Recomendação do Microsoft Entra: Remover credenciais não utilizadas de aplicativos (visualização)

As recomendações do Microsoft Entra são um recurso que fornece informações personalizadas e orientações acionáveis para alinhar seu locatário com as práticas recomendadas recomendadas.

Este artigo aborda a recomendação para remover credenciais não utilizadas de aplicativos. Essa recomendação é chamada StaleAppCreds na API de recomendações no Microsoft Graph.

Pré-requisitos

Existem diferentes requisitos de função para visualizar ou atualizar uma recomendação. Use a função menos privilegiada para o tipo de acesso necessário. Para obter uma lista completa de funções, consulte Funções menos privilegiadas por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Só de leitura
Leitor de Segurança	Só de leitura
Leitor Global	Só de leitura
Administrador da Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
DirectoryRecommendations.Read.All	Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Disponibilidade de recomendação e requisitos de licença.

Description

As credenciais do aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados nesse aplicativo. Essas credenciais são usadas para provar a identidade do aplicativo. Somente as credenciais ativamente em uso por um aplicativo devem permanecer registradas no aplicativo.

Uma credencial é considerada não utilizada se:

• Não foi utilizado nos últimos 30 dias.
• É uma credencial que foi adicionada a um aplicativo para ser usada para fluxos OAuth/OIDC ou à entidade de serviço para fluxo SAML.

As seguintes credenciais estão isentas da recomendação:

• As credenciais expiradas não são exibidas na lista Recursos afetados .
• As credenciais que foram identificadas como não utilizadas, mas expiraram desde que foram sinalizadas, são exibidas como Concluídas na lista Recursos afetados.

Value

A remoção de credenciais de aplicativos não utilizadas ajuda a reduzir a área da superfície de ataque e ajuda a reduzir o portfólio de aplicativos de um locatário.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

Os aplicativos identificados pela recomendação aparecem na lista de recursos impactados na parte inferior da recomendação.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Visão geral da identidade>.

3. Selecione a guia Recomendações e selecione a recomendação Remover credenciais não utilizadas de aplicativos .

4. Anote os seguintes detalhes da tabela Recursos afetados .

   • A coluna Recurso exibe o nome do aplicativo
   • A coluna ID exibe a ID do aplicativo

5. Selecione Mais detalhes na coluna Ações para ver mais detalhes.

   

   Nota

   Se a origem da credencial for a Entidade de Serviço, siga as orientações na seção Entidades de serviço.

6. No painel que se abre, selecione Atualizar Credencial para navegar diretamente para a área Certificados & segredos do registro do aplicativo para remover a credencial não utilizada.

   1. Como alternativa, navegue até Registros do aplicativo Identity>Applications>e selecione o aplicativo que foi exibido como parte desta recomendação.

      

   2. Em seguida, navegue até a seção Certificados & Segredos do registro do aplicativo.

      

7. Localize a credencial não utilizada e remova-a.

Microsoft Graph API

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das DirectoryRecommendations.Read.All permissões e DirectoryRecommendations.ReadWrite.All . Para obter mais informações, consulte Como usar recomendações de identidade.

1. Inicie sessão no Graph Explorer.
2. Selecione GET como o método HTTP na lista suspensa.

Para recuperar todas as recomendações para o seu inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize o ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos ):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Anote o AppId, CredentialIde a origem da credencial que você deseja remover.
• Use estas APIs do Microsoft Graph para adicionar uma nova senha ou credencial de chave:
  • removePassword
  • removeKey

Resposta da amostra

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Principais de serviço

Se a origem da credencial for a entidade de serviço, há algumas considerações e etapas extras a serem seguidas.

Como geralmente há várias entidades de serviço para um único aplicativo, pode ser mais fácil navegar até aplicativos corporativos para exibir tudo em um só lugar.

1. No centro de administração do Microsoft Entra, navegue até Aplicativos Corporativos de Identidade>>.

2. Procure e abra o aplicativo que foi apresentado como parte desta recomendação.

3. Selecione Logon único no menu lateral.

   Se a credencial for uma entidade de serviço, mas houver certificados SAML em uso, você poderá identificar os detalhes da credencial usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das DirectoryRecommendations.Read.All permissões e DirectoryRecommendations.ReadWrite.All . Para obter mais informações, consulte Como usar recomendações de identidade.

4. Inicie sessão no Graph Explorer.

5. Selecione GET como o método HTTP na lista suspensa.

6. Defina a versão da API como beta.

7. Consulte os pontos de keyCredential extremidade e passwordCredential .

8. Use os removePassword pontos de extremidade ou removeKey para remover a credencial da entidade de serviço.

Conteúdos relacionados

• Consulte a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre objetos principais de aplicativo e serviço no Microsoft Entra ID