Recomendação do Microsoft Entra: remover as credenciais não utilizadas de aplicativos (prévia)

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para remover credenciais não utilizadas de aplicativos. Essa recomendação é chamada de StaleAppCreds na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Somente leitura
Leitor de segurança	Somente leitura
Leitor global	Somente leitura
Administrador de Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
DirectoryRecommendations.Read.All	Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.

Descrição

As credenciais do aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados nesse aplicativo. Essas credenciais são utilizadas para provar a identidade do aplicativo. Somente as credenciais ativamente em uso por um aplicativo devem permanecer registradas no aplicativo.

Uma credencial será considerada não utilizada se:

• Não tiver sido usado nos últimos 30 dias.
• For uma credencial adicionada a um aplicativo a ser usado para fluxos OAuth/OIDC ou para a entidade de serviço para fluxo SAML.

As seguintes credenciais são isentas da recomendação:

• As credenciais expiradas não são mostradas na lista de Recursos afetados.
• As credenciais que foram identificadas como não usadas, mas expiraram desde que foram sinalizadas, são mostradas como Concluídas na lista de Recursos afetados.

Valor

A remoção de credenciais de aplicativo não usadas ajuda a reduzir a área da superfície de ataque e ajuda a organizar o portfólio de aplicativos de um locatário.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Os aplicativos identificados pela recomendação aparecem na lista de recursos afetados na parte inferior da recomendação.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidade>Visão Geral.

3. Selecione a guia Recomendações e selecione a recomendação Remover aplicativos não utilizados.

4. Anote os detalhes a seguir da tabela de Recursos afetados.

   • A coluna Recurso exibe o nome do aplicativo
   • A coluna ID exibe a ID do aplicativo

5. Selecione Mais Detalhes na coluna Ações para exibir mais detalhes.

   

   Observação

   Se a origem da credencial for Entidade de Serviço, siga as diretrizes na seção Entidades de Serviço.

6. No painel que é aberto, selecione Atualizar Credencial para navegar diretamente até a área Certificados e segredos do registro do aplicativo para remover a credencial não utilizado.

   1. Navegue atéIdentidade>Aplicativos>Registros de aplicativo e selecione o aplicativo exibido como parte dessa recomendação.

      

   2. Navegue até a seção Certificados e Segredos do registro de aplicativo.

      

7. Localize a credencial não utilizada e remova-a.

API do Microsoft Graph

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

1. Inicie a sessão no Explorador de gráficos.
2. Selecione GET como o método HTTP na lista suspensa.

Para recuperar todas as recomendações para seu locatário:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize a ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Anote o AppId, o CredentialId e a origem da credencial que você deseja remover.
• Use estas APIs do Microsoft Graph para adicionar uma nova senha ou credencial de chave:
  • removePassword
  • removeKey

Resposta de exemplo

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Entidades de serviço

Se a origem da credencial for a entidade de serviço, haverá algumas considerações e etapas extras a seguir.

Como muitas vezes há várias entidades de serviço para um único aplicativo, pode ser mais fácil navegar até aplicativos Enterprise para exibir tudo em um só lugar.

1. No centro de administração do Microsoft Entra, navegue até IdentidadeAplicativos>Aplicativos empresariais>.

2. Pesquise e abra o aplicativo que foi exibido como parte dessa recomendação.

3. Selecione Logon único no menu lateral.

   Se a credencial for uma entidade de serviço, mas houver certificados SAML em uso, você poderá identificar os detalhes da credencial usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

4. Inicie a sessão no Explorador de gráficos.

5. Escolha GET como o método HTTP na lista suspensa.

6. Defina a versão da API como beta.

7. Consulte os pontos de extremidade keyCredential e passwordCredential.

8. Use os pontos de extremidade removePassword ou removeKey para remover a credencial da entidade de serviço.

Conteúdo relacionado

• Examinar a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre objetos de entidade de serviço e aplicativo no Microsoft Entra ID