Freigeben über

Microsoft Entra-Empfehlung: Entfernen nicht verwendeter Anmeldeinformationen aus Apps (Vorschau)

  • Artikel

Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Erkenntnisse und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.

In diesem Artikel wird die Empfehlung behandelt, nicht verwendete Anmeldeinformationen aus Apps zu entfernen. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung StaleAppCreds genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle Zugriffstyp
Meldet Reader Schreibgeschützt
Sicherheitsleseberechtigter Schreibgeschützt
Globaler Leser Schreibgeschützt
Authentifizierungsadministrator Richtlinien Aktualisieren und Lesen
Exchange-Administrator Aktualisieren und Lesen
Sicherheitsadministrator Aktualisieren und Lesen
DirectoryRecommendations.Read.All Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Beschreibung

Anwendungsanmeldeinformationen können Zertifikate und andere Arten von Geheimnissen umfassen, die bei dieser Anwendung registriert sein müssen. Diese Anmeldeinformationen werden verwendet, um die Identität der Anwendung nachzuweisen. Nur Anmeldeinformationen, die aktiv von einer Anwendung verwendet werden, sollten bei der Anwendung registriert bleiben.

Eine Anmeldeinformation wird in folgenden Fällen als nicht verwendet betrachtet:

  • Sie wurde in den letzten 30 Tagen nicht verwendet.
  • Es handelt sich um eine Anmeldeinformation, die einer Anwendung hinzugefügt wurde, um für OAuth/OIDC-Flows oder zum Dienstprinzipal für den SAML-Flow verwendet zu werden.

Die folgenden Anmeldeinformationen sind von der Empfehlung ausgenommen:

  • Abgelaufene Anmeldeinformationen werden nicht in der Liste Betroffene Ressourcen angezeigt.
  • Anmeldeinformationen, die als nicht verwendet identifiziert wurden, aber nachdem sie in der Liste Betroffene Ressourcen als Abgeschlossen angezeigt wurden, abgelaufen sind.

Wert

Durch das Entfernen nicht verwendeter Anmeldeinformationen können Sie die Angriffsfläche reduzieren und das App-Portfolio eines Mandanten bereinigen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph-API verfügbar.

Anwendungen, die von der Empfehlung identifiziert wurden, erscheinen in der Liste der betroffenen Ressourcen am Ende der Empfehlung.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

  2. Browsen Sie zu Identität>Übersicht.

  3. Wählen Sie die Registerkarte Empfehlungen und dann die Empfehlung Entfernen nicht verwendeter Anmeldeinformationen aus.

  4. Beachten Sie die folgenden Details der Tabelle Betroffene Ressourcen.

    • In der Spalte Ressource wird der Anwendungsname angezeigt
    • In der Spalte ID wird die Anwendungs-ID angezeigt

  5. Wählen Sie Weitere Details in der Spalte Aktionen aus, um weitere Informationen anzuzeigen.

    Screenshot der Empfehlung mit der Optionen „Weitere Details“.

    Hinweis

    Wenn der Ursprung der Anmeldeinformation „Dienstprinzipal“ lautet, folgen Sie dem Leitfaden im Abschnitt Dienstprinzipale.

  6. Wählen Sie im sich öffnenden Bereich Anmeldeinformationen aktualisieren aus, um direkt zum Bereich Zertifikate und Geheimnisse der App-Registrierung zu navigieren, um die nicht verwendete Anmeldeinformation zu entfernen.

    1. Navigieren Sie alternativ zu Identität>Anwendungen>App-Registrierungen, und wählen Sie die Anwendung, die im Rahmen dieser Empfehlung angezeigt wurde.

      Screenshot der Seite für die Microsoft Entra-App-Registrierung.

    2. Navigieren Sie dann zum Abschnitt Zertifikate & Geheimnisse der App-Registrierung.

      Screenshot des Abschnitts „Zertifikate und Geheimnisse“ in Microsoft Entra ID

  7. Suchen Sie die nicht verwendete Anmeldeinformation, und entfernen Sie diese.

Dienstprinzipale

Wenn der Ursprung der Anmeldeinformationen Dienstprinzipal lautet, müssen einige Überlegungen durchgeführt und zusätzliche Schritte ausgeführt werden.

Da es häufig mehrere Dienstprinzipale für eine einzelne Anwendung gibt, ist es möglicherweise einfacher, zu „Unternehmens-Apps“ zu navigieren, um alles an einer zentralen Stelle anzuzeigen.

  1. Navigieren Sie im Microsoft Entra Admin Center zu Identität>Anwendungen>Unternehmensanwendungen.

  2. Suchen Sie die Anwendung, die im Rahmen dieser Empfehlung angezeigt wurde, und öffnen Sie sie.

  3. Wählen Sie dann im Menü auf der Seite die Option Einmaliges Anmelden aus.

    Wenn die Anmeldeinformation ein Dienstprinzipal ist, aber SAML-Zertifikate verwendet werden, können Sie die Details der Anmeldeinformation mithilfe der Microsoft Graph-API identifizieren. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

  4. Melden Sie sich bei Graph Explorer an.

  5. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

  6. Legen Sie für die API-Version Beta fest.

  7. Fragen Sie die Endpunkte keyCredential und passwordCredential ab.

  8. Verwenden Sie den Endpunkt removePassword oder removeKey, um die Anmeldeinformation aus dem Dienstprinzipal zu entfernen.

Zugehöriger Inhalt