Recomendación de Microsoft Entra: eliminación de credenciales sin usar de aplicaciones (versión preliminar)
Las Recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.
En este artículo se describe la recomendación de quitar las credenciales sin usar de las aplicaciones. Esta recomendación se llama StaleAppCreds
en la API de recomendaciones de Microsoft Graph.
Requisitos previos
Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.
Rol de Microsoft Entra | Tipo de acceso |
---|---|
Lector de informes | Solo lectura |
Lector de seguridad | Solo lectura |
Lector global | Solo lectura |
Administrador de directivas de autenticación | Actualización y lectura |
Administrador de Exchange | Actualización y lectura |
Administrador de seguridad | Actualización y lectura |
DirectoryRecommendations.Read.All |
Solo lectura en Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Actualización y lectura en Microsoft Graph |
Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte Requisitos de disponibilidad y licencia para recomendaciones.
Descripción
Las credenciales de aplicación pueden incluir certificados y otros tipos de secretos que deben registrarse en esa aplicación. Estas credenciales se usan para demostrar la identidad de la aplicación. Solo las credenciales que una aplicación usa activamente deben permanecer registradas con la aplicación.
Una credencial se considera no utiliza si:
- No se ha usado en los últimos 30 días.
- Se trata de una credencial que se agregó a una aplicación que se usará para flujos de OAuth/OIDC o a la entidad de servicio para el flujo SAML.
Las credenciales siguientes están exentas de la recomendación:
- Las credenciales expiradas no se muestran en la lista Recursos afectados.
- Las credenciales que se han identificado como sin usar, pero que han expirado desde que se marcan como Completadas en la lista Recursos afectados.
Valor
La eliminación de credenciales de aplicación sin usar ayuda a reducir el área expuesta a ataques y ayuda a desancar la cartera de aplicaciones de un inquilino.
Plan de acción
Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API.
Las aplicaciones que la recomendación identificada aparecen en la lista de Recursos afectados en la parte inferior de la recomendación.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Información general.
Seleccione la pestaña Recomendaciones y seleccione la recomendación Quitar credenciales sin usar de las aplicaciones .
Tome nota de los detalles siguientes de la tabla Recursos afectados.
- La columna Recurso muestra el nombre de la aplicación.
- La columna Id. muestra el identificador de aplicación.
Seleccione Más detalles en la columna Acciones para ver más detalles.
Nota:
Si el origen de la credencial es entidad de servicio, siga las instrucciones de la sección Entidades de servicio.
En el panel que se abre, seleccione Actualizar credencial para ir directamente al área Certificados y secretos del registro de la aplicación para quitar la credencial no utilizada.
Busque la credencial sin usar y quítela.
Entidades de servicio
Si el origen de la credencial es la entidad de servicio, hay algunas consideraciones y pasos adicionales que se deben seguir.
Dado que a menudo hay varias entidades de servicio para una sola aplicación, puede ser más fácil navegar a Aplicaciones empresariales para ver todo en un solo lugar.
En el Centro de administración de Microsoft Entra, vaya a Aplicaciones de identidad>Aplicaciones> empresariales.
Busque y abra la aplicación que se ha expuesto como parte de esta recomendación.
Seleccione Inicio de sesión único en el menú lateral.
Si la credencial es una entidad de servicio, pero hay certificados SAML en uso, puede identificar los detalles de la credencial mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los
DirectoryRecommendations.Read.All
permisos yDirectoryRecommendations.ReadWrite.All
. Para obtener más información, vea Cómo usar recomendaciones de identidad.Inicie sesión en Probador de Graph.
Seleccione GET como método HTTP en el menú desplegable.
Establezca la versión de API en beta.
Consulte los puntos de
keyCredential
conexión ypasswordCredential
.Use los
removePassword
puntos de conexión oremoveKey
para quitar la credencial de la entidad de servicio.
Contenido relacionado
- Revisión de la introducción a las recomendaciones de Microsoft Entra
- Aprender a usar las recomendaciones de Microsoft Entra
- Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones
- Más información sobre los objetos principales de aplicación y de entidad de servicio en Microsoft Entra ID