Microsoft Entra 建议:从应用中移除未使用的凭据(预览)
Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。
本文介绍从应用中删除未使用的凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 StaleAppCreds。
先决条件
查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读者 | 只读 |
| 安全读取者 | 只读 |
| 全局读取者 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange 管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议概述表。
说明
应用程序凭据可以包括需要向该应用程序注册的证书和其他类型的机密。 这些凭据用于证明应用程序的标识。 只有应用程序主动使用的凭据才应保持向应用程序注册。
如果出现以下情况,则认为凭证未使用:
- 过去 30 天内未使用它。
- 它是添加到要用于 OAuth/OIDC 流的应用程序,或添加到 SAML 流的服务主体的凭证。
以下凭证不受建议的约束:
- “受影响的资源”列表中未显示过期凭证。
- 标识为未使用,但自标记以来已过期的凭证在“受影响资源”列表中显示为“已完成”。
值
移除未使用的应用程序凭证有助于减少攻击面,并有助于清理租户的应用组合。
操作计划
此建议在 Microsoft Entra 管理中心内提供,并使用 Microsoft Graph API。
建议标识的应用程序将显示在建议底部的“受影响资源”列表中。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”。
选择“建议”选项卡,然后选择“移除未使用的应用程序凭证”建议。
记下“受影响的资源”表中的以下详细信息。
- “资源”列显示应用程序名称
- “ID”列显示应用程序 ID
从“操作”列中选择“更多详细信息”以查看更多详细信息。
注意
如果凭证的来源为服务主体,请按照服务主体部分中的指导进行操作。
在打开的面板中,选择“更新凭证”以直接导航到应用注册的“证书和机密”区域,以删除未使用的凭证。
或者,浏览到“标识”>“应用程序”>“应用注册”,然后选择显示为此建议一部分的应用程序。
然后,导航到应用注册的“证书和机密”部分。
找到未使用的凭证并将其删除。
服务主体
如果凭证的来源是服务主体,则需注意一些注意事项和额外的步骤。
由于单个应用程序通常有多个服务主体,因此导航到企业应用在一个位置查看所有内容可能更轻松。
在 Microsoft Entra 管理中心内,浏览到“标识”>“应用程序”>“企业应用程序”。
搜索并打开作为此建议的一部分显示的应用程序。
从侧边菜单中选择“单一登录”。
如果凭据是服务主体,但正在使用 SAML 证书,则可以使用 Microsoft 图形 API 标识凭据的详细信息。 若要使用 Microsoft Graph API,你需要
DirectoryRecommendations.Read.All和DirectoryRecommendations.ReadWrite.All权限。 有关详细信息,请参阅如何使用标识建议。登录到图形资源管理器。
从下拉列表中选择 GET 作为 HTTP 方法。
将 API 版本设置为“beta 版本”。
查询
keyCredential和passwordCredential终结点。使用
removePassword或removeKey终结点从服务主体中删除凭据。