Microsoft Entra 권장 사항: 앱에서 사용되지 않는 자격 증명 제거(미리 보기)

권장 사항이 식별한 애플리케이션은 권장 사항의 맨 아래에 있는 영향을 받은 리소스 목록에 표시됩니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>개요로 이동합니다.

3. 권장 사항 탭을 선택하고 애플리케이션 권장 사항에서 사용되지 않는 자격 증명 제거를 선택합니다.

4. 영향을 받은 리소스 테이블에서 다음 세부 정보를 기록해 둡니다 .

   • 리소스 열에 애플리케이션 이름이 표시됩니다.
   • ID 열에 애플리케이션 ID가 표시됩니다.

5. 작업 열에서 자세히를 선택하여 자세한 내용을 봅니다.

   

   참고

   자격 증명의 원본이 서비스 주체인 경우 서비스 주체 섹션의 지침을 따릅니다.

6. 열리는 패널에서 자격 증명 업데이트를 선택하여 앱 등록의 인증서 및 비밀 영역으로 직접 이동하여 사용되지 않는 자격 증명을 제거합니다.

   1. 대신 Identity>Applications>App registrations으로 이동하여 이 권장 사항의 일부로 표시된 애플리케이션을 선택합니다.

      

   2. 그런 다음 앱 등록의 인증서 및 비밀 섹션으로 이동합니다.

      

7. 사용되지 않는 자격 증명을 찾아 제거합니다.

다음 요청을 사용하여 Microsoft Graph API를 사용하여 권장 사항 및 영향을 받은 리소스를 검색할 수 있습니다. Microsoft Graph API를 사용하려면 DirectoryRecommendations.Read.All 및 DirectoryRecommendations.ReadWrite.All 권한이 필요합니다. 자세한 내용은 ID 권장 사항을 사용하는 방법을 참조 하세요.

1. Graph Explorer에 로그인합니다.
2. 드롭다운에서 HTTP 메서드로 GET를 선택합니다.

테넌트에 대한 모든 권장 사항을 검색하려면 다음을 수행합니다.

GET https://graph.microsoft.com/beta/directory/recommendations

응답에서 다음 패턴 {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds과 일치하는 권장 사항의 ID를 찾습니다.

영향을 받은 리소스를 식별하려면 다음을 수행합니다.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds

상태에 따라 리소스를 필터링하려면(예 : 활성 리소스)

GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 제거하려는 자격 증명의 AppId, CredentialId 및 출처를 기록해 둡니다.
• 다음 Microsoft Graph API를 사용하여 새 암호 또는 키 자격 증명을 추가합니다.
  • removePassword
  • 키 제거

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
  "recommendationType": "staleAppCreds",
  "createdDateTime": "2022-09-07T21:25:36Z",
  "impactStartDateTime": "2022-09-07T21:25:36Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-22T15:23:29Z",
  "lastModifiedBy": "System",
  "displayName": "Remove unused credentials from applications",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
  "benefits": "An application credential is used to get a token that grants access to a resource or another service.",
  "category": "identityBestPractice",
  "status": "active",
  "priority": "medium",
  "releaseType": "preview",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. For application resources, navigate to the app registration section in your tenant."
    },
    {
      "stepNumber": 2,
      "text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
    },
    {
      "stepNumber": 3,
      "text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
      "actionUrl": {
        "displayName": "`removePassword`",
        "url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
      }
    }
  ]
}