Microsoft Entra 建議：從應用程式移除未使用的認證（預覽）

發行項
10/24/2024

Microsoft Entra 建議是可以提供您個人化深入解析和可操作指導，以讓您租用戶符合建議最佳實務的功能。

本文涵蓋從應用程式移除未使用的認證的建議。此建議會在 Microsoft Graph 的建議 API 中呼叫 StaleAppCreds。

必要條件

檢視或更新建議有不同的角色需求。針對所需的存取類型，使用最低特殊權限角色。如需角色的完整清單，請參閱＜工作的最低特殊權限角色＞。

Microsoft Entra 角色	存取類型
報告讀取者	唯讀
安全性讀取者	唯讀
全域讀取者	唯讀
驗證原則管理員	更新及讀取
Exchange 系統管理員	更新及讀取
安全性系統管理員	更新及讀取
`DirectoryRecommendations.Read.All`	Microsoft Graph 中的唯讀
`DirectoryRecommendations.ReadWrite.All`	在 Microsoft Graph 中更新和讀取

某些建議可能需要 P2 或其他授權。如需詳細資訊，請參閱＜建議可用性和授權需求＞。

描述

應用程式認證可以包含憑證和需要使用該應用程式註冊之其他類型的秘密。這些認證可用來證明應用程式的身分識別。只有應用程式使用中的認證應保持向應用程式註冊。

如果下列專案未使用認證，則會將認證視為未使用：

過去 30 天沒有使用它。
這是已新增至要用於 OAuth/OIDC 流程的應用程式或 SAML 流程的服務主體的認證。

下列認證不受建議的豁免：

受影響的資源清單中不會顯示過期的認證。
識別為未使用的認證，但自標示為 [受影響的資源] 列表中顯示為 [已完成] 之後已過期。

值

拿掉未使用的應用程式認證有助於減少受攻擊面區域，並協助清除租使用者的應用程式組合。

行動方案

此建議適用於 Microsoft Entra 系統管理中心，並使用 Microsoft Graph API。

Microsoft Entra 系統管理中心
Microsoft Graph API

所識別建議的應用程式會出現在建議底部 受影響的資源 清單中。

至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[概觀]。
選取 [建議] 索引標籤，然後選取 [從應用程式建議移除未使用的認證]。
請記下 [受影響的資源] 資料表中的 下列詳細數據 。
- [資源] 資料行會顯示應用程式名稱
- [標識符] 資料行會顯示應用程式識別碼
從 [動作] 資料行選取 [更多詳細數據]，以檢視更多詳細數據。

注意

如果認證的來源是服務主體，請遵循服務主體一節中的指引。
從開啟的面板中，選取 [更新認證 ] 以直接流覽至 應用程式註冊的 [憑證與秘密 ] 區域，以移除未使用的認證。
1. 或者，流覽至 [身分>識別應用程式>]應用程式註冊 然後選取顯示為此建議一部分的應用程式。
2. 然後流覽至 應用程式註冊的 [憑證和秘密 ] 區段。
找出未使用的認證並加以移除。

下列要求可用來使用 Microsoft Graph API 擷取建議和受影響的資源。若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。如需詳細資訊，請參閱如何使用身分識別建議。

登入 Graph 總管。
從下拉式清單中選取 [GET] 作為 HTTP 方法。

若要擷取租使用者的所有建議：

GET https://graph.microsoft.com/beta/directory/recommendations

從回應中，尋找符合下列模式的建議標識碼： {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds。

若要識別受影響的資源：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

若要根據資源的狀態來篩選資源（例如作用中的資源）：

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

記下 AppId您想要移除之認證的、 CredentialId和來源。
使用這些Microsoft Graph API 來新增密碼或金鑰認證：
- removePassword
- removeKey

範例回覆

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}

服務主體

如果認證的來源是 服務主體，有幾個考慮和額外的步驟需要遵循。

因為單一應用程式通常會有多個服務主體，所以流覽至企業應用程式以在一個地方檢視所有專案可能比較容易。

在 Microsoft Entra 系統管理中心，流覽至 [身分>識別應用程式企業應用程式]。>
搜尋並開啟在此建議中呈現的應用程式。
從側邊功能表中選取 [單一登錄 ]。

如果認證是服務主體，但有使用中的 SAML 憑證，您可以使用 Microsoft Graph API 來識別認證的詳細數據。若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。如需詳細資訊，請參閱如何使用身分識別建議。
登入 Graph 總管。
從下拉式清單中選取 [GET] 作為 HTTP 方法。
將 API 版本設定為 [搶鮮版 (Beta)]。
keyCredential查詢和 passwordCredential 端點。
removePassword使用或 removeKey 端點，從服務主體移除認證。

共用方式為

Microsoft Entra 建議：從應用程式移除未使用的認證（預覽）

必要條件

描述

值

行動方案

範例回覆

服務主體

意見反應

其他資源

共用方式為

Microsoft Entra 建議：從應用程式移除未使用的認證 （預覽）

必要條件

描述

值

行動方案

服務主體

相關內容

意見反應

其他資源

Microsoft Entra 建議：從應用程式移除未使用的認證（預覽）