Microsoft Entra-rekommendation: Ta bort oanvända autentiseringsuppgifter från appar (förhandsversion)

Artikel
10/24/2024

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att ta bort oanvända autentiseringsuppgifter från appar. Den här rekommendationen anropas StaleAppCreds i API:et för rekommendationer i Microsoft Graph.

Förutsättningar

Det finns olika rollkrav för att visa eller uppdatera en rekommendation. Använd den minst privilegierade rollen för den typ av åtkomst som behövs. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.

Microsoft Entra-roll	Åtkomsttyp
Rapportläsare	Skrivskydd
Säkerhetsläsare	Skrivskydd
Global läsare	Skrivskydd
Administratör av autentiseringsprincip	Uppdatera och läsa
Exchange-administratör	Uppdatera och läsa
Säkerhetsadministratör	Uppdatera och läsa
`DirectoryRecommendations.Read.All`	Skrivskyddad i Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Uppdatera och läsa i Microsoft Graph

Vissa rekommendationer kan kräva en P2- eller annan licens. Mer information finns i Rekommendationstillgänglighet och licenskrav.

beskrivning

Programautentiseringsuppgifter kan innehålla certifikat och andra typer av hemligheter som måste registreras med programmet. Dessa autentiseringsuppgifter används för att bevisa programmets identitet. Endast autentiseringsuppgifter som aktivt används av ett program ska förbli registrerade i programmet.

En autentiseringsuppgift anses vara oanvänd om:

Den har inte använts under de senaste 30 dagarna.
Det är en autentiseringsuppgift som har lagts till i ett program som ska användas för OAuth/OIDC-flöden eller till tjänstens huvudnamn för SAML-flödet.

Följande autentiseringsuppgifter är undantagna från rekommendationen:

Utgångna autentiseringsuppgifter visas inte i listan Påverkade resurser .
Autentiseringsuppgifter som identifierades som oanvända men som har upphört att gälla sedan de flaggades visas som Slutförda i listan Påverkade resurser .

Värde

Om du tar bort oanvända programautentiseringsuppgifter kan du minska attackytan och rensa appportföljen för en klientorganisation.

Åtgärdsplan

Den här rekommendationen är tillgänglig i administrationscentret för Microsoft Entra och med hjälp av Microsoft Graph API.

Administrationscenter för Microsoft Entra
Microsoft Graph API

Program som rekommendationen identifierade visas i listan över påverkade resurser längst ned i rekommendationen.

Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Identitetsöversikt>.
Välj fliken Rekommendationer och välj rekommendationen Ta bort oanvända autentiseringsuppgifter från program .
Anteckna följande information från tabellen Påverkade resurser .
- I kolumnen Resurs visas programnamnet
- I kolumnen ID visas program-ID
Välj Mer information i kolumnen Åtgärder för att visa mer information.

Kommentar

Om autentiseringsuppgifternas ursprung är Tjänstens huvudnamn följer du riktlinjerna i avsnittet Tjänsthuvudnamn.
I panelen som öppnas väljer du Uppdatera autentiseringsuppgifter för att navigera direkt till området Certifikat och hemligheter i appregistreringen för att ta bort oanvända autentiseringsuppgifter.
1. Du kan också bläddra till Identitetsprogram>> Appregistreringar och välja det program som visades som en del av den här rekommendationen.
2. Gå sedan till avsnittet Certifikat och hemligheter i appregistreringen.
Leta upp den oanvända autentiseringsuppgiften och ta bort den.

Följande begäranden kan användas för att hämta rekommendationen och de resurser som påverkas med hjälp av Microsoft Graph API. Om du vill använda Microsoft Graph-API:et behöver du behörigheterna DirectoryRecommendations.Read.All och DirectoryRecommendations.ReadWrite.All . Mer information finns i Använda identitetsrekommendationer.

Logga in på Graph Explorer.
Välj GET som HTTP-metod i listrutan.

Så här hämtar du alla rekommendationer för din klientorganisation:

GET https://graph.microsoft.com/beta/directory/recommendations

I svaret hittar du ID:t för rekommendationen som matchar följande mönster: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Så här identifierar du resurser som påverkas:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Så här filtrerar du resurserna baserat på deras status (till exempel aktiva resurser):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Anteckna AppId, CredentialIdoch ursprunget för de autentiseringsuppgifter som du vill ta bort.
Använd dessa Microsoft Graph-API:er för att lägga till ett nytt lösenord eller nyckelautentiseringsuppgifter:
- removePassword
- removeKey

Exempelsvar

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Tjänstens huvudnamn

Om autentiseringsuppgifternas ursprung är tjänstens huvudnamn finns det några överväganden och ytterligare steg att följa.

Eftersom det ofta finns flera huvudnamn för tjänsten för ett enda program kan det vara enklare att navigera till Företagsappar för att visa allt på ett och samma ställe.

I administrationscentret för Microsoft Entra bläddrar du till Identity>Applications>Enterprise-program.
Sök efter och öppna programmet som visades som en del av den här rekommendationen.
Välj Enkel inloggning på sidomenyn.

Om autentiseringsuppgifterna är ett huvudnamn för tjänsten men det finns SAML-certifikat som används kan du identifiera informationen om autentiseringsuppgifterna med hjälp av Microsoft Graph API. Om du vill använda Microsoft Graph-API:et behöver du behörigheterna DirectoryRecommendations.Read.All och DirectoryRecommendations.ReadWrite.All . Mer information finns i Använda identitetsrekommendationer.
Logga in på Graph Explorer.
Välj GET som HTTP-metod i listrutan.
Ange API-versionen till betaversion.
Fråga efter slutpunkterna keyCredential och passwordCredential .
Använd slutpunkterna removePassword eller removeKey för att ta bort autentiseringsuppgifterna från tjänstens huvudnamn.

Dela via

Microsoft Entra-rekommendation: Ta bort oanvända autentiseringsuppgifter från appar (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Exempelsvar

Tjänstens huvudnamn

Feedback

Ytterligare resurser

Dela via

Microsoft Entra-rekommendation: Ta bort oanvända autentiseringsuppgifter från appar (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Tjänstens huvudnamn

Relaterat innehåll

Feedback

Ytterligare resurser