Recommandation Microsoft Entra : supprimer des applications inutilisées (préversion)

Les recommandations De Microsoft Entra sont une fonctionnalité qui vous fournit des insights personnalisés et des conseils actionnables pour aligner votre locataire avec les meilleures pratiques recommandées.

Cet article décrit la recommandation relative à l’examen des applications inutilisées. Cette recommandation est appelée staleApps dans l’API recommandations de Microsoft Graph.

Remarque

Avec Microsoft Security Copilot, vous pouvez utiliser des invites en langage naturel pour obtenir des informations sur les applications inutilisées. En savoir plus sur l’évaluation des risques d’application à l’aide de Microsoft Security Copilot.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles avec privilèges minimum par tâche.

Rôle Microsoft Entra	Type d’accès
Lecteur de rapports	En lecture seule
Lecteur de sécurité	En lecture seule
Lecteur global	En lecture seule
Administrateur de la stratégie d’authentification	Mettre à jour et lire
Administrateur Exchange	Mettre à jour et lire
Administrateur de la sécurité	Mettre à jour et lire
DirectoryRecommendations.Read.All	En lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez le tableau récapitulatif des recommandations .

Descriptif

Cette recommandation s’affiche si votre locataire possède des applications qui n’ont pas été utilisées depuis plus de 90 jours. Les scénarios suivants sont inclus dans cette recommandation :

• L’application a été créée, mais n’a jamais été utilisée.
• L’application n’est pas supprimée de manière réversible du portefeuille d’applications.
• L’application n’est pas utilisée par le locataire où elle réside ni par aucune de ses instances (principal de service) dans d’autres locataires.
• Il s’agit d’une application cliente qui appelle d’autres applications de ressources, mais qui n’a reçu aucun jeton au cours des 90 derniers jours.
• Il s’agit d’une application de ressource qui n’a aucun enregistrement d’applications clientes demandant un jeton au cours des 90 derniers jours.

Les applications suivantes sont exemptées de cette recommandation :

• Applications gérées par Microsoft, y compris tout ce qui a été créé ou modifié par des applications appartenant à Microsoft.
• Applications qui fonctionnent avec d’autres applications pour obtenir des jetons ou qui sont utilisées pour activer des scénarios qui ne nécessitent pas de jetons.
  • Par exemple, le serveur pair à pair, le proxy d’application, Microsoft Entra Cloud Sync, l’authentification unique liée, l’authentification unique par mot de passe, les compléments Office et les identitésmanagées sont exclus de cette recommandation.
• Applications créées au cours des 90 derniers jours.

Valeur

La suppression des applications inutilisées permet de réduire la surface d’attaque et de nettoyer le portefeuille d’applications d’un locataire.

Plan d’action

Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph. Après avoir identifié les applications qui ne sont pas utilisées, vous pouvez décider de les supprimer ou de les conserver en fonction des besoins de votre organisation. Le plan d’action est donc divisé en deux parties :

1. Passez en revue les applications marquées d’un indicateur « non utilisée ».
2. Déterminez si l’application est nécessaire et comment la traiter.

Centre d’administration Microsoft Entra

Les applications identifiées par la recommandation apparaissent dans la liste des ressources affectées en bas de la recommandation.

Passer en revue les applications

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez à Entra ID>Vue d’ensemble.

3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Supprimer les applications inutilisées .

4. Dans la table des ressources affectées , sélectionnez Plus de détails pour afficher plus de détails.

5. Sélectionnez le lien Ressource pour accéder directement à la page d'enregistrement de l'application.

   • Vous pouvez également accéder à Entra ID> et à Inscriptions d’applications, puis localiser l’application qui a été exposée dans le cadre de cette recommandation.

   

Déterminer si l’application est nécessaire

Une application peut ne pas être utilisée pour de nombreuses raisons. Considérez le scénario d’utilisation et la fonction métier de l’application. Par exemple :

• L’application a-t-elle été déconseillée ?
• L’application est-elle utilisée pour une fonction métier qui ne se produit qu’à certains moments de l’année ?

Pour supprimer l’application :

1. Supprimez de manière réversible l’application de votre locataire.
2. Attendez 15 jours, puis supprimez définitivement l’application.

Pour indiquer que l’application est toujours nécessaire et ignorer la recommandation :

• Mettez à jour l’état de la recommandation en rejetée ou reportée.
  • Utilisez ignorée si vous avez déterminé que l’application restera inactive pendant le reste de son cycle de vie.
  • Utilisez rejeter si vous pensez que l’application est incluse par erreur dans la recommandation.
  • Utilisez mettre en attente si vous avez besoin de plus de temps pour examiner l’application.

Microsoft Graph API

Vous pouvez utiliser les requêtes suivantes pour récupérer la recommandation et les ressources impactées à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations DirectoryRecommendations.Read.All et DirectoryRecommendations.ReadWrite.All. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

1. Connectez-vous à l’Explorateur Graph.
2. Sélectionnez GET comme méthode HTTP dans la liste déroulante.

Passer en revue les applications

Pour récupérer toutes les recommandations pour votre locataire :

GET https://graph.microsoft.com/beta/directory/recommendations

Dans la réponse, recherchez l’ID de la recommandation qui correspond au modèle suivant : {tenantId}_staleApps.

Pour identifier les ressources impactées :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps

Pour filtrer les ressources en fonction de leur état (par exemple, les ressources actives ) :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifiez l’élément applicationObjectId ou appId de l’application inutilisée à supprimer.

Exemple de réponse

{
    "id": "ccccdddd-2222-eeee-3333-ffff4444aaaa_staleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Déterminer si l’application est nécessaire

Considérez le scénario d’utilisation et la fonction métier de l’application :

• L’application a-t-elle été déconseillée ?
• L’application est-elle utilisée pour une fonction métier qui ne se produit qu’à certains moments de l’année ?

Si vous pouvez supprimer l’application, exécutez l’une des requêtes suivantes pour supprimer l’application :

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Patientez 15 jours, puis suivez les instructions de suppression définitive d’un élément de l’API Microsoft Graph.

Contenu connexe

• Consultez la vue d’ensemble des recommandations De Microsoft Entra
• Découvrez comment utiliser des recommandations Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations