Microsoft Entra 建议：从应用中移除未使用的凭据（预览）

Microsoft Entra 建议功能可提供个性化的见解和可操作的指导，以使租户与建议的最佳做法保持一致。

本文介绍从应用中删除未使用的凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 StaleAppCreds。

先决条件

查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表，请参阅按任务列出的最低特权角色。

Microsoft Entra 角色	访问类型
报告读者	只读
安全读取者	只读
全局读取者	只读
身份验证策略管理员	更新和读取
Exchange 管理员	更新和读取
安全管理员	更新和读取
DirectoryRecommendations.Read.All	在 Microsoft Graph 中只读
DirectoryRecommendations.ReadWrite.All	在 Microsoft Graph 中更新和读取

某些建议可能需要 P2 或其他许可证。 有关详细信息，请参阅建议可用性和许可证要求。

说明

应用程序凭据可以包括需要向该应用程序注册的证书和其他类型的机密。 这些凭据用于证明应用程序的标识。 只有应用程序主动使用的凭据才应保持向应用程序注册。

如果以下项未使用，则认为凭据未使用：

• 过去 30 天内未使用它。
• 它是添加到要用于 OAuth/OIDC 流的应用程序的凭据，或添加到 SAML 流的服务主体。

以下凭据不受建议的豁免：

• “受影响的资源”列表中未显示过期凭据。
• 标识为未使用的凭据，但自标记为“已完成”后已过期的凭据会显示在“受影响的资源”列表中。

值

删除未使用的应用程序凭据有助于减少攻击外围应用，并帮助整理租户的应用组合。

操作计划

此建议可在 Microsoft Entra 管理中心使用 Microsoft 图形 API。

Microsoft Entra 管理中心

建议标识的应用程序将显示在建议底部的“受影响资源”列表中。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“概述”。

3. 选择“建议”选项卡，然后选择“从应用程序建议中删除未使用的凭据”。

4. 记下受影响的资源表中的以下详细信息。

   • “ 资源 ”列显示应用程序名称
   • ID 列显示应用程序 ID

5. 从“操作”列中选择“更多详细信息”以查看更多详细信息。

   

   注意

   如果凭据的来源为服务主体，请按照服务主体部分中的指导进行操作。

6. 在打开的面板中，选择“ 更新凭据 ”以直接导航到 应用注册的“证书和机密 ”区域，以删除未使用的凭据。

   1. 或者，浏览到标识>应用程序>应用注册并选择作为此建议的一部分显示的应用程序。

      

   2. 然后导航到 应用注册的“证书和机密 ”部分。

      

7. 找到未使用的凭据并将其删除。

Microsoft Graph API

以下请求可用于使用 Microsoft 图形 API 检索建议和受影响的资源。 若要使用Microsoft图形 API，需要拥有 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 权限。 有关详细信息，请参阅 如何使用标识建议。

1. 登录到图形资源管理器。
2. 从下拉列表中选择 GET 作为 HTTP 方法。

检索租户的所有建议：

GET https://graph.microsoft.com/beta/directory/recommendations

在响应中，找到与以下模式匹配的建议的 ID： {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

若要确定受影响的资源，请执行以下操作：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

若要根据资源的状态筛选资源（例如 活动 资源）：

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 记下AppIdCredentialId要删除的凭据和源。
• 使用这些Microsoft图形 API 添加新的密码或密钥凭据：
  • removePassword
  • removeKey

示例响应

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

服务主体

如果凭据的来源是 服务主体，则需注意一些注意事项和额外的步骤。

由于单个应用程序通常有多个服务主体，因此导航到企业应用可以更轻松地在一个位置查看所有内容。

1. 在 Microsoft Entra 管理中心，浏览到 Identity>Applications>Enterprise 应用程序。

2. 搜索并打开作为此建议的一部分显示的应用程序。

3. 从侧菜单中选择“单一登录”。

   如果凭据是服务主体，但正在使用 SAML 证书，则可以使用 Microsoft 图形 API 标识凭据的详细信息。 若要使用Microsoft图形 API，需要拥有 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 权限。 有关详细信息，请参阅 如何使用标识建议。

4. 登录到图形资源管理器。

5. 从下拉列表中选择 GET 作为 HTTP 方法。

6. 将 API 版本设置为“beta 版本”。

7. keyCredential查询和passwordCredential终结点。

8. removePassword使用或removeKey终结点从服务主体中删除凭据。

相关内容

• 查看 Microsoft Entra 建议概述
• 了解如何使用 Microsoft Entra 建议
• 探索 Microsoft Graph API 属性以获取建议
• 了解 Microsoft Entra ID 中的应用和服务主体对象