Aanbeveling van Microsoft Entra: ongebruikte inloggegevens verwijderen uit apps (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling besproken om ongebruikte referenties uit apps te verwijderen. Deze aanbeveling wordt aangeroepen StaleAppCreds in de aanbevelingen-API in Microsoft Graph.

Voorwaarden

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen lezen
Beveiligingslezer	Alleen-lezen
Wereldwijde lezer	Alleen lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie de overzichtstabel Aanbevelingenvoor meer informatie.

Beschrijving

Toepassingsreferenties kunnen certificaten en andere typen geheimen bevatten die moeten worden geregistreerd bij die toepassing. Deze referenties worden gebruikt om de identiteit van de applicatie te bewijzen. Alleen referenties die actief worden gebruikt door een toepassing, moeten geregistreerd blijven bij de toepassing.

Een referentie wordt als ongebruikt beschouwd als:

• Het is de afgelopen 30 dagen niet gebruikt.
• Dit is een referentie-informatie die is toegevoegd aan een toepassing om te gebruiken voor OAuth/OIDC-stromen of aan de service-principal voor SAML-stromen.

De volgende inloggegevens zijn uitgesloten van de aanbeveling:

• Verlopen inloggegevens worden niet weergegeven in de lijst met getroffen resources.
• Referenties die zijn geïdentificeerd als ongebruikt, maar zijn verlopen sinds ze zijn gemarkeerd, worden weergegeven als Voltooid in de lijst met betrokken resources .

Waarde

Het verwijderen van ongebruikte applicatiegegevens helpt de aanvalsvector te verkleinen en helpt de app-portfolio van een tenant op te ruimen.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

Toepassingen die door de aanbeveling zijn geïdentificeerd, worden weergegeven in de lijst met betrokken resources onder aan de aanbeveling.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minstens een beveiligingsbeheerder.

2. Blader naar Identiteit>Overzicht.

3. Selecteer het tabblad Aanbevelingen en selecteer de aanbeveling Verwijder ongebruikte referenties uit toepassingen.

4. Neem kennis van de volgende details uit de tabel Betrokken bronnen.

   • In de kolom Resource wordt de naam van de toepassing weergegeven
   • In de kolom ID wordt de toepassings-id weergegeven

5. Selecteer Meer details in de kolom Acties om meer details weer te geven.

   

   Notitie

   Als de oorsprong van de referentie service-principal is, volgt u de richtlijnen in de sectie Service-principals.

6. Selecteer referentie bijwerken in het deelvenster dat wordt geopend om rechtstreeks naar het gebied Certificaten en geheimen van de app-registratie te gaan om de ongebruikte referenties te verwijderen.

   1. U kunt ook naar Identiteit>Toepassingen>App-registraties bladeren en de toepassing selecteren die is weergegeven als onderdeel van deze aanbeveling.

      

   2. Navigeer vervolgens naar de sectie Certificaten en geheimen van de app-registratie.

      

7. Zoek de ongebruikte referentie en verwijder deze.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Raadpleeg Hoe Identiteitsaanbevelingen te gebruiken voor meer informatie.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Getroffen bronnen identificeren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

De resources filteren op basis van hun status (bijvoorbeeld actieve resources):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Noteer de AppId, CredentialIden de oorsprong van de referentie die u wilt verwijderen.
• Gebruik deze Microsoft Graph API's om een nieuw wachtwoord of sleutelreferentie toe te voegen:
  • removePassword
  • removeKey

Voorbeeldrespons

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Service-principals

Als de oorsprong van de referentie service-principal is, zijn er enkele overwegingen en extra stappen die u moet volgen.

Omdat er vaak meerdere service-principals zijn voor één toepassing, is het misschien eenvoudiger om naar Enterprise-apps te navigeren om alles op één plek weer te geven.

1. Blader in het Microsoft Entra-beheercentrum naar Identiteit>Toepassingen>Bedrijfstoepassingen.

2. Zoek en open de toepassing die is weergegeven als onderdeel van deze aanbeveling.

3. Selecteer Eenmalige aanmelding in het zijmenu.

   Als de referentie een service-principal is, maar er SAML-certificaten in gebruik zijn, kunt u de details van de referentie identificeren met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Hoe identiteitsaanbevelingen te gebruiken voor meer informatie.

4. Meld u aan bij Graph Explorer.

5. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

6. Stel de API-versie in op bèta.

7. Query's uitvoeren op de keyCredential en passwordCredential eindpunten.

8. Gebruik de removePassword of removeKey eindpunten om de referentie uit de service-principal te verwijderen.

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over app- en service-principal-objecten in Microsoft Entra ID