Рекомендация Microsoft Entra. Удаление неиспользуемых учетных данных из приложений (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье описывается рекомендация по удалению неиспользуемых учетных данных из приложений. Эта рекомендация вызывается StaleAppCreds в API рекомендаций в Microsoft Graph.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Читатель отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновление и чтение
Администратор Exchange	Обновление и чтение
Администратор безопасности	Обновление и чтение
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Description

Учетные данные приложения могут включать сертификаты и другие типы секретов, которые должны быть зарегистрированы в этом приложении. Эти учетные данные используются для подтверждения удостоверения приложения. Только учетные данные, активно используемые приложением, должны оставаться зарегистрированными в приложении.

Учетные данные считаются неиспользуемые, если:

• Он не использовался за последние 30 дней.
• Это учетные данные, добавленные в приложение для потоков OAuth/OIDC или субъекта-службы для потока SAML.

Следующие учетные данные исключены из рекомендации:

• Истекшие учетные данные не отображаются в списке затронутых ресурсов .
• Учетные данные, которые были определены как неиспользуемые, но истекли с тех пор, как помечены как завершенные в списке затронутых ресурсов .

Значение

Удаление неиспользуемых учетных данных приложения помогает сократить область атаки и отключить портфель приложений клиента.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

Центр администрирования Microsoft Entra

Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к обзору удостоверений>.

3. Перейдите на вкладку "Рекомендации" и выберите "Удалить неиспользуемые учетные данные" из рекомендаций приложений .

4. Запишите следующие сведения из таблицы затронутых ресурсов .

   • В столбце "Ресурс" отображается имя приложения
   • В столбце идентификатора отображается идентификатор приложения

5. Выберите дополнительные сведения из столбца "Действия" , чтобы просмотреть дополнительные сведения.

   

   Примечание.

   Если источник учетных данных является субъектом-службой, следуйте инструкциям в разделе субъектов-служб.

6. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области сертификатов и секретов регистрации приложения, чтобы удалить неиспользуемые учетные данные.

   1. Кроме того, перейдите к приложениям> удостоверений>Регистрация приложений и выберите приложение, которое было создано в рамках этой рекомендации.

      

   2. Затем перейдите в раздел "Сертификаты и секреты" регистрации приложения.

      

7. Найдите неиспользуемые учетные данные и удалите его.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются DirectoryRecommendations.Read.All разрешения и DirectoryRecommendations.ReadWrite.All разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

1. Войдите в обозреватель Graph.
2. Выберите метод HTTP GET в раскрывающемся списке.

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Чтобы отфильтровать ресурсы на основе их состояния (например, активные ресурсы):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Запишите AppIdCredentialIdи источник учетных данных, которые вы хотите удалить.
• Используйте эти API Microsoft Graph для добавления нового пароля или учетных данных ключа:
  • removePassword
  • removeKey

Пример ответа

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Субъекты-службы

Если источник учетных данных является субъектом-службой, необходимо выполнить несколько рекомендаций и дополнительных действий.

Так как для одного приложения часто используется несколько субъектов-служб, может быть проще перейти к корпоративным приложениям, чтобы просмотреть все в одном месте.

1. В Центре администрирования Microsoft Entra перейдите к приложениям Identity>Applications>Enterprise.

2. Найдите и откройте приложение, которое было создано в рамках этой рекомендации.

3. Выберите единый вход в боковом меню.

   Если учетные данные являются субъектом-службой, но используются сертификаты SAML, можно определить сведения об учетных данных с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются DirectoryRecommendations.Read.All разрешения и DirectoryRecommendations.ReadWrite.All разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

4. Войдите в обозреватель Graph.

5. Выберите метод HTTP GET в раскрывающемся списке.

6. Задайте для версии API бета-версию.

7. Запрос к конечным точкам keyCredential и passwordCredential конечным точкам.

8. removePassword Используйте конечные точки, removeKey чтобы удалить учетные данные из субъекта-службы.

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций
• Сведения о объектах приложения и субъекта-службы в идентификаторе Microsoft Entra