Recommandation Microsoft Entra : Supprimer les informations d’identification inutilisées des applications (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article traite la recommandation de supprimer les informations d’identification inutilisées des applications. Cette recommandation est appelée StaleAppCreds dans l’API recommandations de Microsoft Graph.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Rôle Microsoft Entra Type d’accès
Lecteur de rapports Lecture seule
Lecteur Sécurité Lecture seule
Lecteur général Lecture seule
Administrateur de la stratégie d’authentification Mettre à jour et lire
Administrateur Exchange Mettre à jour et lire
Security Administrator Mettre à jour et lire
DirectoryRecommendations.Read.All Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.

Description

Les informations d’identification d’application peuvent comprendre des certificats et d’autres types de secrets devant être inscrits auprès de cette application. Ces informations d’identification servent à prouver l’identité de l’application. Seules les informations d’identification utilisées de manière active par une application doivent rester inscrites auprès de celle-ci.

Les informations d’identification sont considérées comme inutilisées si :

  • Il n’a pas été utilisé au cours des 30 derniers jours.
  • Il s’agit d’informations d’identification qui ont été ajoutées à une application à utiliser pour les flux OAuth/OIDC ou au principal de service pour le flux SAML.

Les informations d’identification suivantes sont exemptées de la recommandation :

  • Les informations d’identification expirées ne s’affichent pas dans la liste des ressources affectées.
  • Les informations d’identification qui ont été identifiées comme inutilisées, mais qui ont expiré depuis qu’elles ont été signalées comme terminées dans la liste des ressources affectées.

Valeur

La suppression des informations d’identification d’application inutilisées permet de réduire la surface d’attaque et d’effacer le portefeuille d’applications d’un locataire.

Plan d’action

Cette recommandation est disponible dans le Centre d’administration Microsoft Entra et à l’aide de l’API Microsoft Graph.

Les applications concernées par la recommandation apparaissent dans la liste des Ressources impactées sous la recommandation.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Vue d’ensemble.

  3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Supprimer les informations d’identification inutilisées des applications .

  4. Notez les détails suivants de la table des ressources impactées.

    • La colonne Ressource affiche le nom de l’application
    • La colonne ID affiche l’ID d’application
  5. Sélectionnez Plus de détails dans la colonne Actions pour afficher plus de détails.

    Capture d’écran de la recommandation avec les options Plus de détails mises en surbrillance.

    Remarque

    Si l’origine des informations d’identification est le principal de service, suivez les instructions de la section Principaux de service.

  6. Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone Certificats et secrets de l’inscription de l’application pour supprimer les informations d’identification inutilisées.

    1. Vous pouvez également accéder aux inscriptions d’applications>d’identité>et sélectionner l’application qui a été exposée dans le cadre de cette recommandation.

      Capture d’écran de la page Inscription d’application Microsoft Entra.

    2. Accédez ensuite à la section Certificats et secrets de l’inscription de l’application.

      Capture d’écran de la section Certificats et secrets de Microsoft Entra ID.

  7. Recherchez les informations d’identification inutilisées et supprimez-la.

Principaux de service

Si l’origine des informations d’identification est le principal de service, il existe quelques considérations et étapes supplémentaires à suivre.

Étant donné qu’il existe souvent plusieurs principaux de service pour une seule application, il peut être plus facile d’accéder aux applications d’entreprise pour afficher tout dans un seul endroit.

  1. Dans le Centre d’administration Microsoft Entra, accédez aux applications d’entreprise Identity>Applications.>

  2. Recherchez et ouvrez l’application qui a été exposée dans le cadre de cette recommandation.

  3. Sélectionnez Authentification unique dans le menu latéral.

    Si les informations d’identification sont un principal de service, mais qu’il existe des certificats SAML en cours d’utilisation, vous pouvez identifier les détails des informations d’identification à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations et DirectoryRecommendations.ReadWrite.All des DirectoryRecommendations.Read.All autorisations. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

  4. Connectez-vous à l’explorateur graphique.

  5. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

  6. Définissez la version de l’API sur bêta.

  7. Interrogez les points de terminaison et passwordCredential les keyCredential points de terminaison.

  8. Utilisez le removePassword ou removeKey les points de terminaison pour supprimer les informations d’identification du principal de service.