Рекомендация Microsoft Entra. Удаление неиспользуемых учетных данных из приложений (предварительная версия)
Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.
В этой статье описывается рекомендация по удалению неиспользуемых учетных данных из приложений. Эта рекомендация вызывается StaleAppCreds
в API рекомендаций в Microsoft Graph.
Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".
Роль Microsoft Entra | Тип доступа |
---|---|
Читатель отчетов | Только для чтения |
Читатель сведений о безопасности | Только для чтения |
Глобальный читатель | Только для чтения |
Администратор политики проверки подлинности | Обновление и чтение |
Администратор Exchange | Обновление и чтение |
Администратор безопасности | Обновление и чтение |
DirectoryRecommendations.Read.All |
Только для чтения в Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Обновление и чтение в Microsoft Graph |
Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.
Учетные данные приложения могут включать сертификаты и другие типы секретов, которые должны быть зарегистрированы в этом приложении. Эти учетные данные используются для подтверждения удостоверения приложения. Только учетные данные, активно используемые приложением, должны оставаться зарегистрированными в приложении.
Учетные данные считаются неиспользуемые, если:
- Он не использовался за последние 30 дней.
- Это учетные данные, добавленные в приложение для потоков OAuth/OIDC или субъекта-службы для потока SAML.
Следующие учетные данные исключены из рекомендации:
- Истекшие учетные данные не отображаются в списке затронутых ресурсов .
- Учетные данные, которые были определены как неиспользуемые, но истекли с тех пор, как помечены как завершенные в списке затронутых ресурсов .
Удаление неиспользуемых учетных данных приложения помогает сократить область атаки и отключить портфель приложений клиента.
Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph.
Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к обзору удостоверений>.
Перейдите на вкладку "Рекомендации" и выберите "Удалить неиспользуемые учетные данные" из рекомендаций приложений .
Запишите следующие сведения из таблицы затронутых ресурсов .
- В столбце "Ресурс" отображается имя приложения
- В столбце идентификатора отображается идентификатор приложения
Выберите дополнительные сведения из столбца "Действия" , чтобы просмотреть дополнительные сведения.
Ескерім
Если источник учетных данных является субъектом-службой, следуйте инструкциям в разделе субъектов-служб.
На открывающейся панели выберите "Обновить учетные данные" , чтобы перейти непосредственно к области сертификатов и секретов регистрации приложения, чтобы удалить неиспользуемые учетные данные.
Найдите неиспользуемые учетные данные и удалите его.
Если источник учетных данных является субъектом-службой, необходимо выполнить несколько рекомендаций и дополнительных действий.
Так как для одного приложения часто используется несколько субъектов-служб, может быть проще перейти к корпоративным приложениям, чтобы просмотреть все в одном месте.
В Центре администрирования Microsoft Entra перейдите к приложениям Identity>Applications>Enterprise.
Найдите и откройте приложение, которое было создано в рамках этой рекомендации.
Выберите единый вход в боковом меню.
Если учетные данные являются субъектом-службой, но используются сертификаты SAML, можно определить сведения об учетных данных с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются
DirectoryRecommendations.Read.All
разрешения иDirectoryRecommendations.ReadWrite.All
разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".Войдите в обозреватель Graph.
Выберите метод HTTP GET в раскрывающемся списке.
Задайте для версии API бета-версию.
Запрос к конечным точкам
keyCredential
иpasswordCredential
конечным точкам.removePassword
Используйте конечные точки,removeKey
чтобы удалить учетные данные из субъекта-службы.