Bagikan melalui


Rekomendasi Microsoft Entra: Menghapus kredensial yang tidak digunakan dari aplikasi (pratinjau)

Rekomendasi Microsoft Entra adalah fitur yang memberi Anda wawasan yang dipersonalisasi dan panduan yang dapat ditindaklanjuti untuk menyelaraskan penyewa Anda dengan praktik terbaik yang direkomendasikan.

Artikel ini membahas rekomendasi untuk menghapus kredensial yang tidak digunakan dari aplikasi. Rekomendasi ini dipanggil staleAppCreds dalam API rekomendasi di Microsoft Graph.

Prasyarat

Ada persyaratan peran yang berbeda untuk melihat atau memperbarui rekomendasi. Gunakan peran dengan hak akses minimum untuk jenis akses yang diperlukan. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.

Peran Microsoft Entra Jenis akses
Pembaca Laporan Baca-saja
Pembaca Informasi Keamanan Baca-saja
Pembaca Global Baca-saja
Admin Kebijakan Autentikasi Memperbarui dan membaca
Administrator Exchange Memperbarui dan membaca
Administrator Keamanan Memperbarui dan membaca
DirectoryRecommendations.Read.All Baca-saja di Microsoft Graph
DirectoryRecommendations.ReadWrite.All Memperbarui dan membaca di Microsoft Graph

Beberapa rekomendasi mungkin memerlukan P2 atau lisensi lainnya. Untuk informasi selengkapnya, lihat tabel ringkasan Rekomendasi .

Deskripsi

Kredensial aplikasi dapat mencakup sertifikat dan jenis rahasia lain yang perlu didaftarkan dengan aplikasi tersebut. Kredensial ini digunakan untuk membuktikan identitas aplikasi. Hanya kredensial yang aktif digunakan oleh aplikasi yang harus tetap terdaftar di aplikasi.

Kredensial dianggap tidak digunakan jika:

  • Ini belum digunakan dalam 30 hari terakhir.
  • Ini adalah kredensial yang ditambahkan ke aplikasi yang akan digunakan untuk alur OAuth/OIDC atau ke prinsipal layanan untuk alur SAML.

Kredensial berikut dikecualikan dari rekomendasi:

  • Kredensial yang kedaluwarsa tidak ditampilkan di daftar Sumber daya yang terkena dampak.
  • Kredensial yang diidentifikasi sebagai tidak digunakan tetapi telah kedaluwarsa sejak ditandai ditampilkan sebagai Selesai dalam daftar Sumber daya yang Terkena Dampak.

Nilai

Menghapus kredensial aplikasi yang tidak digunakan membantu mengurangi area permukaan serangan dan membantu mengurangi portofolio aplikasi penyewa.

Rencana aksi

Rekomendasi ini tersedia di pusat admin Microsoft Entra dan menggunakan Microsoft Graph API.

Aplikasi yang diidentifikasi rekomendasi muncul dalam daftar Sumber daya yang terkena dampak di bagian bawah rekomendasi.

  1. Masuk ke pusat administrasi Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Buka Entra ID>Gambaran Umum.

  3. Pilih tab Rekomendasi dan pilih rekomendasi Hapus kredensial yang tidak digunakan dari aplikasi.

  4. Perhatikan detail berikut dari tabel Sumber daya yang terkena dampak.

    • Kolom Sumber Daya menampilkan nama aplikasi
    • Kolom ID menampilkan ID aplikasi
  5. Pilih Detail Selengkapnya dari kolom Tindakan untuk menampilkan detail selengkapnya.

    Cuplikan layar rekomendasi dengan opsi Detail selengkapnya disorot.

    Catatan

    Jika asal kredensial adalah Perwakilan Layanan, ikuti panduan di bagian Perwakilan layanan.

  6. Dari panel yang terbuka, pilih Perbarui Kredensial untuk menavigasi langsung ke area Sertifikat & rahasia pendaftaran aplikasi untuk menghapus kredensial yang tidak digunakan.

    1. Atau, telusuripendaftaran Aplikasi> dan pilih aplikasi yang muncul sebagai bagian dari rekomendasi ini.

      Cuplikan layar halaman pendaftaran aplikasi Microsoft Entra.

    2. Kemudian navigasikan ke bagian Sertifikat & Rahasia dari pendaftaran aplikasi.

      Cuplikan layar bagian Sertifikat dan rahasia id Microsoft Entra.

  7. Temukan kredensial yang tidak digunakan dan hapus.

Perwakilan layanan

Jika asal kredensial adalah prinsipal layanan, ada beberapa pertimbangan dan langkah tambahan yang harus diikuti.

Karena sering kali ada beberapa perwakilan layanan untuk satu aplikasi, mungkin lebih mudah untuk menavigasi ke aplikasi Enterprise untuk melihat semuanya di satu tempat.

  1. Di pusat admin Microsoft Entra, telusuri ke aplikasi Entra ID>Enterprise.

  2. Cari dan buka aplikasi yang muncul sebagai bagian dari rekomendasi ini.

  3. Pilih Single sign-on dari menu samping.

    Jika kredensial adalah service principal tetapi ada sertifikat SAML yang digunakan, Anda dapat mengidentifikasi detail kredensial tersebut menggunakan Microsoft Graph API. Untuk menggunakan Microsoft Graph API, Anda memerlukan izin DirectoryRecommendations.Read.All dan DirectoryRecommendations.ReadWrite.All. Untuk informasi selengkapnya, lihat Cara menggunakan Rekomendasi Identitas.

  4. Masuk ke Graph Explorer.

  5. Pilih GET sebagai metode HTTP dari menu dropdown.

  6. Atur versi API ke beta.

  7. Mengajukan kueri ke keyCredential dan passwordCredential endpoint.

  8. Gunakan titik akhir removePassword atau removeKey untuk menghapus kredensial dari perwakilan layanan.