Microsoft Entra önerisi: Kullanılmayan kimlik bilgilerini uygulamalardan kaldırma (önizleme)

Makale
10/24/2024

Microsoft Entra önerileri , kiracınızı önerilen en iyi yöntemlerle uyumlu hale getirmek için kişiselleştirilmiş içgörüler ve eyleme dönüştürülebilir yönergeler sağlayan bir özelliktir.

Bu makale, kullanılmayan kimlik bilgilerini uygulamalardan kaldırma önerisini kapsar. Bu öneri Microsoft Graph'taki öneriler API'sinde çağrılır StaleAppCreds .

Önkoşullar

Bir öneriyi görüntülemek veya güncelleştirmek için farklı rol gereksinimleri vardır. Gereken erişim türü için en az ayrıcalıklı rolü kullanın. Rollerin tam listesi için bkz . Göreve göre en az ayrıcalıklı roller.

Microsoft Entra rolü	Erişim türü
Rapor Okuyucusu	Salt Okunur
Güvenlik Okuyucusu	Salt Okunur
Genel Okuyucu	Salt Okunur
Kimlik Doğrulama İlkesi Yöneticisi	Güncelleştirme ve okuma
Exchange Yöneticisi	Güncelleştirme ve okuma
Güvenlik Yöneticisi	Güncelleştirme ve okuma
`DirectoryRecommendations.Read.All`	Microsoft Graph'ta salt okunur
`DirectoryRecommendations.ReadWrite.All`	Microsoft Graph'ta güncelleştirme ve okuma

Bazı öneriler için P2 veya başka bir lisans gerekebilir. Daha fazla bilgi için bkz . Öneri kullanılabilirliği ve lisans gereksinimleri.

Açıklama

Uygulama kimlik bilgileri, sertifikalar ve bu uygulamaya kaydedilmesi gereken diğer gizli dizi türlerini içerebilir. Bu kimlik bilgileri uygulamanın kimliğini kanıtlamak için kullanılır. Yalnızca bir uygulama tarafından etkin olarak kullanılan kimlik bilgileri uygulamaya kayıtlı kalmalıdır.

Kimlik bilgisi şu durumda kullanılmamış olarak kabul edilir:

Son 30 gün içinde kullanılmamıştır.
OAuth/OIDC akışları için kullanılacak bir uygulamaya veya SAML akışının hizmet sorumlusuna eklenen bir kimlik bilgisidir.

Aşağıdaki kimlik bilgileri öneriden muaf tutulur:

Süresi dolan kimlik bilgileri Etkilenen kaynaklar listesinde gösterilmez.
Kullanılmayan olarak tanımlanan ancak bayrak eklendikten sonra süresi dolmuş kimlik bilgileri Etkilenen kaynaklar listesinde Tamamlandı olarak gösterilir.

Değer

Kullanılmayan uygulama kimlik bilgilerinin kaldırılması, saldırı yüzeyi alanının azaltılmasına yardımcı olur ve bir kiracının uygulama portföyünün dağınık olmasına yardımcı olur.

Eylem planı

Bu öneri, Microsoft Entra yönetim merkezinde ve Microsoft Graph API'sini kullanarak kullanılabilir.

Microsoft Entra yönetim merkezi
Microsoft Graph API

Önerinin tanımlamış olduğu uygulamalar, önerinin en altındaki Etkilenen kaynaklar listesinde görünür.

Microsoft Entra yönetim merkezinde en az Bir Güvenlik Yöneticisi olarak oturum açın.
Kimliğe>Genel Bakış'a göz atın.
Öneriler sekmesini seçin ve Kullanılmayan kimlik bilgilerini uygulamalardan kaldır önerisini seçin.
Etkilenen kaynaklar tablosundaki aşağıdaki ayrıntıları not alın.
- Kaynak sütununda uygulama adı görüntülenir
- Kimlik sütununda uygulama kimliği görüntülenir
Daha fazla ayrıntı görüntülemek için Eylemler sütunundan Diğer Ayrıntılar'ı seçin.

