Microsoft Entra 建議：從應用程式移除未使用的認證 （預覽）

Microsoft Entra 建議 是一項功能，提供您個人化的深入見解和可操作的指導，讓您的租戶符合建議的最佳實務。

本文涵蓋從應用程式移除未使用的認證的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 StaleAppCreds。

必要條件

要檢視或更新建議，有不同的角色要求。 針對所需的存取類型，使用最低特殊權限角色。 如需角色的完整清單，請參閱＜工作的最低特殊權限角色＞。

Microsoft Entra 角色	存取類型
報告閱讀器	唯讀
安全檢閱者	唯讀
全球讀者	唯讀
驗證原則管理員	更新及讀取
Exchange 系統管理員	更新及讀取
安全性系統管理員	更新及讀取
DirectoryRecommendations.Read.All	在 Microsoft Graph 中為唯讀
DirectoryRecommendations.ReadWrite.All	在 Microsoft Graph 中更新和讀取

某些建議可能需要 P2 或其他授權。 如需詳細資訊，請參閱 Recommendations 概觀數據表。

描述

應用程式認證可以包含憑證和需要使用該應用程式註冊之其他類型的秘密。 這些認證可用來證明應用程式的身分識別。 只有正在使用的認證應持續向應用程式註冊。

認證會被視為未使用，若出現以下情況：

• 過去 30 天沒有使用它。
• 這是已新增至要用於 OAuth/OIDC 流程的應用程式或 SAML 流程的服務主體的認證。

下列認證不受建議的豁免：

• 受影響的資源清單中不會顯示過期的憑證。
• 識別為未使用的認證，自被標示起已過期，並在 受影響的資源 列表中顯示為 已完成。

值

拿掉未使用的應用程式認證有助於減少受攻擊面區域，並協助清除租使用者的應用程式組合。

行動方案

此建議適用於 Microsoft Entra 系統管理中心，並使用 Microsoft Graph API。

Microsoft Entra 系統管理中心

所識別建議的應用程式會出現在建議底部 受影響的資源 清單中。

1. 以至少安全性系統管理員的身分登入Microsoft Entra 管理中心。

2. 瀏覽至 身分識別>概觀。

3. 選取 建議標籤，然後選取 移除未使用的認證從應用程式中建議。

4. 請記下 [受影響的資源] 資料表中的 下列詳細數據 。

   • [資源]列會顯示應用程式名稱
   • 欄位ID會顯示應用程式識別碼

5. 從 [動作] 資料行選取 [更多詳細數據]，以檢視更多詳細數據。

   

   注意

   如果認證的來源是服務主體，請遵循服務主體一節中的指引。

6. 從開啟的面板中，選取 [更新認證 ] 以直接流覽至 應用程式註冊的 [憑證與秘密 ] 區域，以移除未使用的認證。

   1. 或者，瀏覽至 身分識別>應用程式>應用程式註冊，然後選取作為此建議一部分顯示的應用程式。

      

   2. 然後流覽至 應用程式註冊的 [憑證和秘密 ] 區段。

      

7. 找出未使用的認證並加以移除。

Microsoft Graph API

下列要求可用來使用 Microsoft Graph API 擷取建議和受影響的資源。 若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。 如需詳細資訊，請參閱 如何使用身分識別建議。

1. 登入 Graph Explorer。
2. 從下拉式清單中選取 [GET] 作為 HTTP 方法。

若要取得租戶的所有建議：

GET https://graph.microsoft.com/beta/directory/recommendations

從回應中，尋找符合下列模式的建議標識碼： {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds。

若要識別受影響的資源：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

若要根據資源的狀態來篩選資源（例如，啟用中的資源）：

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 記下您想要移除的認證的 AppId、CredentialId 和來源。
• 使用這些Microsoft Graph API 來新增密碼或金鑰認證：
  • removePassword
  • removeKey

範例回覆

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

服務主體

如果認證的來源是 服務主體，有幾個考慮和額外的步驟需要遵循。

因為單一應用程式通常會有多個服務主體，所以流覽至企業應用程式以在一個地方檢視所有專案可能比較容易。

1. 在 Microsoft Entra 系統管理中心，瀏覽至 身分>應用程式>企業應用程式。

2. 搜尋並開啟在此建議中呈現的應用程式。

3. 從側邊功能表中選取 [單一登錄 ]。

   如果認證是服務主體，但有使用中的 SAML 憑證，您可以使用 Microsoft Graph API 來識別認證的詳細數據。 若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。 如需詳細資訊，請參閱 如何使用身分識別建議。

4. 登入 Graph Explorer。

5. 從下拉式清單中選取 [GET] 作為 HTTP 方法。

6. API 版本設為 beta。

7. 查詢 keyCredential 和 passwordCredential 端點。

8. 使用removePassword或removeKey端點，從服務主體中移除認證。

相關內容

• 檢閱 Microsoft Entra 建議概觀
• 瞭解如何使用 Microsoft Entra 建議
• 探索 Microsoft Graph API 屬性以取得建議
• 了解 Microsoft Entra ID 中的應用程式和服務主體物件