Zalecenie firmy Microsoft Entra: usuwanie nieużywanych poświadczeń z aplikacji (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące usuwania nieużywanych poświadczeń z aplikacji. To zalecenie nazywa się staleAppCreds w interfejsie API zaleceń w Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytnik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizuj i czytaj
Administrator programu Exchange	Aktualizuj i czytaj
Administrator zabezpieczeń	Aktualizuj i czytaj
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz tabelę przeglądu zaleceń .

opis

Poświadczenia aplikacji mogą zawierać certyfikaty i inne typy wpisów tajnych, które muszą być zarejestrowane w tej aplikacji. Te poświadczenia są używane do potwierdzenia tożsamości aplikacji. Tylko poświadczenia aktywnie używane przez aplikację powinny pozostać zarejestrowane w aplikacji.

Poświadczenie jest uznawane za nieużywane, jeśli:

• Nie był używany w ciągu ostatnich 30 dni.
• Są to dane uwierzytelniające dodane do aplikacji, które mają być używane w przepływach OAuth/OIDC lub do głównego użytkownika usługi w przepływie SAML.

Następujące poświadczenia są wykluczone z zalecenia:

• Wygasłe poświadczenia nie pojawiają się na liście zasobów objętych wpływem.
• Poświadczenia, które zostały zidentyfikowane jako nieużywane, ale wygasły po oflagowaniu, są teraz wyświetlane jako Ukończone na liście Zasobów objętych problemem.

Wartość

Usunięcie nieużywanych poświadczeń aplikacji pomaga zmniejszyć powierzchnię podatną na ataki i uporządkować portfolio aplikacji dzierżawy.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Aplikacje zidentyfikowane przez zalecenie są wyświetlane na liście zasobów, których dotyczy problem w dolnej części zalecenia.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Tożsamość>Przegląd.

3. Wybierz kartę Zalecenia i wybierz zalecenie Usuń nieużywane poświadczenia z aplikacji.

4. Zanotuj następujące szczegóły z tabeli Zasoby dotknięte.

   • Kolumna Zasób wyświetla nazwę aplikacji
   • Kolumna ID wyświetla identyfikator aplikacji

5. Wybierz pozycję Więcej szczegółów w kolumnie Akcje , aby wyświetlić więcej szczegółów.

   

   Uwaga

   Jeśli źródłem poświadczeń jest jednostka usługi, postępuj zgodnie ze wskazówkami w sekcji Jednostki usługi.

6. W wyświetlonym panelu wybierz pozycję Aktualizuj poświadczenia , aby przejść bezpośrednio do obszaru Certyfikaty i wpisy tajne rejestracji aplikacji, aby usunąć nieużywane poświadczenia.

   1. Alternatywnie przejdź do pozycji Identity>Applications>Rejestracje aplikacji i wybierz aplikację, która została wyświetlona w ramach tego zalecenia.

      

   2. Następnie przejdź do sekcji Certyfikaty i Tajne Informacje rejestracji aplikacji.

      

7. Znajdź nieużywane poświadczenia i usuń je.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są uprawnienia DirectoryRecommendations.Read.All i DirectoryRecommendations.ReadWrite.All. Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Aby pobrać wszystkie zalecenia dotyczące najemcy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_staleAppCreds.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleAppCreds

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/eta/directory/recommendations/{tenantId}_staleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Zanotuj AppId element, CredentialId i źródło poświadczenia, które chcesz usunąć.
• Użyj tych interfejsów API programu Microsoft Graph, aby dodać nowe hasło lub poświadczenia klucza:
  • removePassword
  • usuń klucz

Przykładowa odpowiedź

{
  "id": "aaaabbbb-0000-cccc-1111-dddd2222eeee_staleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Podmioty usługi

Jeśli źródłem poświadczeń jest główna usługa, należy wziąć pod uwagę kilka kwestii i wykonać dodatkowe kroki.

Ponieważ często istnieje wiele jednostek usługi dla jednej aplikacji, może być łatwiej przejść do aplikacji dla przedsiębiorstw, aby wyświetlić wszystko w jednym miejscu.

1. W centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Aplikacje>Aplikacje przedsiębiorstwa.

2. Wyszukaj i otwórz aplikację, która została wyświetlona w ramach tego zalecenia.

3. Wybierz pozycję Logowanie jednokrotne z menu bocznego.

   Jeśli poświadczenie jest główną jednostką usługi, a używane są certyfikaty SAML, możesz zidentyfikować szczegóły poświadczenia przy użyciu Microsoft Graph API. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są uprawnienia DirectoryRecommendations.Read.All i DirectoryRecommendations.ReadWrite.All. Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

4. Zaloguj się do Eksploratora programu Graph.

5. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

6. Ustaw wersję interfejsu API na wersję beta.

7. Wykonaj zapytania do punktów końcowych keyCredential i passwordCredential.

8. Użyj punktów końcowych removePassword lub removeKey, aby usunąć poświadczenie z jednostki usługi.

Powiązana zawartość

• Przejrzyj przegląd zaleceń Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń
• Poznaj obiekty aplikacji i obiekty główne usługi w Microsoft Entra ID