Recommandation Microsoft Entra : supprimer des applications inutilisées (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article décrit la recommandation relative à l’examen des applications inutilisées. Cette recommandation est appelée StaleApps dans l’API recommandations de Microsoft Graph.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Rôle Microsoft Entra	Type d’accès
Lecteur de rapports	Lecture seule
Lecteur Sécurité	Lecture seule
Lecteur général	Lecture seule
Administrateur de la stratégie d’authentification	Mettre à jour et lire
Administrateur Exchange	Mettre à jour et lire
Security Administrator	Mettre à jour et lire
DirectoryRecommendations.Read.All	Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.

Description

Cette recommandation s’affiche si votre locataire possède des applications qui n’ont pas été utilisées depuis plus de 90 jours. Les scénarios suivants sont inclus dans cette recommandation :

• L’application a été créée, mais n’a jamais été utilisée.
• L’application n’est pas supprimée de manière réversible du portefeuille d’applications.
• L’application n’est pas utilisée par le locataire où elle réside ni par aucune de ses instances (principal de service) dans d’autres locataires.
• Il s’agit d’une application cliente qui appelle d’autres applications de ressources, mais qui n’a reçu aucun jeton au cours des 90 derniers jours.
• Il s’agit d’une application de ressource qui n’a aucun enregistrement d’applications clientes demandant un jeton au cours des 90 derniers jours.

Les applications suivantes sont exemptées de cette recommandation :

• Applications gérées par Microsoft, y compris tout ce qui a été créé ou modifié par des applications appartenant à Microsoft.
• Applications qui fonctionnent avec d’autres applications pour obtenir des jetons ou qui sont utilisées pour activer des scénarios qui ne nécessitent pas de jetons.
  • Par exemple, le serveur réseau pair à pair, le Proxy d’application, la synchronisation cloud Microsoft Entra, l’authentification unique liée, l’authentification unique par mot de passe, les Compléments Office et les identités managées sont exclus de cette recommandation.
• Applications créées au cours des 90 derniers jours.

Valeur

La suppression des applications inutilisées permet de réduire la surface d’attaque et de nettoyer le portefeuille d’applications d’un locataire.

Plan d’action

Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph. Après avoir identifié les applications qui ne sont pas utilisées, vous pouvez décider de les supprimer ou de les conserver en fonction des besoins de votre organisation. Le plan d’action est donc divisé en deux parties :

1. Passez en revue les applications marquées d’un indicateur « non utilisée ».
2. Déterminez si l’application est nécessaire et comment la traiter.

Centre d'administration Microsoft Entra

Les applications concernées par la recommandation apparaissent dans la liste des Ressources impactées sous la recommandation.

Passer en revue les applications

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Vue d’ensemble.

3. Sélectionnez l’onglet Recommandations, puis la recommandation Supprimer les applications inutilisées.

4. Dans le tableau Ressources impactées, sélectionnez Plus de détails.

5. Sélectionnez le lien Ressource pour accéder directement à l’inscription de l’application.

   • Vous pouvez également accéder à Identité>Applications>Inscriptions d’applications et rechercher l’application exposée dans le cadre de cette recommandation.

   

Déterminer si l’application est nécessaire

Une application peut ne pas être utilisée pour de nombreuses raisons. Considérez le scénario d’utilisation et la fonction métier de l’application. Par exemple :

• L’application a-t-elle été déconseillée ?
• L’application est-elle utilisée pour une fonction métier qui ne se produit qu’à certains moments de l’année ?

Pour supprimer l’application :

1. Supprimez de façon réversible l’application de votre locataire.
2. Attendez 15 jours, puis supprimez définitivement l’application.

Pour indiquer que l’application est toujours nécessaire et ignorer la recommandation :

• Mettez à jour l’état de la recommandation sur ignoré ou différé.
  • Utilisez l’état ignoré si vous avez déterminé que l’application restera inactive jusqu’à la fin de son cycle de vie.
  • Utilisez l’état ignoré si vous pensez que l’application est incluse dans la recommandation par erreur.
  • Utilisez l’état différé si vous avez besoin de plus de temps pour passer en revue l’application.

API Microsoft Graph

Vous pouvez utiliser les requêtes suivantes pour récupérer la recommandation et les ressources impactées à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations DirectoryRecommendations.Read.All et DirectoryRecommendations.ReadWrite.All. Pour plus d’informations, consultez le guide pratique sur l’utilisation des recommandations de sécurité.

1. Connectez-vous à l’explorateur graphique.
2. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

Passer en revue les applications

Pour récupérer toutes les recommandations pour votre locataire :

GET https://graph.microsoft.com/beta/directory/recommendations

Dans la réponse, recherchez l’ID de la recommandation qui correspond au modèle suivant : {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Pour identifier les ressources impactées :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Pour filtrer les ressources en fonction de leur état (par exemple, ressources actives) :

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifiez l’élément applicationObjectId ou appId de l’application inutilisée à supprimer.

Exemple de réponse

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Déterminer si l’application est nécessaire

Considérez le scénario d’utilisation et la fonction métier de l’application :

• L’application a-t-elle été déconseillée ?
• L’application est-elle utilisée pour une fonction métier qui ne se produit qu’à certains moments de l’année ?

Si vous pouvez supprimer l’application, exécutez l’une des requêtes suivantes pour supprimer l’application :

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Attendez 15 jours, puis suivez l’aide de l’API Microsoft Graph pour supprimer définitivement un élément.

Contenu connexe

• Passer en revue la présentation des recommandations Microsoft Entra
• Découvrez comment utiliser les suggestions Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations