Zalecenie firmy Microsoft Entra: Usuwanie nieużywanych aplikacji (wersja zapoznawcza)

Zalecenia firmy Microsoft Entra to funkcja, która zapewnia spersonalizowane szczegółowe informacje i wskazówki umożliwiające podejmowanie działań w celu dostosowania dzierżawy do zalecanych najlepszych rozwiązań.

W tym artykule opisano zalecenie dotyczące badania nieużywanych aplikacji. To zalecenie jest nazywane staleApps w API zaleceń Microsoft Graph.

Notatka

Dzięki Microsoft Security Copilot można użyć monitów języka naturalnego, aby uzyskać szczegółowe informacje na temat nieużywanych aplikacji. Dowiedz się więcej o tym, jak oceniać zagrożenia aplikacji przy użyciu rozwiązania Microsoft Security Copilot.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Odczyt zabezpieczeń	Tylko do odczytu
Globalny czytelnik	Tylko do odczytu
Administrator zasad uwierzytelniania	Zaktualizuj i przeczytaj
Administrator programu Exchange	Zaktualizuj i przeczytaj
Administrator zabezpieczeń	Zaktualizuj i przeczytaj
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz tabelę przeglądu zaleceń .

opis

To zalecenie jest widoczne, jeśli w koncie najemcy znajdują się aplikacje, które nie były używane przez ponad 90 dni. W tym poleceniu uwzględniono następujące scenariusze:

• Aplikacja została utworzona, ale nigdy nie była używana.
• Aplikacja nie jest oznaczona jako usunięta z portfolio aplikacji.
• Aplikacja nie jest używana przez dzierżawcę, w którym się znajduje, ani przez żadne z jej wystąpień (Service Principal) w innych dzierżawcach.
• Jest to aplikacja kliencka, która wywołuje inne aplikacje zasobów sieciowych, ale nie otrzymała żadnych tokenów w ciągu ostatnich 90 dni.
• Jest to aplikacja zasobów, która nie ma rekordu żadnych aplikacji klienckich żądających tokenu w ciągu ostatnich 90 dni.

Następujące aplikacje są wykluczone z tego zalecenia:

• Aplikacje zarządzane przez firmę Microsoft, w tym wszystkie elementy utworzone lub zmodyfikowane przez aplikacje należące do firmy Microsoft.
• Aplikacje, które współpracują z innymi aplikacjami w celu uzyskania tokenów lub są używane do włączania scenariuszy, które nie wymagają tokenów.
  • Na przykład serwer peer-to-peer, serwer proxy aplikacji, Microsoft Entra Cloud Sync, połączone jednokrotne logowanie, jednokrotne logowanie hasłem, dodatki pakietu Office i zarządzane tożsamości są wykluczone z tego zalecenia.
• Aplikacje utworzone w ciągu ostatnich 90 dni.

Wartość

Usunięcie nieużywanych aplikacji pomaga zmniejszyć powierzchnię ataków i uporządkować portfel aplikacji klienta.

Plan działania

To zalecenie jest dostępne w centrum administracyjnym firmy Microsoft Entra i przy użyciu interfejsu API programu Microsoft Graph. Po zidentyfikowaniu aplikacji, które nie są używane, możesz zdecydować, czy je usunąć, czy zachować na podstawie potrzeb organizacji. W związku z tym plan działania jest podzielony na dwie części:

1. Przejrzyj aplikacje oflagowane jako nieużywane.
2. Ustal, czy aplikacja jest potrzebna i jak ją rozwiązać.

Centrum administracyjne firmy Microsoft Entra

Aplikacje zidentyfikowane przez zalecenie są wyświetlane na liście zasobów, których dotyczy problem w dolnej części zalecenia.

Przeglądanie aplikacji

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do Entra ID>Przegląd.

3. Wybierz kartę Zalecenia i wybierz zalecenie Usuń nieużywane aplikacje.

4. W tabeli Zasoby, których to dotyczy, wybierz pozycję Więcej szczegółów, aby wyświetlić więcej szczegółów.

5. Wybierz link Zasób, aby przejść bezpośrednio do rejestracji aplikacji.

   • Alternatywnie możesz przejść do obszaruRejestracje aplikacji> i zlokalizować aplikację, która została wyświetlona w ramach tego zalecenia.

   

Określanie, czy aplikacja jest potrzebna

Istnieje wiele powodów, dla których aplikacja może być nieużywana. Rozważmy scenariusz użycia aplikacji i funkcję biznesową. Na przykład:

• Czy aplikacja była przestarzała?
• Czy aplikacja jest używana dla funkcji biznesowej, która odbywa się tylko o określonych porach roku?

Aby usunąć aplikację:

1. Miękkie usunięcie aplikacji z Twojej dzierżawy.
2. Poczekaj 15 dni, a następnie trwale usuń aplikację.

Aby wskazać, że aplikacja jest nadal potrzebna i pominąć zalecenie:

• Zaktualizuj status rekomendacji na odrzucono lub odroczono.
  • Użyj odrzuć, jeśli ustalisz, że aplikacja pozostanie nieaktywna w pozostałą część jej cyklu życia.
  • Użyj odrzuć, jeśli uważasz, że aplikacja została uwzględniona w rekomendacji przez pomyłkę.
  • Użyj przełożone, jeśli potrzebujesz więcej czasu na przejrzenie aplikacji.

Interfejs API programu Microsoft Graph

Następujące żądania mogą służyć do pobierania rekomendacji i zasobów, których dotyczy ten wpływ, przy użyciu interfejsu API programu Microsoft Graph. Aby korzystać z interfejsu API programu Microsoft Graph, potrzebne są uprawnienia DirectoryRecommendations.Read.All i uprawnienia DirectoryRecommendations.ReadWrite.All. Aby uzyskać więcej informacji, zobacz How to use Identity Recommendations (Jak używać zaleceń dotyczących tożsamości).

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

Przeglądanie aplikacji

Aby pobrać wszystkie zalecenia dla Twojego dzierżawcy:

GET https://graph.microsoft.com/beta/directory/recommendations

W odpowiedzi znajdź identyfikator rekomendacji zgodnej z następującym wzorcem: {tenantId}_staleApps.

Aby zidentyfikować zasoby, których dotyczy ten wpływ:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps

Aby filtrować zasoby na podstawie ich stanu (na przykład aktywnych zasobów):

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Zidentyfikuj applicationObjectId lub appId nieużywanej aplikacji, którą chcesz usunąć.

Przykładowa odpowiedź

{
    "id": "ccccdddd-2222-eeee-3333-ffff4444aaaa_staleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Określanie, czy aplikacja jest potrzebna

Rozważmy scenariusz użycia aplikacji i funkcję biznesową:

• Czy aplikacja była przestarzała?
• Czy aplikacja jest używana dla funkcji biznesowej, która odbywa się tylko o określonych porach roku?

Jeśli możesz usunąć aplikację, uruchom jedno z następujących zapytań, aby usunąć aplikację:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Poczekaj 15 dni, a następnie postępuj zgodnie ze wskazówkami dotyczącymi trwałego usuwania elementu interfejsu Microsoft Graph API.

Powiązana zawartość

• Zapoznaj się z przeglądem zaleceń Microsoft Entra
• Dowiedz się, jak używać zaleceń firmy Microsoft Entra
• Eksplorowanie właściwości interfejsu API programu Microsoft Graph pod kątem zaleceń