Microsoft Entra 建议:从应用中移除未使用的凭据(预览)
Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。
本文介绍从应用中删除未使用的凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 StaleAppCreds。
先决条件
查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读者 | 只读 |
| 安全读取者 | 只读 |
| 全局读取者 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange 管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求。
说明
应用程序凭据可以包括需要向该应用程序注册的证书和其他类型的机密。 这些凭据用于证明应用程序的标识。 只有应用程序主动使用的凭据才应保持向应用程序注册。
如果出现以下情况,则认为凭证未使用:
- 过去 30 天内未使用它。
- 它是添加到要用于 OAuth/OIDC 流的应用程序,或添加到 SAML 流的服务主体的凭证。
以下凭证不受建议的约束:
- “受影响的资源”列表中未显示过期凭证。
- 标识为未使用,但自标记以来已过期的凭证在“受影响资源”列表中显示为“已完成”。
值
移除未使用的应用程序凭证有助于减少攻击面,并有助于清理租户的应用组合。
操作计划
此建议在 Microsoft Entra 管理中心内提供。
建议标识的应用程序将显示在建议底部的“受影响资源”列表中。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”。
选择“建议”选项卡,然后选择“移除未使用的应用程序凭证”建议。
记下“受影响的资源”表中的以下详细信息。
- “资源”列显示应用程序名称
- “ID”列显示应用程序 ID
从“操作”列中选择“更多详细信息”以查看更多详细信息。
注意
如果凭证的来源为服务主体,请按照服务主体部分中的指导进行操作。
在打开的面板中,选择“更新凭证”以直接导航到应用注册的“证书和机密”区域,以删除未使用的凭证。
或者,浏览到“标识”>“应用程序”>“应用注册”,然后选择显示为此建议一部分的应用程序。
然后,导航到应用注册的“证书和机密”部分。
找到未使用的凭证并将其删除。
服务主体
如果凭证的来源是服务主体,则需注意一些注意事项和额外的步骤。
由于单个应用程序通常有多个服务主体,因此导航到企业应用在一个位置查看所有内容可能更轻松。
- 在 Microsoft Entra 管理中心内,浏览到“标识”>“应用程序”>“企业应用程序”。
- 搜索并打开作为此建议的一部分显示的应用程序。
- 从侧边菜单中选择“单一登录”。