Рекомендация Microsoft Entra. Удаление неиспользуемых учетных данных из приложений (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье описывается рекомендация по удалению неиспользуемых учетных данных из приложений. Эта рекомендация вызывается StaleAppCreds в API рекомендаций в Microsoft Graph.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra Тип доступа
Читатель отчетов Только для чтения
Читатель сведений о безопасности Только для чтения
Глобальный читатель Только для чтения
Администратор политики проверки подлинности Обновление и чтение
Администратор Exchange Обновление и чтение
Администратор безопасности Обновление и чтение
DirectoryRecommendations.Read.All Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Description

Учетные данные приложения могут включать сертификаты и другие типы секретов, которые должны быть зарегистрированы в этом приложении. Эти учетные данные используются для подтверждения удостоверения приложения. Только учетные данные, активно используемые приложением, должны оставаться зарегистрированными в приложении.

Учетные данные считаются неиспользуемые, если:

  • Он не использовался за последние 30 дней.
  • Это учетные данные, добавленные в приложение для потоков OAuth/OIDC или субъекта-службы для потока SAML.

Следующие учетные данные исключены из рекомендации:

  • Истекшие учетные данные не отображаются в списке затронутых ресурсов .
  • Учетные данные, которые были определены как неиспользуемые, но истекли с тех пор, как помечены как завершенные в списке затронутых ресурсов .

Значение

Удаление неиспользуемых учетных данных приложения помогает сократить область атаки и отключить портфель приложений клиента.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.

Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к обзору удостоверений>.

  3. Перейдите на вкладку "Рекомендации" и выберите "Удалить неиспользуемые учетные данные" из рекомендаций приложений .

  4. Запишите следующие сведения из таблицы затронутых ресурсов .

    • В столбце "Ресурс" отображается имя приложения
    • В столбце идентификатора отображается идентификатор приложения
  5. Выберите дополнительные сведения из столбца "Действия" , чтобы просмотреть дополнительные сведения.

    Снимок экрана: рекомендация с выделенными параметрами дополнительных сведений.

    Ескерім

    Если источник учетных данных является субъектом-службой, следуйте инструкциям в разделе субъектов-служб.

  6. На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области сертификатов и секретов регистрации приложения, чтобы удалить неиспользуемые учетные данные.

    1. Кроме того, перейдите к приложениям> удостоверений>Регистрация приложений и выберите приложение, которое было создано в рамках этой рекомендации.

      Снимок экрана: страница регистрации приложения Microsoft Entra.

    2. Затем перейдите в раздел "Сертификаты и секреты" регистрации приложения.

      Снимок экрана: раздел

  7. Найдите неиспользуемые учетные данные и удалите его.

Субъекты-службы

Если источник учетных данных является субъектом-службой, необходимо выполнить несколько рекомендаций и дополнительных действий.

Так как для одного приложения часто используется несколько субъектов-служб, может быть проще перейти к корпоративным приложениям, чтобы просмотреть все в одном месте.

  1. В Центре администрирования Microsoft Entra перейдите к приложениям Identity>Applications>Enterprise.

  2. Найдите и откройте приложение, которое было создано в рамках этой рекомендации.

  3. Выберите единый вход в боковом меню.

    Если учетные данные являются субъектом-службой, но используются сертификаты SAML, можно определить сведения об учетных данных с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются DirectoryRecommendations.Read.All разрешения и DirectoryRecommendations.ReadWrite.All разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

  4. Войдите в обозреватель Graph.

  5. Выберите метод HTTP GET в раскрывающемся списке.

  6. Задайте для версии API бета-версию.

  7. Запрос к конечным точкам keyCredential и passwordCredential конечным точкам.

  8. removePassword Используйте конечные точки, removeKey чтобы удалить учетные данные из субъекта-службы.