Raccomandazione di Microsoft Entra: Rimuovere le credenziali inutilizzate dalle app (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di rimuovere le credenziali inutilizzate dalle app. Questo consiglio viene chiamato StaleAppCreds nell'API consigli in Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Amministratore che legge i report	Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza	Sola lettura
Ruolo con autorizzazioni di lettura globali	Sola lettura
Amministratore dei criteri di autenticazione	Lettura e aggiornamento
Amministratore di Exchange	Lettura e aggiornamento
Amministratore della sicurezza	Lettura e aggiornamento
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere Requisiti di disponibilità e licenza delle raccomandazioni.

Descrizione

Le credenziali dell'applicazione possono includere certificati e altri tipi di segreti che devono essere registrati con tale applicazione. Queste credenziali vengono usate per dimostrare l'identità dell'applicazione. Solo le credenziali usate attivamente da un'applicazione devono rimanere registrate con l'applicazione.

Una credenziale viene considerata inutilizzata se:

• Non è stato usato negli ultimi 30 giorni.
• Si tratta di credenziali aggiunte a un'applicazione da usare per i flussi OAuth/OIDC o all'entità servizio per il flusso SAML.

Le credenziali seguenti sono escluse dalla raccomandazione:

• Le credenziali scadute non vengono visualizzate nell'elenco Risorse interessate .
• Le credenziali identificate come inutilizzate ma scadute dopo essere state contrassegnate come Completato nell'elenco Risorse interessate .

Valore

La rimozione delle credenziali dell'applicazione inutilizzate consente di ridurre la superficie di attacco e di ridurre il portfolio di app di un tenant.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Le applicazioni identificate dalla raccomandazione vengono visualizzate nell'elenco delle risorse interessate nella parte inferiore della raccomandazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare il consiglio Rimuovi credenziali inutilizzate dalle applicazioni .

4. Prendere nota dei dettagli seguenti nella tabella Risorse interessate .

   • Nella colonna Risorsa viene visualizzato il nome dell'applicazione
   • La colonna ID visualizza l'ID applicazione

5. Selezionare Altri dettagli nella colonna Azioni per visualizzare altri dettagli.

   

   Nota

   Se l'origine della credenziale è Entità servizio, seguire le indicazioni nella sezione Entità servizio.

6. Nel pannello visualizzato selezionare Aggiorna credenziali per passare direttamente all'area Certificati e segreti della registrazione dell'app per rimuovere le credenziali inutilizzate.

   1. In alternativa, passare a Applicazioni> di identità>Registrazioni app e selezionare l'applicazione visualizzata come parte di questa raccomandazione.

      

   2. Passare quindi alla sezione Certificati e segreti della registrazione dell'app.

      

7. Individuare le credenziali inutilizzate e rimuoverle.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per altre informazioni, vedere How to use Identity Recommendations.For more information, see How to use Identity Recommendations.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Per recuperare tutte le raccomandazioni per il tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Per filtrare le risorse in base al relativo stato (ad esempio, risorse attive ):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Prendere nota dell'origine AppId, CredentialIde delle credenziali da rimuovere.
• Usare queste API di Microsoft Graph per aggiungere una nuova password o una nuova credenziale della chiave:
  • removePassword
  • removeKey

Risposta di esempio

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Entità servizio

Se l'origine della credenziale è un'entità servizio, è necessario tenere presenti alcune considerazioni e passaggi aggiuntivi da seguire.

Poiché spesso sono presenti più entità servizio per una singola applicazione, può essere più facile passare alle app aziendali per visualizzare tutti gli elementi in un'unica posizione.

1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Applicazioni aziendali> di identità.>

2. Cercare e aprire l'applicazione visualizzata come parte di questa raccomandazione.

3. Selezionare Single Sign-On dal menu laterale.

   Se la credenziale è un'entità servizio ma sono in uso certificati SAML, è possibile identificare i dettagli delle credenziali usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per altre informazioni, vedere How to use Identity Recommendations.For more information, see How to use Identity Recommendations.

4. Accedere a Graph explorer.

5. Selezionare GET come metodo HTTP nell'elenco a discesa.

6. Impostare la versione dell'API su beta.

7. Eseguire query sugli keyCredential endpoint e passwordCredential .

8. Usare gli removePassword endpoint o removeKey per rimuovere le credenziali dall'entità servizio.

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli
• Informazioni sugli oggetti app e entità servizio in Microsoft Entra ID