Microsoft Entra-Empfehlung: Entfernen nicht verwendeter Anwendungen (Vorschau)

Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Einblicke und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.

In diesem Artikel wird die Empfehlung behandelt, nicht verwendete Anwendungen zu untersuchen. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung StaleApps genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle	Zugriffstyp
Meldet Reader	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Authentifizierungsadministrator Richtlinien	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Beschreibung

Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Anwendungen verfügt, die mehr als 90 Tagen nicht verwendet wurden. In dieser Empfehlung werden die folgenden Szenarios behandelt:

• Die App wurde erstellt, aber nie verwendet.
• Die App wird aus dem Anwendungsportfolio nicht vorläufig gelöscht.
• Die App wird weder vom Mandanten, in dem sie sich befindet, noch von einer seiner Instanzen (Dienstprinzipal) in anderen Mandanten verwendet.
• Es handelt sich um eine Client-App, die andere Ressourcen-Apps aufruft, in den letzten 90 Tagen aber keine Token ausgestellt hat.
• Es handelt sich um eine Ressourcen-App, die in den letzten 90 Tagen keinen Datensatz von Client-Apps enthält, die ein Token anfordern.

Die folgenden Apps sind von dieser Empfehlung ausgenommen:

• Apps, die von Microsoft verwaltet werden, einschließlich Apps, die von Apps im Besitz von Microsoft erstellt oder geändert wurden.
• Apps, die mit anderen Apps zusammenarbeiten, um Token abzurufen, oder verwendet werden, um Szenarien zu ermöglichen, die keine Token erfordern.
  • So sind beispielsweise Peer-to-Peer-Server, Anwendungsproxy, Microsoft Entra Cloud Sync, verknüpftes einmaliges Anmelden, Kennwort-SSO, Office-Add-Insund verwaltete Identitäten von dieser Empfehlung ausgenommen.
• Apps, die innerhalb der letzten 90 Tage erstellt wurden.

Wert

Durch das Entfernen nicht verwendeter Anwendungen können Sie die Angriffsfläche reduzieren und das App-Portfolio eines Mandanten bereinigen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph-API verfügbar. Nachdem Sie die nicht verwendeten Anwendungen identifiziert haben, können Sie entscheiden, ob sie entfernt oder basierend auf den Anforderungen Ihrer Organisation beibehalten werden sollen. Der Aktionsplan ist daher in zwei Teile unterteilt:

1. Überprüfen Sie die Anwendungen, die als nicht verwendet gekennzeichnet sind.
2. Ermitteln Sie, ob die Anwendung benötigt wird und wie sie adressiert werden soll.

Microsoft Entra Admin Center

Anwendungen, die von der Empfehlung identifiziert wurden, erscheinen in der Liste der betroffenen Ressourcen am Ende der Empfehlung.

Überprüfen der Anwendungen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Übersicht.

3. Wählen Sie die Registerkarte Empfehlungen und dann die Option Entfernen nicht verwendeter Anwendungen Empfehlung aus.

4. Wählen Sie in der Tabelle Betroffene Ressourcen die Option Weitere Details aus, um weitere Details anzuzeigen.

5. Wählen Sie den Link Ressource aus, um direkt zur App-Registrierung für die App zu wechseln.

   • Alternativ können Sie zu Identität>Anwendungen>App-Registrierungen navigieren und die Anwendung suchen, die im Rahmen dieser Empfehlung angezeigt wurde.

   

Ermitteln ob die Anwendung benötigt wird

Es gibt viele Gründe, warum eine App möglicherweise nicht verwendet wird. Berücksichtigen Sie das Anwendungsszenario und die Geschäftsfunktion der App. Zum Beispiel:

• Ist die App veraltet?
• Wird die App für eine Geschäftsfunktion verwendet, die nur zu bestimmten Zeiten des Jahres erforderlich ist?

Sie können die Anwendung folgendermaßen entfernen:

1. Entfernen Sie die App durch vorläufiges Löschen aus Ihrem Mandanten.
2. Warten Sie 15 Tage, und löschen Sie die App dann dauerhaft.

Um anzugeben, dass die Anwendung noch benötigt wird, und die Empfehlung zu überspringen, gehen Sie folgendermaßen vor:

• Aktualisieren sie den Empfehlungsstatus auf Verworfen oder Verschoben.
  • Verwenden Sie Verworfen, wenn Sie festgestellt haben, dass die App für den Rest ihres Lebenszyklus inaktiv bleibt.
  • Verwenden Sie Verworfen, wenn Sie der Meinung sind, dass die App fälschlicherweise in der Empfehlung enthalten ist.
  • Verwenden Sie Verschoben, wenn Sie mehr Zeit benötigen, um die App zu überprüfen.

Microsoft Graph-API

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

Überprüfen der Anwendungen

Gehen Sie folgendermaßen vor, um alle Empfehlungen für Ihren Mandanten abzurufen:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Die betroffenen Ressourcen können Sie folgendermaßen identifizieren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Gehen Sie folgendermaßen vor, um die Ressourcen anhand ihres Status (z. B. aktive Ressourcen) zu filtern:

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifizieren Sie die applicationObjectId oder appId der nicht verwendeten App, die Sie löschen möchten.

Beispiel für eine Antwort

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Ermitteln ob die Anwendung benötigt wird

Berücksichtigen Sie das Anwendungsszenario und die Geschäftsfunktion der App:

• Ist die App veraltet?
• Wird die App für eine Geschäftsfunktion verwendet, die nur zu bestimmten Zeiten des Jahres erforderlich ist?

Wenn Sie die App löschen können, führen Sie eine der folgenden Abfragen aus, um die Anwendung zu löschen:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Warten Sie 15 Tage, und folgen Sie dann den Schritten zum dauerhaften Löschen eines Elements im Microsoft Graph-API-Leitfaden.

Zugehöriger Inhalt

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.