이 문서에서는 앱에서 사용되지 않는 자격 증명을 제거하는 권장 사항을 설명합니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 StaleAppCreds라고 합니다.
필수 조건
권장 사항을 보거나 업데이트하기 위한 다양한 역할 요구 사항이 있습니다. 필요한 액세스 유형에 대해 최소 권한 역할을 사용합니다. 역할의 전체 목록은 태스크별 최소 권한 역할을 참조 하세요.
Microsoft Entra 역할
액세스 형식
보고서 읽기
읽기 전용
보안 판독기
읽기 전용
글로벌 리더
읽기 전용
인증 정책 관리자
업데이트 및 읽기
Exchange 관리자
업데이트 및 읽기
보안 관리자
업데이트 및 읽기
DirectoryRecommendations.Read.All
Microsoft Graph에서 읽기 전용
DirectoryRecommendations.ReadWrite.All
Microsoft Graph에서 업데이트 및 읽기
일부 권장 사항에는 P2 또는 기타 라이선스가 필요할 수 있습니다. 자세한 내용은 개요 표을 참조하세요.
설명
애플리케이션 자격 증명에는 인증서 및 해당 애플리케이션에 등록해야 하는 다른 유형의 비밀이 포함될 수 있습니다. 이러한 자격 증명은 애플리케이션의 ID를 증명하는 데 사용됩니다. 애플리케이션에서 적극적으로 사용 중인 자격 증명만 애플리케이션에 등록된 상태로 유지되어야 합니다.
자격 증명은 다음과 같은 경우 사용되지 않는 것으로 간주됩니다.
지난 30일 동안 사용되지 않았습니다.
OAuth/OIDC 또는 SAML 흐름의 서비스 주체에 사용할 수 있도록 애플리케이션에 추가한 자격 증명입니다.
권장 사항에서 제외되는 자격 증명은 다음과 같습니다.
만료된 자격 증명은 영향을 받은 리소스 목록에 표시되지 않습니다.
플래그가 지정된 이후 사용되지 않은 것으로 식별되었지만 만료된 자격 증명은 영향을 받는 리소스 목록에 완료 됨으로 표시됩니다.
값
사용하지 않는 애플리케이션 자격 증명을 제거하면 공격 노출 영역을 줄이고 테넌트 앱 포트폴리오를 정리하는 데 도움이 됩니다.
작업 플랜:
이 권장 사항은 Microsoft Entra 관리 센터 및 Microsoft Graph API를 사용하여 사용할 수 있습니다.
열리는 패널에서 자격 증명 업데이트를 선택하여 앱 등록의 인증서 및 비밀 영역으로 직접 이동하여 사용되지 않는 자격 증명을 제거합니다.
대신 Identity>Applications>App registrations으로 이동하여 이 권장 사항의 일부로 표시된 애플리케이션을 선택합니다.
그런 다음 앱 등록의 인증서 및 비밀 섹션으로 이동합니다.
사용되지 않는 자격 증명을 찾아 제거합니다.
다음 요청을 사용하여 Microsoft Graph API를 사용하여 권장 사항 및 영향을 받은 리소스를 검색할 수 있습니다. Microsoft Graph API를 사용하려면 DirectoryRecommendations.Read.All 및 DirectoryRecommendations.ReadWrite.All 권한이 필요합니다. 자세한 내용은 ID 권장 사항을 사용하는 방법을 참조 하세요.
GET https://graph.microsoft.com/beta/directory/recommendations
응답에서 다음 패턴 {tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds과 일치하는 권장 사항의 ID를 찾습니다.
영향을 받은 리소스를 식별하려면 다음을 수행합니다.
GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleAppCreds
상태에 따라 리소스를 필터링하려면(예 : 활성 리소스)
GET https://graph.microsoft.com/eta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'
제거하려는 자격 증명의 AppId, CredentialId 및 출처를 기록해 둡니다.
다음 Microsoft Graph API를 사용하여 새 암호 또는 키 자격 증명을 추가합니다.
{
"id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleAppCreds",
"recommendationType": "staleAppCreds",
"createdDateTime": "2022-09-07T21:25:36Z",
"impactStartDateTime": "2022-09-07T21:25:36Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "2024-07-22T15:23:29Z",
"lastModifiedBy": "System",
"displayName": "Remove unused credentials from applications",
"featureAreas": [
"applications"
],
"insights": "Your tenant has applications with credentials which have not been used in more than 30 days.",
"benefits": "An application credential is used to get a token that grants access to a resource or another service.",
"category": "identityBestPractice",
"status": "active",
"priority": "medium",
"releaseType": "preview",
"requiredLicenses": "microsoftEntraWorkloadId",
"impactType": "apps",
"actionSteps": [
{
"stepNumber": 1,
"text": "1. For application resources, navigate to the app registration section in your tenant."
},
{
"stepNumber": 2,
"text": "2. In the ‘Certificate and Secrets’ blade, find the credential and remove it."
},
{
"stepNumber": 3,
"text": "3. To remove a credential from a service principal resource, use the MS Graph Service Principal API service action ",
"actionUrl": {
"displayName": "`removePassword`",
"url": "https://docs.microsoft.com/graph/api/serviceprincipal-removepassword?view=graph-rest-1.0&tabs=http"
}
}
]
}
서비스 주체
자격 증명의 원본이 서비스 주체인 경우 몇 가지 고려 사항 및 추가 단계를 따라야 합니다.
단일 애플리케이션에 대한 서비스 주체가 여러 개 있는 경우가 많기 때문에 엔터프라이즈 앱으로 이동하여 모든 항목을 한 곳에서 보는 것이 더 쉬울 수 있습니다.
자격 증명이 서비스 주체이지만 사용 중인 SAML 인증서가 있는 경우 Microsoft Graph API를 사용하여 자격 증명의 세부 정보를 식별할 수 있습니다. Microsoft Graph API를 사용하려면 DirectoryRecommendations.Read.All 및 DirectoryRecommendations.ReadWrite.All 권한이 필요합니다. 자세한 내용은 ID 권장 사항을 사용하는 방법을 참조 하세요.