Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Rekomendasi Microsoft Entra adalah fitur yang memberi Anda wawasan yang dipersonalisasi dan panduan yang dapat ditindaklanjuti untuk menyelaraskan penyewa Anda dengan praktik terbaik yang direkomendasikan.
Artikel ini membahas rekomendasi untuk menghapus kredensial yang tidak digunakan dari aplikasi. Rekomendasi ini dipanggil staleAppCreds
dalam API rekomendasi di Microsoft Graph.
Prasyarat
Ada persyaratan peran yang berbeda untuk melihat atau memperbarui rekomendasi. Gunakan peran dengan hak akses minimum untuk jenis akses yang diperlukan. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.
Peran Microsoft Entra | Jenis akses |
---|---|
Pembaca Laporan | Baca-saja |
Pembaca Informasi Keamanan | Baca-saja |
Pembaca Global | Baca-saja |
Admin Kebijakan Autentikasi | Memperbarui dan membaca |
Administrator Exchange | Memperbarui dan membaca |
Administrator Keamanan | Memperbarui dan membaca |
DirectoryRecommendations.Read.All |
Baca-saja di Microsoft Graph |
DirectoryRecommendations.ReadWrite.All |
Memperbarui dan membaca di Microsoft Graph |
Beberapa rekomendasi mungkin memerlukan P2 atau lisensi lainnya. Untuk informasi selengkapnya, lihat tabel ringkasan Rekomendasi .
Deskripsi
Kredensial aplikasi dapat mencakup sertifikat dan jenis rahasia lain yang perlu didaftarkan dengan aplikasi tersebut. Kredensial ini digunakan untuk membuktikan identitas aplikasi. Hanya kredensial yang aktif digunakan oleh aplikasi yang harus tetap terdaftar di aplikasi.
Kredensial dianggap tidak digunakan jika:
- Ini belum digunakan dalam 30 hari terakhir.
- Ini adalah kredensial yang ditambahkan ke aplikasi yang akan digunakan untuk alur OAuth/OIDC atau ke prinsipal layanan untuk alur SAML.
Kredensial berikut dikecualikan dari rekomendasi:
- Kredensial yang kedaluwarsa tidak ditampilkan di daftar Sumber daya yang terkena dampak.
- Kredensial yang diidentifikasi sebagai tidak digunakan tetapi telah kedaluwarsa sejak ditandai ditampilkan sebagai Selesai dalam daftar Sumber daya yang Terkena Dampak.
Nilai
Menghapus kredensial aplikasi yang tidak digunakan membantu mengurangi area permukaan serangan dan membantu mengurangi portofolio aplikasi penyewa.
Rencana aksi
Rekomendasi ini tersedia di pusat admin Microsoft Entra dan menggunakan Microsoft Graph API.
Aplikasi yang diidentifikasi rekomendasi muncul dalam daftar Sumber daya yang terkena dampak di bagian bawah rekomendasi.
Masuk ke pusat administrasi Microsoft Entra sebagai setidaknya Administrator Keamanan.
Buka Entra ID>Gambaran Umum.
Pilih tab Rekomendasi dan pilih rekomendasi Hapus kredensial yang tidak digunakan dari aplikasi.
Perhatikan detail berikut dari tabel Sumber daya yang terkena dampak.
- Kolom Sumber Daya menampilkan nama aplikasi
- Kolom ID menampilkan ID aplikasi
Pilih Detail Selengkapnya dari kolom Tindakan untuk menampilkan detail selengkapnya.
Catatan
Jika asal kredensial adalah Perwakilan Layanan, ikuti panduan di bagian Perwakilan layanan.
Dari panel yang terbuka, pilih Perbarui Kredensial untuk menavigasi langsung ke area Sertifikat & rahasia pendaftaran aplikasi untuk menghapus kredensial yang tidak digunakan.
Temukan kredensial yang tidak digunakan dan hapus.
Perwakilan layanan
Jika asal kredensial adalah prinsipal layanan, ada beberapa pertimbangan dan langkah tambahan yang harus diikuti.
Karena sering kali ada beberapa perwakilan layanan untuk satu aplikasi, mungkin lebih mudah untuk menavigasi ke aplikasi Enterprise untuk melihat semuanya di satu tempat.
Di pusat admin Microsoft Entra, telusuri ke aplikasi Entra ID>Enterprise.
Cari dan buka aplikasi yang muncul sebagai bagian dari rekomendasi ini.
Pilih Single sign-on dari menu samping.
Jika kredensial adalah service principal tetapi ada sertifikat SAML yang digunakan, Anda dapat mengidentifikasi detail kredensial tersebut menggunakan Microsoft Graph API. Untuk menggunakan Microsoft Graph API, Anda memerlukan izin
DirectoryRecommendations.Read.All
danDirectoryRecommendations.ReadWrite.All
. Untuk informasi selengkapnya, lihat Cara menggunakan Rekomendasi Identitas.Masuk ke Graph Explorer.
Pilih GET sebagai metode HTTP dari menu dropdown.
Atur versi API ke beta.
Mengajukan kueri ke
keyCredential
danpasswordCredential
endpoint.Gunakan titik akhir
removePassword
atauremoveKey
untuk menghapus kredensial dari perwakilan layanan.