Microsoft Entra の推奨事項: アプリから未使用の資格情報を削除する (プレビュー)

Microsoft Entra の推奨事項 は、テナントを推奨されるベスト プラクティスに合わせるために、パーソナライズされた分析情報と実用的なガイダンスを提供する機能です。

このアーティクルでは、アプリから未使用の資格情報を削除するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で staleAppCreds と呼ばれます。

前提条件

推奨事項を表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。 ロールの完全な一覧については、「 タスク別の最小特権ロール」を参照してください。

Microsoft Entra ロール	アクセスの種類
レポート閲覧者	読み取り専用
セキュリティ閲覧者	読み取り専用
グローバル閲覧者	読み取り専用
認証ポリシー管理者	更新と読み取り
Exchange 管理者	更新と読み取り
セキュリティ管理者	更新と読み取り
DirectoryRecommendations.Read.All	Microsoft Graph での読み取り専用
DirectoryRecommendations.ReadWrite.All	Microsoft Graph で更新と読み取りを行う

推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 推奨事項の概要」の表を参照してください。

説明

アプリケーション資格情報には、そのアプリケーションに登録する必要がある証明書やその他の型のシークレットを含めることができます。 これらの資格情報は、アプリケーションの ID を証明するために使用されます。 アプリケーションでアクティブに使用されている資格情報のみが、アプリケーションにレジスタされたままになります。

次の場合、資格情報は使用されていないと見なされます。

• 過去 30 日間使用されていません。
• OAuth/OIDC フローに使用するアプリケーション、または SAML フローのサービス プリンシパルに追加された資格情報です。

次の資格情報は推奨事項から除外されます。

• 有効期限が切れた資格情報は、影響を 受けたリソース の一覧に表示されません。
• 未使用として識別されたが、フラグが設定されてから有効期限が切れた資格情報は、影響を受けたリソースの一覧に [完了 ] と表示 されます 。

値

未使用のアプリケーション資格情報を削除すると、攻撃面を減らし、テナントのアプリ ポートフォリオから不要なものを片付けるのに役立ちます。

行動計画

この推奨事項は、Microsoft Entra 管理センター、または Microsoft Graph API で使用できます。

Microsoft Entra 管理センター

推奨事項が特定されたアプリケーションは、推奨事項の下部にある 影響を受けたリソース の一覧に表示されます。

1. 少なくともセキュリティ管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Overview に移動します。

3. [推奨事項] タブ を 選択し、[ アプリケーションからの未使用の資格情報の削除 ] 推奨事項を選択します。

4. 影響を受けるリソーステーブルの次の詳細を書き留めます。

   • [リソース] 列にアプリケーション名が表示されます
   • ID 列にアプリケーション ID が表示されます

5. [アクション] 列から [詳細] を選択すると、詳細が表示されます。

   

   注

   資格情報の配信元がサービス プリンシパルの場合は、「 サービス プリンシパル 」セクションのガイダンスに従ってください。

6. 開いたパネルから [資格情報の 更新 ] を選択し、アプリ登録の [証明書とシークレット ] 領域に直接移動して、未使用の資格情報を削除します。

   1. または、 Entra ID>App 登録 に移動し、この推奨事項の一部として表示されたアプリケーションを選択します。

      

   2. 次に、アプリ登録の [証明書とシークレット ] セクションに移動します。

      

7. 未使用の資格情報を見つけて削除します。

マイクロソフト グラフ API

次の要求を使用すると、Microsoft Graph API で推奨事項と影響を受けるリソースを取得できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。 詳細については、「 ID に関する推奨事項を使用する方法」を参照してください。

1. Graph エクスプローラーにサインインします。
2. ドロップダウンから HTTP メソッドとして GET を選択します。

テナントのすべての推奨事項を取得するには:

GET https://graph.microsoft.com/beta/directory/recommendations

応答から、次のパターンに一致する推奨事項の ID を見つけます: {tenantId}_staleAppCreds。

影響を受けるリソースを特定するには:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleAppCreds

状態に基づいてリソースをフィルター処理するには (たとえば、"アクティブ" なリソース):

GET https://graph.microsoft.com/eta/directory/recommendations/{tenantId}_staleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 削除する資格情報の AppId、CredentialId、情報元をメモしておきます。
• 次の Microsoft Graph API を使用して、新しいパスワードまたはキーの資格情報を追加します。
  • リムーブパスワード
  • キーを削除

サンプル応答

{
  "id": "aaaabbbb-0000-cccc-1111-dddd2222eeee_staleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

サービス プリンシパル

資格情報の配信元が サービス プリンシパルの場合は、いくつかの考慮事項と追加の手順に従う必要があります。

1 つのアプリケーションには複数のサービス プリンシパルが存在することが多いため、エンタープライズ アプリに移動してすべてを 1 か所で表示する方が簡単な場合があります。

1. Microsoft Entra 管理センターで、Entra ID>Enterprise アプリを参照します。

2. この推奨事項の一部として表示されたアプリケーションを検索して開きます。

3. サイド メニューから [ シングル サインオン ] を選択します。

   資格情報がサービス プリンシパルであるものの、使用中の SAML 証明書がある場合は、Microsoft Graph API を使用して資格情報の詳細を識別できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。 詳細については、「 ID に関する推奨事項を使用する方法」を参照してください。

4. Graph エクスプローラーにサインインします。

5. ドロップダウンから HTTP メソッドとして GET を選択します。

6. API バージョンを ベータ版に設定します。

7. keyCredential エンドポイントと passwordCredential エンドポイントに対してクエリを実行します。

8. removePassword エンドポイントまたは removeKey エンドポイントを使用して、サービス プリンシパルから資格情報を削除します。

関連するコンテンツ

• Microsoft Entra の推奨事項の概要を確認する
• Microsoft Entra の推奨事項を使用する方法について説明します
• 推奨事項については、Microsoft Graph API のプロパティを参照してください
• Microsoft Entra ID のアプリおよびサービス プリンシパル オブジェクトについて説明します