Recommandation Microsoft Entra : Supprimer les informations d’identification inutilisées des applications (préversion)
Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.
Cet article traite la recommandation de supprimer les informations d’identification inutilisées des applications. Cette recommandation est appelée StaleAppCreds
dans l’API recommandations de Microsoft Graph.
Prérequis
Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.
Rôle Microsoft Entra | Type d’accès |
---|---|
Lecteur de rapports | Lecture seule |
Lecteur Sécurité | Lecture seule |
Lecteur général | Lecture seule |
Administrateur de la stratégie d’authentification | Mettre à jour et lire |
Administrateur Exchange | Mettre à jour et lire |
Security Administrator | Mettre à jour et lire |
DirectoryRecommendations.Read.All |
Lecture seule dans Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Mettre à jour et lire dans Microsoft Graph |
Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.
Description
Les informations d’identification d’application peuvent comprendre des certificats et d’autres types de secrets devant être inscrits auprès de cette application. Ces informations d’identification servent à prouver l’identité de l’application. Seules les informations d’identification utilisées de manière active par une application doivent rester inscrites auprès de celle-ci.
Les informations d’identification sont considérées comme inutilisées si :
- Il n’a pas été utilisé au cours des 30 derniers jours.
- Il s’agit d’informations d’identification qui ont été ajoutées à une application à utiliser pour les flux OAuth/OIDC ou au principal de service pour le flux SAML.
Les informations d’identification suivantes sont exemptées de la recommandation :
- Les informations d’identification expirées ne s’affichent pas dans la liste des ressources affectées.
- Les informations d’identification qui ont été identifiées comme inutilisées, mais qui ont expiré depuis qu’elles ont été signalées comme Terminées dans la Liste des ressources affectées.
Valeur
La suppression des informations d’identification d’application inutilisées permet de réduire la surface d’attaque et d’effacer le portefeuille d’applications d’un locataire.
Plan d’action
Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph.
Les applications concernées par la recommandation apparaissent dans la liste des Ressources impactées sous la recommandation.
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Vue d’ensemble.
Sélectionnez l’onglet Recommandations, puis la recommandation Supprimer les informations d’identification inutilisées des applications.
Prenez note des informations suivantes à partir de la table Ressources impactées.
- La colonne Ressource affiche le nom d’application
- La colonne ID affiche l’ID d’application
Sélectionnez Plus de détails dans la colonne Actions pour afficher plus de détails.
Remarque
Si l’origine des informations d’identification est le principal de service, suivez les instructions de la section Principal de services.
Dans le volet qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone Certificats et secrets de l’inscription d’application pour supprimer les informations d’identification inutilisées.
Trouvez les informations d’identification inutilisées et supprimez-les.
Principaux de service
Si l’origine des informations d’identification est le principal de service, il existe quelques considérations et étapes supplémentaires à suivre.
Étant donné qu’il existe souvent plusieurs principaux de service pour une seule application, il peut être plus facile d’accéder aux applications d’entreprise pour afficher tout dans un seul endroit.
Dans le Centre d’administration Microsoft Entra, accédez à Identité>Applications>Applications d’entreprise.
Recherchez et ouvrez l’application qui a été exposée dans le cadre de cette recommandation.
Sélectionnez Authentification unique dans le menu latéral.
Si les informations d’identification sont un principal de service, mais qu’il existe des certificats SAML en cours d’utilisation, vous pouvez identifier les détails des informations d’identification à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations
DirectoryRecommendations.Read.All
etDirectoryRecommendations.ReadWrite.All
. Pour plus d’informations, consultez le guide pratique sur l’utilisation des recommandations de sécurité.Connectez-vous à l’explorateur graphique.
Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.
Définissez la version de l’API sur bêta.
Interrogez les points de terminaison
keyCredential
etpasswordCredential
.Utilisez le
removePassword
ouremoveKey
les points de terminaison pour supprimer les informations d’identification du principal de service.
Contenu connexe
- Passer en revue la présentation des recommandations Microsoft Entra
- Découvrez comment utiliser les suggestions Microsoft Entra
- Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
- En savoir plus sur les objets d’application et de principal de service dans Microsoft Entra ID