Rekomendasi Microsoft Entra: Menghapus kredensial yang tidak digunakan dari aplikasi (pratinjau)

Rekomendasi Microsoft Entra adalah fitur yang memberi Anda wawasan yang dipersonalisasi dan panduan yang dapat ditindaklanjuti untuk menyelaraskan penyewa Anda dengan praktik terbaik yang direkomendasikan.

Artikel ini membahas rekomendasi untuk menghapus kredensial yang tidak digunakan dari aplikasi. Rekomendasi ini dipanggil StaleAppCreds dalam API rekomendasi di Microsoft Graph.

Prasyarat

Ada persyaratan peran yang berbeda untuk melihat atau memperbarui rekomendasi. Gunakan peran yang paling tidak istimewa untuk jenis akses yang diperlukan. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.

Peran Microsoft Entra	Jenis akses
Pembaca Laporan	Baca-saja
Pembaca Keamanan	Baca-saja
Pembaca Global	Baca-saja
Admin Kebijakan Autentikasi	Memperbarui dan membaca
Administrator Exchange	Memperbarui dan membaca
Administrator Keamanan	Memperbarui dan membaca
DirectoryRecommendations.Read.All	Baca-saja di Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Memperbarui dan membaca di Microsoft Graph

Beberapa rekomendasi mungkin memerlukan P2 atau lisensi lainnya. Untuk informasi selengkapnya, lihat Ketersediaan rekomendasi dan persyaratan lisensi.

Deskripsi

Kredensial aplikasi dapat mencakup sertifikat dan jenis rahasia lain yang perlu didaftarkan dengan aplikasi tersebut. Kredensial ini digunakan untuk membuktikan identitas aplikasi. Hanya kredensial yang aktif digunakan oleh aplikasi yang harus tetap terdaftar di aplikasi.

Kredensial dianggap tidak digunakan jika:

• Ini belum digunakan dalam 30 hari terakhir.
• Ini adalah kredensial yang ditambahkan ke aplikasi yang akan digunakan untuk alur OAuth/OIDC atau ke perwakilan layanan untuk alur SAML.

Kredensial berikut dikecualikan dari rekomendasi:

• Kredensial yang kedaluwarsa tidak ditampilkan di daftar Sumber daya yang terkena dampak.
• Kredensial yang diidentifikasi sebagai tidak digunakan tetapi telah kedaluwarsa sejak ditandai ditampilkan sebagai Selesai dalam daftar Sumber daya yang Terkena Dampak.

Nilai

Menghapus kredensial aplikasi yang tidak digunakan membantu mengurangi area permukaan serangan dan membantu mengurangi portofolio aplikasi penyewa.

Rencana aksi

Rekomendasi ini tersedia di pusat admin Microsoft Entra dan menggunakan Microsoft Graph API.

Pusat admin Microsoft Entra

Aplikasi yang diidentifikasi rekomendasi muncul dalam daftar Sumber daya yang terkena dampak di bagian bawah rekomendasi.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

2. Telusuri Ke Gambaran Umum Identitas>.

3. Pilih tab Rekomendasi dan pilih rekomendasi Hapus kredensial yang tidak digunakan dari aplikasi.

4. Perhatikan detail berikut dari tabel Sumber daya yang terkena dampak.

   • Kolom Sumber Daya menampilkan nama aplikasi
   • Kolom ID menampilkan ID aplikasi

5. Pilih Detail Selengkapnya dari kolom Tindakan untuk menampilkan detail selengkapnya.

   

   Catatan

   Jika asal kredensial adalah Perwakilan Layanan, ikuti panduan di bagian Perwakilan layanan.

6. Dari panel yang terbuka, pilih Perbarui Kredensial untuk menavigasi langsung ke area Sertifikat & rahasia pendaftaran aplikasi untuk menghapus kredensial yang tidak digunakan.

   1. Atau, telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi dan pilih aplikasi yang muncul sebagai bagian dari rekomendasi ini.

      

   2. Kemudian navigasikan ke bagian Sertifikat & Rahasia dari pendaftaran aplikasi.

      

7. Temukan kredensial yang tidak digunakan dan hapus.

API Microsoft Graph

Permintaan berikut dapat digunakan untuk mengambil rekomendasi dan sumber daya yang terkena dampak menggunakan Microsoft Graph API. Untuk menggunakan Microsoft Graph API, Anda memerlukan DirectoryRecommendations.Read.All izin dan DirectoryRecommendations.ReadWrite.All . Untuk informasi selengkapnya, lihat Cara menggunakan Rekomendasi Identitas.

1. Masuk ke Graph Explorer.
2. Pilih GET sebagai metode HTTP dari menu dropdown.

Untuk mengambil semua rekomendasi untuk penyewa Anda:

GET https://graph.microsoft.com/beta/directory/recommendations

Dari respons, temukan ID rekomendasi yang cocok dengan pola berikut: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Untuk mengidentifikasi sumber daya yang terkena dampak:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Untuk memfilter sumber daya berdasarkan statusnya (misalnya, sumber daya aktif ):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Perhatikan AppId, , CredentialIddan asal kredensial yang ingin Anda hapus.
• Gunakan API Microsoft Graph ini untuk menambahkan kata sandi baru atau kredensial kunci:
  • removePassword
  • removeKey

Respon sampel

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Perwakilan layanan

Jika asal kredensial adalah perwakilan layanan, ada beberapa pertimbangan dan langkah tambahan yang harus diikuti.

Karena sering kali ada beberapa perwakilan layanan untuk satu aplikasi, mungkin lebih mudah untuk menavigasi ke aplikasi Enterprise untuk melihat semuanya di satu tempat.

1. Di pusat admin Microsoft Entra, telusuri aplikasi Identity>Applications>Enterprise.

2. Cari dan buka aplikasi yang muncul sebagai bagian dari rekomendasi ini.

3. Pilih Akses menyeluruh dari menu samping.

   Jika info masuk adalah perwakilan layanan tetapi ada sertifikat SAML yang digunakan, Anda dapat mengidentifikasi detail kredensial menggunakan Microsoft Graph API. Untuk menggunakan Microsoft Graph API, Anda memerlukan DirectoryRecommendations.Read.All izin dan DirectoryRecommendations.ReadWrite.All . Untuk informasi selengkapnya, lihat Cara menggunakan Rekomendasi Identitas.

4. Masuk ke Graph Explorer.

5. Pilih GET sebagai metode HTTP dari menu dropdown.

6. Atur versi API ke beta.

7. Mengkueri keyCredential titik akhir dan passwordCredential .

8. removePassword Gunakan titik akhir atau removeKey untuk menghapus kredensial dari perwakilan layanan.

Konten terkait

• Tinjau gambaran umum rekomendasi Microsoft Entra
• Pelajari cara menggunakan rekomendasi Microsoft Entra
• Menjelajahi properti Microsoft Graph API untuk rekomendasi
• Pelajari tentang objek perwakilan aplikasi dan layanan di ID Microsoft Entra