Recomendação do Microsoft Entra: remover as credenciais não utilizadas de aplicativos (prévia)

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar seu locatário com as melhores práticas recomendadas.

Este artigo aborda a recomendação para remover credenciais não utilizadas de aplicativos. Essa recomendação é chamada de staleAppCreds na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, consulte Menos funções privilegiadas por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de relatórios	Somente leitura
Leitor de segurança	Somente leitura
Leitor Global	Somente leitura
Administrador de Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
DirectoryRecommendations.Read.All	Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte a tabela de visão geral de recomendações.

Descrição

As credenciais do aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados nesse aplicativo. Essas credenciais são usadas para provar a identidade do aplicativo. Somente as credenciais ativamente em uso por um aplicativo devem permanecer registradas no aplicativo.

Uma credencial será considerada não utilizada se:

• Não tiver sido usada nos últimos 30 dias.
• For uma credencial adicionada a um aplicativo a ser usado para fluxos OAuth/OIDC ou para a entidade de serviço para fluxo do SAML.

As seguintes credenciais são isentas da recomendação:

• As credenciais expiradas não são mostradas na lista de recursos afetados .
• As credenciais que foram identificadas como não usadas, mas expiraram desde que foram sinalizadas, são mostradas como Concluídas na lista de recursos afetados .

Valor

A remoção de credenciais de aplicativo não usadas ajuda a reduzir a área da superfície de ataque e ajuda a organizar o portfólio de aplicativos de um locatário.

Plano de ação

Essa recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Central de administração do Microsoft Entra

Os aplicativos identificados pela recomendação aparecem na lista de recursos afetados na parte inferior da recomendação.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Entra ID>Visão geral.

3. Selecione a guia Recomendações e selecione a recomendação Remover credenciais não usadas de aplicativos .

4. Anote os detalhes a seguir da tabela de recursos afetados .

   • A coluna Recurso exibe o nome do aplicativo
   • A coluna ID exibe a ID do aplicativo

5. Selecione Mais Detalhes na coluna Ações para exibir mais detalhes.

   

   Observação

   Se a origem da credencial for Principal de Serviço, siga as diretrizes na seção Principais de Serviço.

6. No painel que é aberto, selecione Atualizar Credencial para navegar diretamente até a área Certificados & segredos do registro do aplicativo para remover a credencial não utilizado.

   1. Opcionalmente, navegue até Entra ID>Registros do aplicativo e selecione o aplicativo que foi exibido como parte dessa recomendação.

      

   2. Em seguida, navegue até a seção Certificados & Segredos do registro do aplicativo.

      

7. Localize a credencial não utilizado e remova-a.

Microsoft Graph API

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar recomendações de identidade.

1. Entre no Explorador do Graph.
2. Escolha GET como o método HTTP na lista suspensa.

Para recuperar todas as recomendações do seu locatário:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize a ID da recomendação que corresponde ao seguinte padrão: {tenantId}_staleAppCreds.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleAppCreds

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos ):

GET https://graph.microsoft.com/eta/directory/recommendations/{tenantId}_staleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Anote o AppId, o CredentialId e a origem da credencial que você deseja remover.
• Use essas APIs do Microsoft Graph para adicionar uma nova senha ou credencial de chave:
  • removePassword
  • removeKey

Resposta de exemplo

{
  "id": "aaaabbbb-0000-cccc-1111-dddd2222eeee_staleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Entidades de serviço

Se a origem da credencial for a entidade de serviço, haverá algumas considerações e etapas adicionais a serem seguidas.

Como muitas vezes há várias entidades de serviço para um único aplicativo, pode ser mais fácil navegar até os aplicativos empresariais para exibir tudo em um só lugar.

1. No Centro de administração do Microsoft Entra, navegue até Entra ID e >.

2. Pesquise e abra o aplicativo que foi exibido como parte dessa recomendação.

3. Selecione Logon único no menu lateral.

   Se a credencial for uma entidade de serviço, mas houver certificados SAML em uso, você poderá identificar os detalhes da credencial usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar recomendações de identidade.

4. Entre no Explorador do Graph.

5. Escolha GET como o método HTTP na lista suspensa.

6. Defina a versão da API como beta.

7. Consulte os pontos de extremidade keyCredential e passwordCredential.

8. Use os pontos de extremidade removePassword ou removeKey para remover a credencial da entidade de serviço.

Conteúdo relacionado

• Examinar a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explorar as propriedades da API do Microsoft Graph para obter recomendações
• Saiba mais sobre objetos de entidade de serviço e aplicativo no Microsoft Entra ID