Recommandation Microsoft Entra : Supprimer les informations d’identification inutilisées des applications (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article traite la recommandation de supprimer les informations d’identification inutilisées des applications. Cette recommandation est appelée StaleAppCreds dans l’API recommandations de Microsoft Graph.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Rôle Microsoft Entra	Type d’accès
Lecteur de rapports	Lecture seule
Lecteur Sécurité	Lecture seule
Lecteur général	Lecture seule
Administrateur de la stratégie d’authentification	Mettre à jour et lire
Administrateur Exchange	Mettre à jour et lire
Security Administrator	Mettre à jour et lire
DirectoryRecommendations.Read.All	Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.

Description

Les informations d’identification d’application peuvent comprendre des certificats et d’autres types de secrets devant être inscrits auprès de cette application. Ces informations d’identification servent à prouver l’identité de l’application. Seules les informations d’identification utilisées de manière active par une application doivent rester inscrites auprès de celle-ci.

Les informations d’identification sont considérées comme inutilisées si :

• Il n’a pas été utilisé au cours des 30 derniers jours.
• Il s’agit d’informations d’identification qui ont été ajoutées à une application à utiliser pour les flux OAuth/OIDC ou au principal de service pour le flux SAML.

Les informations d’identification suivantes sont exemptées de la recommandation :

• Les informations d’identification expirées ne s’affichent pas dans la liste des ressources affectées.
• Les informations d’identification qui ont été identifiées comme inutilisées, mais qui ont expiré depuis qu’elles ont été signalées comme terminées dans la liste des ressources affectées.

Valeur

La suppression des informations d’identification d’application inutilisées permet de réduire la surface d’attaque et d’effacer le portefeuille d’applications d’un locataire.

Plan d’action

Cette recommandation est disponible dans le Centre d’administration Microsoft Entra et à l’aide de l’API Microsoft Graph.

Centre d'administration Microsoft Entra

Les applications concernées par la recommandation apparaissent dans la liste des Ressources impactées sous la recommandation.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Vue d’ensemble.

3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Supprimer les informations d’identification inutilisées des applications .

4. Notez les détails suivants de la table des ressources impactées.

   • La colonne Ressource affiche le nom de l’application
   • La colonne ID affiche l’ID d’application

5. Sélectionnez Plus de détails dans la colonne Actions pour afficher plus de détails.

   

   Remarque

   Si l’origine des informations d’identification est le principal de service, suivez les instructions de la section Principaux de service.

6. Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone Certificats et secrets de l’inscription de l’application pour supprimer les informations d’identification inutilisées.

   1. Vous pouvez également accéder aux inscriptions d’applications>d’identité>et sélectionner l’application qui a été exposée dans le cadre de cette recommandation.

      

   2. Accédez ensuite à la section Certificats et secrets de l’inscription de l’application.

      

7. Recherchez les informations d’identification inutilisées et supprimez-la.

API Microsoft Graph

Les requêtes suivantes peuvent être utilisées pour récupérer la recommandation et les ressources affectées à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations et DirectoryRecommendations.ReadWrite.All des DirectoryRecommendations.Read.All autorisations. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

1. Connectez-vous à l’explorateur graphique.
2. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

Pour récupérer toutes les recommandations pour votre locataire :

GET https://graph.microsoft.com/beta/directory/recommendations

À partir de la réponse, recherchez l’ID de la recommandation qui correspond au modèle suivant : {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Pour identifier les ressources affectées :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Pour filtrer les ressources en fonction de leur état (par exemple, les ressources actives ) :

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Notez les AppIdinformations d’identification , CredentialIdet l’origine des informations d’identification que vous souhaitez supprimer.
• Utilisez ces API Microsoft Graph pour ajouter un nouveau mot de passe ou des informations d’identification de clé :
  • removePassword
  • removeKey

Exemple de réponse

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Principaux de service

Si l’origine des informations d’identification est le principal de service, il existe quelques considérations et étapes supplémentaires à suivre.

Étant donné qu’il existe souvent plusieurs principaux de service pour une seule application, il peut être plus facile d’accéder aux applications d’entreprise pour afficher tout dans un seul endroit.

1. Dans le Centre d’administration Microsoft Entra, accédez aux applications d’entreprise Identity>Applications.>

2. Recherchez et ouvrez l’application qui a été exposée dans le cadre de cette recommandation.

3. Sélectionnez Authentification unique dans le menu latéral.

   Si les informations d’identification sont un principal de service, mais qu’il existe des certificats SAML en cours d’utilisation, vous pouvez identifier les détails des informations d’identification à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations et DirectoryRecommendations.ReadWrite.All des DirectoryRecommendations.Read.All autorisations. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

4. Connectez-vous à l’explorateur graphique.

5. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

6. Définissez la version de l’API sur bêta.

7. Interrogez les points de terminaison et passwordCredential les keyCredential points de terminaison.

8. Utilisez le removePassword ou removeKey les points de terminaison pour supprimer les informations d’identification du principal de service.

Contenu connexe

• Passer en revue la présentation des recommandations Microsoft Entra
• Découvrez comment utiliser les suggestions Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
• En savoir plus sur les objets d’application et de principal de service dans Microsoft Entra ID