Zalecenie firmy Microsoft Entra: usuwanie nieużywanych poświadczeń z aplikacji (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące usuwania nieużywanych poświadczeń z aplikacji. To zalecenie jest wywoływane StaleAppCreds w interfejsie API zaleceń w programie Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytelnik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizowanie i odczytywanie
Administrator programu Exchange	Aktualizowanie i odczytywanie
Administrator zabezpieczeń	Aktualizowanie i odczytywanie
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.

opis

Poświadczenia aplikacji mogą zawierać certyfikaty i inne typy wpisów tajnych, które muszą być zarejestrowane w tej aplikacji. Te poświadczenia są używane do potwierdzenia tożsamości aplikacji. Tylko poświadczenia aktywnie używane przez aplikację powinny pozostać zarejestrowane w aplikacji.

Poświadczenie jest uznawane za nieużywane, jeśli:

• Nie był używany w ciągu ostatnich 30 dni.
• Jest to poświadczenie dodane do aplikacji, które ma być używane dla przepływów OAuth/OIDC lub do jednostki usługi dla przepływu SAML.

Następujące poświadczenia są wykluczone z zalecenia:

• Wygasłe poświadczenia nie są wyświetlane na liście Zasobów , których dotyczy ten wpływ.
• Poświadczenia, które zostały zidentyfikowane jako nieużywane, ale wygasły od czasu oflagowania, są wyświetlane jako Ukończone na liście Zasobów , których dotyczy problem.

Wartość

Usunięcie nieużywanych poświadczeń aplikacji pomaga zmniejszyć obszar obszaru podatnego na ataki i pomóc usunąć portfolio aplikacji dzierżawy.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Aplikacje, które zidentyfikowano zalecenie, są wyświetlane na liście zasobów , których dotyczy problem w dolnej części zalecenia.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do strony Przegląd tożsamości>.

3. Wybierz kartę Zalecenia i wybierz zalecenie Usuń nieużywane poświadczenia z aplikacji.

4. Zanotuj następujące szczegóły z tabeli Zasoby , których to dotyczy.

   • Kolumna Zasób wyświetla nazwę aplikacji
   • Kolumna ID wyświetla identyfikator aplikacji

5. Wybierz pozycję Więcej szczegółów w kolumnie Akcje , aby wyświetlić więcej szczegółów.

   

   Uwaga

   Jeśli źródłem poświadczeń jest jednostka usługi, postępuj zgodnie ze wskazówkami w sekcji Jednostki usługi.

6. W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru Certyfikaty i wpisy tajne rejestracji aplikacji, aby usunąć nieużywane poświadczenia.

   1. Alternatywnie przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz aplikację, która została wyjęta w ramach tego zalecenia.

      

   2. Następnie przejdź do sekcji Certyfikaty i wpisy tajne rejestracji aplikacji.

      

7. Znajdź nieużywane poświadczenia i usuń je.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są DirectoryRecommendations.Read.All uprawnienia i DirectoryRecommendations.ReadWrite.All . Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Aby pobrać wszystkie zalecenia dotyczące dzierżawy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Zanotuj AppIdelement , CredentialIdi źródło poświadczeń, które chcesz usunąć.
• Użyj tych interfejsów API programu Microsoft Graph, aby dodać nowe hasło lub poświadczenia klucza:
  • removePassword
  • removeKey

Przykładowa odpowiedź

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Jednostki usługi

Jeśli źródłem poświadczeń jest jednostka usługi, należy wziąć pod uwagę kilka kwestii i wykonać dodatkowe kroki.

Ponieważ często istnieje wiele jednostek usługi dla jednej aplikacji, może być łatwiej przejść do aplikacji dla przedsiębiorstw, aby wyświetlić wszystko w jednym miejscu.

1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Aplikacje tożsamości>dla> przedsiębiorstw.

2. Wyszukaj i otwórz aplikację, która została wyjętą w ramach tego zalecenia.

3. Wybierz pozycję Logowanie jednokrotne z menu bocznego.

   Jeśli poświadczenie jest jednostką usługi, ale są używane certyfikaty SAML, możesz zidentyfikować szczegóły poświadczenia przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są DirectoryRecommendations.Read.All uprawnienia i DirectoryRecommendations.ReadWrite.All . Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

4. Zaloguj się do Eksploratora programu Graph.

5. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

6. Ustaw wersję interfejsu API na wersję beta.

7. Wykonywanie zapytań względem keyCredential punktów końcowych i passwordCredential .

8. removePassword Użyj punktów końcowych lubremoveKey, aby usunąć poświadczenia z jednostki usługi.

Powiązana zawartość

• Zapoznaj się z omówieniem zaleceń firmy Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń
• Dowiedz się więcej o obiektach aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft