Zalecenie firmy Microsoft Entra: Usuwanie nieużywanych aplikacji (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące badania nieużywanych aplikacji. To zalecenie jest wywoływane StaleApps w interfejsie API zaleceń w programie Microsoft Graph.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytelnik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizowanie i odczytywanie
Administrator programu Exchange	Aktualizowanie i odczytywanie
Administrator zabezpieczeń	Aktualizowanie i odczytywanie
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.

opis

To zalecenie jest wyświetlane, jeśli dzierżawa ma aplikacje, które nie były używane przez ponad 90 dni. W tym poleceniu uwzględniono następujące scenariusze:

• Aplikacja została utworzona, ale nigdy nie była używana.
• Aplikacja nie jest usuwana nietrwale z portfolio aplikacji.
• Aplikacja nie jest używana przez dzierżawę, w której się znajduje, ani żadnego z jej wystąpień (jednostki usługi) w innych dzierżawach.
• Jest to aplikacja kliencka, która wywołuje inne aplikacje zasobów, ale nie została wystawiona w ciągu ostatnich 90 dni.
• Jest to aplikacja zasobów, która nie ma rekordu żadnych aplikacji klienckich żądających tokenu w ciągu ostatnich 90 dni.

Następujące aplikacje są wykluczone z tego zalecenia:

• Aplikacje zarządzane przez firmę Microsoft, w tym wszystkie elementy utworzone lub zmodyfikowane przez aplikacje należące do firmy Microsoft.
• Aplikacje, które współpracują z innymi aplikacjami w celu uzyskania tokenów lub są używane do włączania scenariuszy, które nie wymagają tokenów.
  • Na przykład serwer równorzędny, serwer proxy aplikacji, microsoft Entra Cloud Sync, połączone logowanie jednokrotne, logowanie jednokrotne haseł, dodatki pakietu Office i tożsamości zarządzane są wykluczone z tego zalecenia.
• Aplikacje utworzone w ciągu ostatnich 90 dni.

Wartość

Usunięcie nieużywanych aplikacji pomaga zmniejszyć obszar powierzchni ataków i pomóc w oczyszczeniu portfela aplikacji dzierżawy.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph. Po zidentyfikowaniu aplikacji, które nie są używane, możesz zdecydować, czy je usunąć, czy zachować na podstawie potrzeb organizacji. W związku z tym plan działania jest podzielony na dwie części:

1. Przejrzyj aplikacje oflagowane jako nieużywane.
2. Ustal, czy aplikacja jest potrzebna i jak ją rozwiązać.

Centrum administracyjne firmy Microsoft Entra

Aplikacje, które zidentyfikowano zalecenie, są wyświetlane na liście zasobów , których dotyczy problem w dolnej części zalecenia.

Przeglądanie aplikacji

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do strony Przegląd tożsamości>.

3. Wybierz kartę Zalecenia i wybierz zalecenie Usuń nieużywane aplikacje.

4. W tabeli Zasoby, których to dotyczy, wybierz pozycję Więcej szczegółów, aby wyświetlić więcej szczegółów.

5. Wybierz link Zasób, aby przejść bezpośrednio do rejestracji aplikacji.

   • Alternatywnie możesz przejść do obszaru Aplikacje> tożsamości>Rejestracje aplikacji i zlokalizować aplikację, która została wyświetlona w ramach tego zalecenia.

   

Określanie, czy aplikacja jest potrzebna

Istnieje wiele powodów, dla których aplikacja może być nieużywana. Rozważmy scenariusz użycia aplikacji i funkcję biznesową. Na przykład:

• Czy aplikacja była przestarzała?
• Czy aplikacja jest używana dla funkcji biznesowej, która odbywa się tylko o określonych porach roku?

Aby usunąć aplikację:

1. Usuwanie nietrwałe aplikacji z dzierżawy.
2. Poczekaj 15 dni, a następnie trwale usuń aplikację.

Aby wskazać, że aplikacja jest nadal potrzebna i pominąć zalecenie:

• Zaktualizuj stan rekomendacji, aby odrzucić lub odroczyć.
  • Użyj odrzuconego , jeśli ustalisz, że aplikacja pozostanie nieaktywna w pozostałej części jej cyklu życia.
  • Użyj odrzuconej , jeśli uważasz, że aplikacja została uwzględniona w rekomendacji w błędzie.
  • Jeśli potrzebujesz więcej czasu na przejrzenie aplikacji, użyj odroczonego czasu.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są DirectoryRecommendations.Read.All uprawnienia i DirectoryRecommendations.ReadWrite.All . Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Przeglądanie aplikacji

Aby pobrać wszystkie zalecenia dotyczące dzierżawy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

applicationObjectId Zidentyfikuj lub appId nieużywaną aplikację, którą chcesz usunąć.

Przykładowa odpowiedź

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Określanie, czy aplikacja jest potrzebna

Rozważmy scenariusz użycia aplikacji i funkcję biznesową:

• Czy aplikacja była przestarzała?
• Czy aplikacja jest używana dla funkcji biznesowej, która odbywa się tylko o określonych porach roku?

Jeśli możesz usunąć aplikację, uruchom jedno z następujących zapytań, aby usunąć aplikację:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Poczekaj 15 dni, a następnie postępuj zgodnie ze wskazówkami dotyczącymi trwałego usuwania elementu interfejsu API programu Microsoft Graph.

Powiązana zawartość

• Zapoznaj się z omówieniem zaleceń firmy Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń