Microsoft Entra-Empfehlung: Entfernen nicht verwendeter Anwendungen (Vorschau)

Microsoft Entra-Empfehlungen sind ein Feature, mit dem Sie personalisierte Einblicke und umsetzbare Anleitungen erhalten, um Ihren Mandanten an die empfohlenen bewährten Methoden anzupassen.

In diesem Artikel wird die Empfehlung behandelt, nicht verwendete Anwendungen zu untersuchen. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung staleApps genannt.

Hinweis

Mit Microsoft Security Copilot können Sie Sprachaufforderungen in natürlicher Sprache verwenden, um Einblicke in nicht verwendete Anwendungen zu erhalten. Erfahren Sie mehr darüber, wie Sie Anwendungsrisiken mithilfe von Microsoft Security Copilot bewerten.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter "Am wenigsten privilegierte Rollen nach Aufgabe".

Microsoft Entra-Rolle	Zugriffstyp
Berichtleseberechtigter	Schreibgeschützt
Sicherheitsleser	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Für Authentifizierungsrichtlinienadministration zuständige Person	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie in der Empfehlungen-Übersichtstabelle .

Beschreibung

Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Anwendungen verfügt, die mehr als 90 Tage nicht verwendet wurden. In dieser Empfehlung werden die folgenden Szenarios behandelt:

• Die App wurde erstellt, aber nie verwendet.
• Die App wird nicht vorläufig aus dem Anwendungsportfolio gelöscht.
• Die App wird weder vom Mandanten, in dem sie sich befindet, noch von einer der Instanzen (Dienstprinzipal) in anderen Mandanten verwendet.
• Es handelt sich um eine Client-App, die andere Ressourcen-Apps aufruft, für die aber in den letzten 90 Tagen keine Tokens ausgestellt wurden.
• Es handelt sich um eine Ressourcen-App, die in den vergangenen 90 Tagen keine Aufzeichnungen über Client-Apps enthält, die ein Token anfordern.

Die folgenden Apps sind von dieser Empfehlung ausgenommen:

• Apps, die von Microsoft verwaltet werden, einschließlich Apps, die von Apps im Besitz von Microsoft erstellt oder geändert wurden.
• Apps, die mit anderen Apps zusammenarbeiten, um Token abzurufen, oder verwendet werden, um Szenarien zu ermöglichen, die keine Token erfordern.
  • Beispielsweise werden Peer-to-Peer-Server, Anwendungsproxy, Microsoft Entra Cloud Sync, verknüpftes einmaliges Anmelden, Kennwort-SSO, Office-Add-Ins und verwaltete Identitäten von dieser Empfehlung ausgeschlossen.
• Apps, die innerhalb der letzten 90 Tage erstellt wurden.

Wert

Durch das Entfernen nicht verwendeter Anwendungen können Sie die Angriffsfläche reduzieren und das App-Portfolio eines Mandanten bereinigen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph-API verfügbar. Nachdem Sie die nicht verwendeten Anwendungen identifiziert haben, können Sie entscheiden, ob sie entfernt oder basierend auf den Anforderungen Ihrer Organisation beibehalten werden sollen. Der Aktionsplan ist daher in zwei Teile unterteilt:

1. Überprüfen Sie die Anwendungen, die als nicht verwendet gekennzeichnet sind.
2. Ermitteln Sie, ob die Anwendung benötigt wird und wie sie adressiert werden soll.

Microsoft Entra Admin Center

Von der Empfehlung identifizierte Anwendungen werden in der Liste der betroffenen Ressourcen unten in der Empfehlung angezeigt.

Überprüfen der Anwendungen

1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Overview.

3. Wählen Sie die Registerkarte "Empfehlungen " und dann die Empfehlung "Nicht verwendete Anwendungen entfernen " aus.

4. Wählen Sie in der Tabelle "Betroffene Ressourcen " die Option "Weitere Details " aus, um weitere Details anzuzeigen.

5. Wählen Sie den Link "Ressource" aus, um direkt zur App-Registrierung für die App zu wechseln.

   • Alternativ können Sie zu Entra ID> navigieren und die Anwendung suchen, die als Teil dieser Empfehlung angezeigt wurde.

   

Ermitteln ob die Anwendung benötigt wird

Es gibt viele Gründe, warum eine App möglicherweise nicht verwendet wird. Berücksichtigen Sie das Anwendungsszenario und die Geschäftsfunktion der App. Zum Beispiel:

• Ist die App veraltet?
• Wird die App für eine Geschäftsfunktion verwendet, die nur zu bestimmten Zeiten des Jahres erforderlich ist?

Sie können die Anwendung folgendermaßen entfernen:

1. Entfernen Sie die App durch vorläufiges Löschen aus Ihrem Mandanten.
2. Warten Sie 15 Tage, und löschen Sie die App endgültig.

Um anzugeben, dass die Anwendung noch benötigt wird, und die Empfehlung zu überspringen, gehen Sie folgendermaßen vor:

• Aktualisieren Sie den Empfehlungsstatus so, dass er geschlossen oder verschoben wird.
  • Verwenden Sie verworfen, wenn festgestellt wird, dass die App für den Rest des Lebenszyklus inaktiv bleibt.
  • Verwenden Sie ignoriert, wenn Sie der Meinung sind, dass die App fälschlicherweise in die Empfehlung aufgenommen wurde.
  • Verwenden Sie verschoben , wenn Sie mehr Zeit benötigen, um die App zu überprüfen.

Microsoft Graph-API

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Anleitung zur Nutzung von Identitätsempfehlungen.

1. Melden Sie sich beim Graph-Explorer an.
2. Wählen Sie GET als HTTP-Methode aus der Dropdownliste aus.

Überprüfen der Anwendungen

Gehen Sie folgendermaßen vor, um alle Empfehlungen für Ihren Mandanten abzurufen:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_staleApps.

Die betroffenen Ressourcen können Sie folgendermaßen identifizieren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps

So filtern Sie die Ressourcen basierend auf ihrem Status (z. B. aktive Ressourcen):

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifizieren Sie die applicationObjectId oder appId der nicht verwendeten App, die Sie löschen möchten.

Beispiel für eine Antwort

{
    "id": "ccccdddd-2222-eeee-3333-ffff4444aaaa_staleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Ermitteln ob die Anwendung benötigt wird

Berücksichtigen Sie das Anwendungsszenario und die Geschäftsfunktion der App:

• Ist die App veraltet?
• Wird die App für eine Geschäftsfunktion verwendet, die nur zu bestimmten Zeiten des Jahres erforderlich ist?

Wenn Sie die App löschen können, führen Sie eine der folgenden Abfragen aus, um die Anwendung zu löschen:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Warten Sie 15 Tage, und folgen Sie dann der Anleitung zur dauerhaften Löschung eines Elements der Microsoft Graph-API.

Zugehöriger Inhalt

• Übersicht über die Microsoft Entra-Empfehlungen
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden.
• Erkunden der Microsoft Graph-API-Eigenschaften für Empfehlungen