Dela via


Microsoft Entra-rekommendation: Ta bort oanvända autentiseringsuppgifter från appar (förhandsversion)

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att ta bort oanvända autentiseringsuppgifter från appar. Den här rekommendationen anropas StaleAppCreds i API:et för rekommendationer i Microsoft Graph.

Förutsättningar

Det finns olika rollkrav för att visa eller uppdatera en rekommendation. Använd den minst privilegierade rollen för den typ av åtkomst som behövs. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.

Microsoft Entra-roll Åtkomsttyp
Rapportläsare Skrivskydd
Säkerhetsläsare Skrivskydd
Global läsare Skrivskydd
Administratör av autentiseringsprincip Uppdatera och läsa
Exchange-administratör Uppdatera och läsa
Säkerhetsadministratör Uppdatera och läsa
DirectoryRecommendations.Read.All Skrivskyddad i Microsoft Graph
DirectoryRecommendations.ReadWrite.All Uppdatera och läsa i Microsoft Graph

Vissa rekommendationer kan kräva en P2- eller annan licens. Mer information finns i Rekommendationstillgänglighet och licenskrav.

beskrivning

Programautentiseringsuppgifter kan innehålla certifikat och andra typer av hemligheter som måste registreras med programmet. Dessa autentiseringsuppgifter används för att bevisa programmets identitet. Endast autentiseringsuppgifter som aktivt används av ett program ska förbli registrerade i programmet.

En autentiseringsuppgift anses vara oanvänd om:

  • Den har inte använts under de senaste 30 dagarna.
  • Det är en autentiseringsuppgift som har lagts till i ett program som ska användas för OAuth/OIDC-flöden eller till tjänstens huvudnamn för SAML-flödet.

Följande autentiseringsuppgifter är undantagna från rekommendationen:

  • Utgångna autentiseringsuppgifter visas inte i listan Påverkade resurser .
  • Autentiseringsuppgifter som identifierades som oanvända men som har upphört att gälla sedan de flaggades visas som Slutförda i listan Påverkade resurser .

Värde

Om du tar bort oanvända programautentiseringsuppgifter kan du minska attackytan och rensa appportföljen för en klientorganisation.

Åtgärdsplan

Den här rekommendationen är tillgänglig i administrationscentret för Microsoft Entra och med hjälp av Microsoft Graph API.

Program som rekommendationen identifierade visas i listan över påverkade resurser längst ned i rekommendationen.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Identitetsöversikt>.

  3. Välj fliken Rekommendationer och välj rekommendationen Ta bort oanvända autentiseringsuppgifter från program .

  4. Anteckna följande information från tabellen Påverkade resurser .

    • I kolumnen Resurs visas programnamnet
    • I kolumnen ID visas program-ID
  5. Välj Mer information i kolumnen Åtgärder för att visa mer information.

    Skärmbild av rekommendationen med alternativen Mer information markerade.

    Kommentar

    Om autentiseringsuppgifternas ursprung är Tjänstens huvudnamn följer du riktlinjerna i avsnittet Tjänsthuvudnamn.

  6. I panelen som öppnas väljer du Uppdatera autentiseringsuppgifter för att navigera direkt till området Certifikat och hemligheter i appregistreringen för att ta bort oanvända autentiseringsuppgifter.

    1. Du kan också bläddra till Identitetsprogram>> Appregistreringar och välja det program som visades som en del av den här rekommendationen.

      Skärmbild av registreringssidan för Microsoft Entra-appen.

    2. Gå sedan till avsnittet Certifikat och hemligheter i appregistreringen.

      Skärmbild av avsnittet Certifikat och hemligheter i Microsoft Entra-ID.

  7. Leta upp den oanvända autentiseringsuppgiften och ta bort den.

Tjänstens huvudnamn

Om autentiseringsuppgifternas ursprung är tjänstens huvudnamn finns det några överväganden och ytterligare steg att följa.

Eftersom det ofta finns flera huvudnamn för tjänsten för ett enda program kan det vara enklare att navigera till Företagsappar för att visa allt på ett och samma ställe.

  1. I administrationscentret för Microsoft Entra bläddrar du till Identity>Applications>Enterprise-program.

  2. Sök efter och öppna programmet som visades som en del av den här rekommendationen.

  3. Välj Enkel inloggning på sidomenyn.

    Om autentiseringsuppgifterna är ett huvudnamn för tjänsten men det finns SAML-certifikat som används kan du identifiera informationen om autentiseringsuppgifterna med hjälp av Microsoft Graph API. Om du vill använda Microsoft Graph-API:et behöver du behörigheterna DirectoryRecommendations.Read.All och DirectoryRecommendations.ReadWrite.All . Mer information finns i Använda identitetsrekommendationer.

  4. Logga in på Graph Explorer.

  5. Välj GET som HTTP-metod i listrutan.

  6. Ange API-versionen till betaversion.

  7. Fråga efter slutpunkterna keyCredential och passwordCredential .

  8. Använd slutpunkterna removePassword eller removeKey för att ta bort autentiseringsuppgifterna från tjänstens huvudnamn.