Not

Kimlik bilgilerinin kaynağı Hizmet Sorumlusu ise Hizmet sorumluları bölümündeki yönergeleri izleyin.
Açılan panelden Kimlik Bilgilerini Güncelleştir'i seçerek kullanılmayan kimlik bilgilerini kaldırmak için doğrudan uygulama kaydının Sertifikalar ve gizli diziler alanına gidin.
1. Alternatif olarak, Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ve bu önerinin bir parçası olarak ortaya çıkarılmış uygulamayı seçin.
2. Ardından uygulama kaydının Sertifikalar ve Gizli Diziler bölümüne gidin.
Kullanılmayan kimlik bilgilerini bulun ve kaldırın.

Aşağıdaki istekler, Microsoft Graph API'sini kullanarak öneriyi ve etkilenen kaynakları almak için kullanılabilir. Microsoft Graph API'sini kullanmak için ve DirectoryRecommendations.ReadWrite.All izinlerine ihtiyacınız vardırDirectoryRecommendations.Read.All. Daha fazla bilgi için bkz . Kimlik Önerilerini kullanma.

Graph Explorer'da oturum açın.
Açılan listeden HTTP yöntemi olarak GET'i seçin.

Kiracınız için tüm önerileri almak için:

GET https://graph.microsoft.com/beta/directory/recommendations

Yanıtta, aşağıdaki desenle eşleşen önerinin kimliğini bulun: {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds.

Etkilenen kaynakları tanımlamak için:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

Kaynakları durumlarına göre filtrelemek için (örneğin, etkin kaynaklar):

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Kaldırmak istediğiniz kimlik bilgilerinin , CredentialIdve kaynağını not AppIdalın.
Yeni bir parola veya anahtar kimlik bilgisi eklemek için şu Microsoft Graph API'lerini kullanın:
- removePassword
- removeKey

Örnek yanıt

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

Hizmet sorumluları

Kimlik bilgilerinin kaynağı hizmet sorumlusuysa, dikkat edilmesi gereken birkaç nokta ve izleyebileceğiniz ek adımlar vardır.

Tek bir uygulama için genellikle birden çok hizmet sorumlusu olduğundan, her şeyi tek bir yerde görüntülemek için Kurumsal uygulamalara gitmek daha kolay olabilir.

Microsoft Entra yönetim merkezinde Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
Bu önerinin bir parçası olarak ortaya çıkarılmış uygulamayı arayın ve açın.
Yan menüden Çoklu oturum açma'ya tıklayın.

Kimlik bilgisi bir hizmet sorumlusuysa ancak kullanımda SAML sertifikaları varsa, Microsoft Graph API'sini kullanarak kimlik bilgilerinin ayrıntılarını tanımlayabilirsiniz. Microsoft Graph API'sini kullanmak için ve DirectoryRecommendations.ReadWrite.All izinlerine ihtiyacınız vardırDirectoryRecommendations.Read.All. Daha fazla bilgi için bkz . Kimlik Önerilerini kullanma.
Graph Explorer'da oturum açın.
Açılan listeden HTTP yöntemi olarak GET'i seçin.
API sürümünü beta olarak ayarlayın.
keyCredential ve passwordCredential uç noktalarını sorgulama.
Hizmet sorumlusundan removePassword kimlik bilgilerini kaldırmak için veya removeKey uç noktalarını kullanın.

Aracılığıyla paylaş

Microsoft Entra önerisi: Kullanılmayan kimlik bilgilerini uygulamalardan kaldırma (önizleme)

Önkoşullar

Açıklama

Değer

Eylem planı

Örnek yanıt

Hizmet sorumluları

Geri Bildirim

Ek kaynaklar

Aracılığıyla paylaş

Microsoft Entra önerisi: Kullanılmayan kimlik bilgilerini uygulamalardan kaldırma (önizleme)

Önkoşullar

Açıklama

Değer

Eylem planı

Hizmet sorumluları

İlgili içerik

Geri Bildirim

Ek kaynaklar