsoft Entra 管理センター

レコメンデーションが特定されたアプリケーションは、レコメンデーションの下部にある [影響を受けたリソース ] のリストに表示されます。

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. ID>概要 を参照します。

3. [推奨事項] タブを選択し、[アプリケーションから未使用の資格情報を削除する] 推奨事項を選択します。

4. [影響を受けたリソース] テーブルから、次の詳細をメモしておきます。

   • [リソース] 列にアプリケーション名が表示されます
   • [ID] 列にアプリケーション ID が表示されます

5. [アクション] 列から [詳細] を選択し、詳細を表示します。

   

   Note

   資格情報元がサービス プリンシパルの場合は、「サービス プリンシパル」セクションのガイダンスに従います。

6. 開いたパネルから [資格情報の更新] を選択し、アプリ登録の [証明書とシークレット] 領域に直接移動して、未使用の資格情報を削除します。

   1. または、[ID]>[アプリケーション]>[アプリの登録] に移動し、この推奨事項の一部として表示されたアプリケーションを選択します。

      

   2. 次に、アプリの登録の [証明書とシークレット] セクションに移動します。

      

7. 未使用の資格情報を見つけて削除します。

Microsoft Graph API

次の要求を使用すると、Microsoft Graph API で推奨事項と影響を受けるリソースを取得できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。 詳細については、ID の推奨事項の使用方法に関する記事を参照してください。

1. グラフ エクスプローラーにサインインします。
2. ドロップダウンから HTTP メソッドとして [GET] を選択します。

テナントのすべての推奨事項を取得するには:

GET https://graph.microsoft.com/beta/directory/recommendations

応答から、次のパターンに一致する推奨事項の ID を見つけます: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds。

影響を受けるリソースを特定するには:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

状態に基づいてリソースをフィルター処理するには (たとえば、"アクティブ" なリソース):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 削除する資格情報の AppId、CredentialId、情報元をメモしておきます。
• 次の Microsoft Graph API を使用して、新しいパスワードまたはキーの資格情報を追加します。
  • removePassword
  • removeKey

サンプル応答

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

サービス プリンシパル

資格情報元がサービス プリンシパルの場合は、いくつかの考慮事項と追加の手順に従う必要があります。

1 つのアプリケーションには複数のサービス プリンシパルが存在することが多いため、エンタープライズ アプリに移動し、すべてを 1 か所で参照するのが簡単な場合があります。

1. Microsoft Entra 管理センターで、[ID]>[アプリケーション]>[エンタープライズ アプリケーション] に移動します。

2. この推奨事項の一部として表示されたアプリケーションを検索して開きます。

3. サイド メニューから [シングル サインオン] を選択します。

   資格情報がサービス プリンシパルであるものの、使用中の SAML 証明書がある場合は、Microsoft Graph API を使用して資格情報の詳細を識別できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。 詳細については、ID の推奨事項の使用方法に関する記事を参照してください。

4. グラフ エクスプローラーにサインインします。

5. ドロップダウンから HTTP メソッドとして [GET] を選択します。

6. API バージョンを [ベータ] に設定します。

7. keyCredential エンドポイントと passwordCredential エンドポイントに対してクエリを実行します。

8. removePassword エンドポイントまたは removeKey エンドポイントを使用して、サービス プリンシパルから資格情報を削除します。

関連するコンテンツ

• Microsoft Entraの推奨事項の概要を確認する
• Microsoft Entra の推奨事項を使用する方法について説明する
• 推奨事項用の Microsoft Graph API のプロパティを調べる
• Microsoft Entra ID のアプリとサービス プリンシパル オブジェクトについて確認する