Compartilhar via


Recomendação do Microsoft Entra: remover as credenciais não utilizadas de aplicativos (prévia)

As recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para remover credenciais não utilizadas de aplicativos. Essa recomendação é chamada de StaleAppCreds na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.

Função do Microsoft Entra Tipo de acesso
Leitor de Relatórios Somente leitura
Leitor de segurança Somente leitura
Leitor global Somente leitura
Administrador de Política de Autenticação Atualizar e ler
Administrador do Exchange Atualizar e ler
Administrador de Segurança Atualizar e ler
DirectoryRecommendations.Read.All Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.

Descrição

As credenciais do aplicativo podem incluir certificados e outros tipos de segredos que precisam ser registrados nesse aplicativo. Essas credenciais são utilizadas para provar a identidade do aplicativo. Somente as credenciais ativamente em uso por um aplicativo devem permanecer registradas no aplicativo.

Uma credencial será considerada não utilizada se:

  • Não tiver sido usado nos últimos 30 dias.
  • For uma credencial adicionada a um aplicativo a ser usado para fluxos OAuth/OIDC ou para a entidade de serviço para fluxo SAML.

As seguintes credenciais são isentas da recomendação:

  • As credenciais expiradas não são mostradas na lista de Recursos afetados.
  • As credenciais que foram identificadas como não usadas, mas expiraram desde que foram sinalizadas, são mostradas como Concluídas na lista de Recursos afetados.

Valor

A remoção de credenciais de aplicativo não usadas ajuda a reduzir a área da superfície de ataque e ajuda a organizar o portfólio de aplicativos de um locatário.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph.

Os aplicativos identificados pela recomendação aparecem na lista de recursos afetados na parte inferior da recomendação.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidade>Visão Geral.

  3. Selecione a guia Recomendações e selecione a recomendação Remover aplicativos não utilizados.

  4. Anote os detalhes a seguir da tabela de Recursos afetados.

    • A coluna Recurso exibe o nome do aplicativo
    • A coluna ID exibe a ID do aplicativo
  5. Selecione Mais Detalhes na coluna Ações para exibir mais detalhes.

    Captura de tela da recomendação com as opções Mais detalhes realçadas.

    Observação

    Se a origem da credencial for Entidade de Serviço, siga as diretrizes na seção Entidades de Serviço.

  6. No painel que é aberto, selecione Atualizar Credencial para navegar diretamente até a área Certificados e segredos do registro do aplicativo para remover a credencial não utilizado.

    1. Navegue atéIdentidade>Aplicativos>Registros de aplicativo e selecione o aplicativo exibido como parte dessa recomendação.

      Captura de tela da página de registro do aplicativo do Microsoft Entra.

    2. Navegue até a seção Certificados e Segredos do registro de aplicativo.

      Captura de tela da seção Certificados e Segredos do Microsoft Entra ID.

  7. Localize a credencial não utilizada e remova-a.

Entidades de serviço

Se a origem da credencial for a entidade de serviço, haverá algumas considerações e etapas extras a seguir.

Como muitas vezes há várias entidades de serviço para um único aplicativo, pode ser mais fácil navegar até aplicativos Enterprise para exibir tudo em um só lugar.

  1. No centro de administração do Microsoft Entra, navegue até IdentidadeAplicativos>Aplicativos empresariais>.

  2. Pesquise e abra o aplicativo que foi exibido como parte dessa recomendação.

  3. Selecione Logon único no menu lateral.

    Se a credencial for uma entidade de serviço, mas houver certificados SAML em uso, você poderá identificar os detalhes da credencial usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

  4. Inicie a sessão no Explorador de gráficos.

  5. Escolha GET como o método HTTP na lista suspensa.

  6. Defina a versão da API como beta.

  7. Consulte os pontos de extremidade keyCredential e passwordCredential.

  8. Use os pontos de extremidade removePassword ou removeKey para remover a credencial da entidade de serviço.