Recommandation Microsoft Entra : Supprimer les informations d’identification inutilisées des applications (préversion)
Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.
Cet article traite la recommandation de supprimer les informations d’identification inutilisées des applications. Cette recommandation est appelée StaleAppCreds
dans l’API recommandations de Microsoft Graph.
Prérequis
Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.
Rôle Microsoft Entra | Type d’accès |
---|---|
Lecteur de rapports | Lecture seule |
Lecteur Sécurité | Lecture seule |
Lecteur général | Lecture seule |
Administrateur de la stratégie d’authentification | Mettre à jour et lire |
Administrateur Exchange | Mettre à jour et lire |
Security Administrator | Mettre à jour et lire |
DirectoryRecommendations.Read.All |
Lecture seule dans Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Mettre à jour et lire dans Microsoft Graph |
Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.
Description
Les informations d’identification d’application peuvent comprendre des certificats et d’autres types de secrets devant être inscrits auprès de cette application. Ces informations d’identification servent à prouver l’identité de l’application. Seules les informations d’identification utilisées de manière active par une application doivent rester inscrites auprès de celle-ci.
Les informations d’identification sont considérées comme inutilisées si :
- Il n’a pas été utilisé au cours des 30 derniers jours.
- Il s’agit d’informations d’identification qui ont été ajoutées à une application à utiliser pour les flux OAuth/OIDC ou au principal de service pour le flux SAML.
Les informations d’identification suivantes sont exemptées de la recommandation :
- Les informations d’identification expirées ne s’affichent pas dans la liste des ressources affectées.
- Les informations d’identification qui ont été identifiées comme inutilisées, mais qui ont expiré depuis qu’elles ont été signalées comme terminées dans la liste des ressources affectées.
Valeur
La suppression des informations d’identification d’application inutilisées permet de réduire la surface d’attaque et d’effacer le portefeuille d’applications d’un locataire.
Plan d’action
Cette recommandation est disponible dans le Centre d’administration Microsoft Entra et à l’aide de l’API Microsoft Graph.
Les applications concernées par la recommandation apparaissent dans la liste des Ressources impactées sous la recommandation.
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
Accédez à Identité>Vue d’ensemble.
Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Supprimer les informations d’identification inutilisées des applications .
Notez les détails suivants de la table des ressources impactées.
- La colonne Ressource affiche le nom de l’application
- La colonne ID affiche l’ID d’application
Sélectionnez Plus de détails dans la colonne Actions pour afficher plus de détails.
Remarque
Si l’origine des informations d’identification est le principal de service, suivez les instructions de la section Principaux de service.
Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone Certificats et secrets de l’inscription de l’application pour supprimer les informations d’identification inutilisées.
Recherchez les informations d’identification inutilisées et supprimez-la.
Principaux de service
Si l’origine des informations d’identification est le principal de service, il existe quelques considérations et étapes supplémentaires à suivre.
Étant donné qu’il existe souvent plusieurs principaux de service pour une seule application, il peut être plus facile d’accéder aux applications d’entreprise pour afficher tout dans un seul endroit.
Dans le Centre d’administration Microsoft Entra, accédez aux applications d’entreprise Identity>Applications.>
Recherchez et ouvrez l’application qui a été exposée dans le cadre de cette recommandation.
Sélectionnez Authentification unique dans le menu latéral.
Si les informations d’identification sont un principal de service, mais qu’il existe des certificats SAML en cours d’utilisation, vous pouvez identifier les détails des informations d’identification à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations et
DirectoryRecommendations.ReadWrite.All
desDirectoryRecommendations.Read.All
autorisations. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.Connectez-vous à l’explorateur graphique.
Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.
Définissez la version de l’API sur bêta.
Interrogez les points de terminaison et
passwordCredential
leskeyCredential
points de terminaison.Utilisez le
removePassword
ouremoveKey
les points de terminaison pour supprimer les informations d’identification du principal de service.
Contenu connexe
- Passer en revue la présentation des recommandations Microsoft Entra
- Découvrez comment utiliser les suggestions Microsoft Entra
- Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
- En savoir plus sur les objets d’application et de principal de service dans Microsoft Entra ID