Aanbeveling voor Microsoft Entra: ongebruikte referenties verwijderen uit apps (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling besproken om ongebruikte referenties uit apps te verwijderen. Deze aanbeveling wordt aangeroepen StaleAppCreds in de aanbevelingen-API in Microsoft Graph.

Vereisten

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen-lezen
Beveiligingslezer	Alleen-lezen
Algemene lezer	Alleen-lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie De beschikbaarheids- en licentievereisten voor aanbevelingen voor meer informatie.

Beschrijving

Toepassingsreferenties kunnen certificaten en andere typen geheimen bevatten die moeten worden geregistreerd bij die toepassing. Deze referenties worden gebruikt om de identiteit van de toepassing te bewijzen. Alleen referenties die actief worden gebruikt door een toepassing, moeten geregistreerd blijven bij de toepassing.

Een referentie wordt als ongebruikt beschouwd als:

• Het is de afgelopen 30 dagen niet gebruikt.
• Dit is een referentie die is toegevoegd aan een toepassing die moet worden gebruikt voor OAuth/OIDC-stromen of voor de service-principal voor SAML-stroom.

De volgende referenties zijn uitgesloten van de aanbeveling:

• Verlopen referenties worden niet weergegeven in de lijst met betrokken resources .
• Referenties die zijn geïdentificeerd als ongebruikt, maar zijn verlopen sinds ze zijn gemarkeerd, worden weergegeven als Voltooid in de lijst met betrokken resources .

Weergegeven als

Het verwijderen van ongebruikte toepassingsreferenties helpt het kwetsbaarheid voor aanvallen te verminderen en helpt de app-portfolio van een tenant op te heffen.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

Toepassingen die door de aanbeveling zijn geïdentificeerd, worden weergegeven in de lijst met betrokken resources onder aan de aanbeveling.

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitsoverzicht>.

3. Selecteer het tabblad Aanbevelingen en selecteer ongebruikte referenties verwijderen uit de aanbeveling van toepassingen .

4. Noteer de volgende details uit de tabel Betrokken resources .

   • In de kolom Resource wordt de naam van de toepassing weergegeven
   • In de kolom ID wordt de toepassings-id weergegeven

5. Selecteer Meer details in de kolom Acties om meer details weer te geven.

   

   Notitie

   Als de oorsprong van de referentie service-principal is, volgt u de richtlijnen in de sectie Service-principals.

6. Selecteer referentie bijwerken in het deelvenster dat wordt geopend om rechtstreeks naar het gebied Certificaten en geheimen van de app-registratie te gaan om de ongebruikte referenties te verwijderen.

   1. U kunt ook naar Identiteitstoepassingen>> bladeren App-registraties en de toepassing selecteren die is weergegeven als onderdeel van deze aanbeveling.

      

   2. Navigeer vervolgens naar de sectie Certificaten en geheimen van de app-registratie.

      

7. Zoek de ongebruikte referentie en verwijder deze.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Identiteitsaanaanveling gebruiken voor meer informatie.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Betrokken resources identificeren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

De resources filteren op basis van hun status (bijvoorbeeld actieve resources):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Noteer de AppId, CredentialIden de oorsprong van de referentie die u wilt verwijderen.
• Gebruik deze Microsoft Graph API's om een nieuw wachtwoord of sleutelreferentie toe te voegen:
  • removePassword
  • removeKey

Voorbeeldrespons

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Service-principals

Als de oorsprong van de referentie service-principal is, zijn er enkele overwegingen en extra stappen die u moet volgen.

Omdat er vaak meerdere service-principals zijn voor één toepassing, is het misschien eenvoudiger om naar Enterprise-apps te navigeren om alles op één plek weer te geven.

1. Blader in het Microsoft Entra-beheercentrum naar Bedrijfstoepassingen voor identiteitstoepassingen>>.

2. Zoek en open de toepassing die is weergegeven als onderdeel van deze aanbeveling.

3. Selecteer Eenmalige aanmelding in het zijmenu.

   Als de referentie een service-principal is, maar er SAML-certificaten in gebruik zijn, kunt u de details van de referentie identificeren met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Identiteitsaanaanveling gebruiken voor meer informatie.

4. Meld u aan bij Graph Explorer.

5. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

6. Stel de API-versie in op bèta.

7. Query's uitvoeren op de keyCredential en passwordCredential eindpunten.

8. Gebruik de removePassword of removeKey eindpunten om de referentie uit de service-principal te verwijderen.

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over app- en service-principal-objecten in Microsoft Entra ID