Рекомендация Microsoft Entra. Удаление неиспользуемых учетных данных из приложений (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированные сведения и практические рекомендации по согласованию арендатора с рекомендованными передовыми практиками.

В этой статье описывается рекомендация по удалению неиспользуемых учетных данных из приложений. Эта рекомендация называется StaleAppCreds в API рекомендаций в Microsoft Graph.

Предварительные условия

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Программа для чтения отчетов	Только для чтения
Читатель данных безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновите и читайте
Администратор Exchange	Обновить и прочитать
Администратор безопасности	Обновите и прочитайте
DirectoryRecommendations.Read.All	Режим только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см., в обзорной таблице рекомендаций.

Описание

Учетные данные приложения могут включать сертификаты и другие типы секретов, которые должны быть зарегистрированы в этом приложении. Эти учетные данные используются для удостоверения приложения. Только учетные данные, активно используемые приложением, должны оставаться зарегистрированными в приложении.

Учетные данные считаются неиспользуемыми, если:

• Он не использовался за последние 30 дней.
• Это учетные данные, добавленные в приложение для использования в потоках OAuth/OIDC или в основную службу для потока SAML.

Исключены из рекомендации следующие данные для авторизации:

• Истекшие учетные данные не отображаются в списке затронутых ресурсов .
• Учетные данные, которые были определены как неиспользуемые, но истекли с тех пор, как были помечены, отображаются как завершенные в списке затронутых ресурсов.

Значение

Удаление неиспользуемых учетных данных приложения помогает сократить поверхность атаки и помогает удалить портфель приложений тенанта.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.

1. Войдите в административный центр Microsoft Entra как минимум Администратор безопасности.

2. Перейдите к удостоверение личности>обзор.

3. Перейдите на вкладку "Рекомендации" и выберите "Удалить неиспользуемые учетные данные" из рекомендаций приложений .

4. Запишите следующие сведения из таблицы затронутых ресурсов .

   • В столбце "Ресурс" отображается имя приложения
   • В столбце идентификатора отображается идентификатор приложения

5. Выберите дополнительные сведения из столбца "Действия" , чтобы просмотреть дополнительные сведения.

   

   Примечание.

   Если источник учетных данных — служебный принципал, следуйте инструкциям в разделе служебных принципалов.

6. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области сертификатов и секретов регистрации приложения, чтобы удалить неиспользуемые учетные данные.

   1. Кроме того, перейдите к Identity>Applications>App registrations и выберите приложение, которое было создано в рамках этой рекомендации.

      

   2. Затем перейдите в раздел "Сертификаты и секреты" регистрации приложения.

      

7. Найдите неиспользуемые учетные данные и удалите его.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются разрешения DirectoryRecommendations.Read.All и DirectoryRecommendations.ReadWrite.All. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

1. Войдите в Graph Explorer.
2. Выберите метод HTTP GET в раскрывающемся списке.

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Чтобы отфильтровать ресурсы на основе их состояния (например, активные ресурсы):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Обратите внимание на AppId, CredentialId и источник учетных данных, которые вы хотите удалить.
• Используйте эти API Microsoft Graph для добавления нового пароля или учетных данных ключа:
  • removePassword
  • удалитьКлюч

Пример ответа

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Субъекты-службы

Если источник учетных данных - служебный принципал, есть несколько моментов, которые следует учесть, и дополнительных шагов.

Так как для одного приложения часто используется несколько субъектов-служб, может быть проще перейти к корпоративным приложениям, чтобы просмотреть все в одном месте.

1. В Центре администрирования Microsoft Entra перейдите к Идентификация>Приложения>Корпоративные приложения.

2. Найдите и откройте приложение, которое было создано в рамках этой рекомендации.

3. Выберите единый вход в боковом меню.

   Если учетные данные являются учетной записью службы и при этом используются сертификаты SAML, вы можете получить информацию об этих учетных данных с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются разрешения DirectoryRecommendations.Read.All и DirectoryRecommendations.ReadWrite.All. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

4. Войдите в Graph Explorer.

5. Выберите метод HTTP GET в раскрывающемся списке.

6. Установите версию API на beta.

7. Выполните запрос к конечным точкам keyCredential и passwordCredential.

8. Используйте конечные точки removePassword или removeKey для удаления учетных данных из учетной записи службы.

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций
• Сведения об объектах приложений и служебных принципалах в Microsoft Entra ID