Recomendación de Microsoft Entra: eliminación de credenciales sin usar de aplicaciones (versión preliminar)

Las recomendaciones de Microsoft Entra son una característica que proporciona información personalizada y orientación útil para alinear tu entidad con las mejores prácticas recomendadas.

En este artículo se describe la recomendación de quitar las credenciales sin usar de las aplicaciones. Esta recomendación se llama staleAppCreds en la API de recomendaciones de Microsoft Graph.

Requisitos previos

Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Rol de Microsoft Entra	Tipo de acceso
Lector de informes	Solo lectura
Lector de seguridad	Solo lectura
Lector global	Solo lectura
Administrador de directivas de autenticación	Actualización y lectura
Administrador de Exchange	Actualización y lectura
Administrador de seguridad	Actualización y lectura
DirectoryRecommendations.Read.All	Solo lectura en Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Actualización y lectura en Microsoft Graph

Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte la tabla resumen de recomendaciones .

Descripción

Las credenciales de aplicación pueden incluir certificados y otros tipos de secretos que deben registrarse en esa aplicación. Estas credenciales se usan para demostrar la identidad de la aplicación. Solo las credenciales que una aplicación usa activamente deben permanecer registradas con la aplicación.

Una credencial se considera no utiliza si:

• No se ha usado en los últimos 30 días.
• Se trata de una credencial que se agregó a una aplicación que se usará para flujos de OAuth/OIDC o a la entidad de servicio para el flujo SAML.

Las credenciales siguientes están exentas de la recomendación:

• Las credenciales expiradas no se muestran en la lista Recursos afectados .
• Las credenciales que se identificaron como sin usar, pero que expiraron después de ser marcadas, aparecen como Completadas en la lista de Recursos afectados.

Valor

La eliminación de credenciales de aplicación sin usar ayuda a reducir el área expuesta a ataques y ayuda a desanclar la cartera de aplicaciones de un inquilino.

Plan de acción

Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API.

Centro de administración de Microsoft Entra

Las aplicaciones identificadas por la recomendación aparecen en la lista de recursos afectados en la parte inferior de la recomendación.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de seguridad.

2. Vaya a Entra ID>Información general.

3. Seleccione la pestaña Recomendaciones y seleccione la recomendación Quitar credenciales sin usar de las aplicaciones .

4. Tome nota de los detalles siguientes de la tabla Recursos afectados .

   • La columna Recurso muestra el nombre de la aplicación.
   • La columna Id. muestra el identificador de aplicación.

5. Seleccione Más detalles en la columna Acciones para ver más detalles.

   

   Nota:

   Si el origen de la credencial es Principal de servicio, consulte la sección Principales de servicio.

6. En el panel que se abre, seleccione Actualizar credencial para ir directamente al área Certificados y secretos del registro de la aplicación para quitar la credencial no utilizada.

   1. Como alternativa, vaya a Registros de aplicaciones de Entra ID>y seleccione la aplicación que se ha expuesto como parte de esta recomendación.

      

   2. A continuación, vaya a la sección Certificados y secretos del registro de la aplicación.

      

7. Busque la credencial sin usar y quítela.

API de Microsoft Graph

Las siguientes solicitudes se pueden usar para recuperar la recomendación y los recursos afectados mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los permisos DirectoryRecommendations.Read.All y DirectoryRecommendations.ReadWrite.All. Para obtener más información, vea Cómo usar recomendaciones de identidad.

1. Inicie sesión en el Explorador de Graph.
2. Seleccione GET como método HTTP en la lista desplegable.

Para recuperar todas las recomendaciones del inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

En la respuesta, busque el identificador de la recomendación que coincida con el siguiente patrón: {tenantId}_staleAppCreds.

Para identificar los recursos afectados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleAppCreds

Para filtrar los recursos en función de su estado (por ejemplo, recursos activos ):

GET https://graph.microsoft.com/eta/directory/recommendations/{tenantId}_staleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Tome nota de AppId, CredentialId y del origen de la credencial que desea quitar.
• Use estas API de Microsoft Graph para agregar una nueva contraseña o credencial de clave:
  • removePassword
  • removeKey

Respuesta de muestra

{
  "id": "aaaabbbb-0000-cccc-1111-dddd2222eeee_staleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Entidades de servicio

Si el origen de la credencial es service principal, hay algunas consideraciones y pasos adicionales que se deben seguir.

Dado que a menudo hay varias entidades de servicio para una sola aplicación, puede ser más fácil navegar a Aplicaciones empresariales para ver todo en un solo lugar.

1. En el Centro de administración de Microsoft Entra, vaya a Entra ID>Aplicaciones empresariales.

2. Busque y abra la aplicación que se ha expuesto como parte de esta recomendación.

3. Seleccione Inicio de sesión único en el menú lateral.

   Si la credencial es una entidad de servicio, pero hay certificados SAML en uso, puede identificar los detalles de la credencial mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los permisos DirectoryRecommendations.Read.All y DirectoryRecommendations.ReadWrite.All. Para obtener más información, vea Cómo usar recomendaciones de identidad.

4. Inicie sesión en el Explorador de Graph.

5. Seleccione GET como método HTTP en la lista desplegable.

6. Establezca la versión de la API en beta.

7. Consulte los puntos de conexión keyCredential y passwordCredential.

8. Use los puntos de conexión removePassword o removeKey para quitar la credencial de la entidad de servicio.

Contenido relacionado

• Revise la vista general de las recomendaciones de Microsoft Entra.
• Obtenga información sobre cómo usar las recomendaciones de Microsoft Entra
• Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones
• Descubra los objetos de aplicación y los principales de servicio en Microsoft Entra ID