Recomendação do Microsoft Entra: Remover aplicativos não utilizados (visualização)

As recomendações do Microsoft Entra são um recurso que fornece informações personalizadas e orientações acionáveis para alinhar seu locatário com as práticas recomendadas recomendadas.

Este artigo aborda a recomendação para investigar aplicativos não utilizados. Essa recomendação é chamada StaleApps na API de recomendações no Microsoft Graph.

Pré-requisitos

Existem diferentes requisitos de função para visualizar ou atualizar uma recomendação. Use a função menos privilegiada para o tipo de acesso necessário. Para obter uma lista completa de funções, consulte Funções menos privilegiadas por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Só de leitura
Leitor de Segurança	Só de leitura
Leitor Global	Só de leitura
Administrador da Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
DirectoryRecommendations.Read.All	Somente leitura no Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Disponibilidade de recomendação e requisitos de licença.

Description

Essa recomendação aparece se o locatário tiver aplicativos que não são usados há mais de 90 dias. A presente recomendação inclui os seguintes cenários:

• O aplicativo foi criado, mas nunca usado.
• O aplicativo não é excluído suavemente do portfólio de aplicativos.
• O aplicativo não é usado pelo locatário onde reside nem por nenhuma de suas instâncias (Service Principal) em outros locatários.
• É um aplicativo cliente que chama outros aplicativos de recursos, mas não recebeu nenhum token nos últimos 90 dias.
• É um aplicativo de recurso que não tem um registro de nenhum aplicativo cliente solicitando um token nos últimos 90 dias.

As seguintes aplicações estão isentas desta recomendação:

• Aplicativos gerenciados pela Microsoft, incluindo qualquer coisa criada ou modificada por aplicativos de propriedade da Microsoft.
• Aplicativos que funcionam com outros aplicativos para obter tokens ou são usados para habilitar cenários que não exigem tokens.
  • Por exemplo, servidor ponto a ponto, proxy de aplicativo, Microsoft Entra Cloud Sync, logon único vinculado, SSO de senha, suplementos do Office e identidades gerenciadas são excluídos desta recomendação.
• Aplicações que foram criadas nos últimos 90 dias.

Value

A remoção de aplicativos não utilizados ajuda a reduzir a área da superfície de ataque e ajuda a limpar o portfólio de aplicativos de um locatário.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph. Depois de identificar os aplicativos que não estão sendo usados, você pode decidir se deseja removê-los ou mantê-los com base nas necessidades da sua organização. Por conseguinte, o plano de ação divide-se em duas partes:

1. Analise os aplicativos sinalizados como não utilizados.
2. Determine se o aplicativo é necessário e como resolvê-lo.

Centro de administração do Microsoft Entra

Os aplicativos identificados pela recomendação aparecem na lista de recursos impactados na parte inferior da recomendação.

Rever as candidaturas

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue até Visão geral da identidade>.

3. Selecione a guia Recomendações e selecione a recomendação Remover aplicativos não utilizados.

4. Na tabela Recursos afetados, selecione Mais detalhes para exibir mais detalhes.

5. Selecione o link Recurso para ir diretamente para o registro do aplicativo.

   • Como alternativa, você pode navegar até Registros do aplicativo Identity>Applications>e localizar o aplicativo que foi exibido como parte desta recomendação.

   

Determinar se o aplicativo é necessário

Há muitas razões pelas quais um aplicativo pode não ser usado. Considere o cenário de uso e a função de negócios do aplicativo. Por exemplo:

• O aplicativo foi preterido?
• O aplicativo é usado para uma função de negócios que só acontece em determinadas épocas do ano?

Para remover o aplicativo:

1. Exclua suavemente o aplicativo do seu locatário.
2. Aguarde 15 dias e, em seguida, exclua permanentemente o aplicativo.

Para indicar que a aplicação ainda é necessária e ignorar a recomendação:

• Atualize o status da recomendação para rejeitado ou adiado.
  • Use descartado se for determinado que o aplicativo permanecerá inativo pelo resto de seu ciclo de vida.
  • Use descartado se você acha que o aplicativo está incluído na recomendação por engano.
  • Use adiado se precisar de mais tempo para revisar o aplicativo.

Microsoft Graph API

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das DirectoryRecommendations.Read.All permissões e DirectoryRecommendations.ReadWrite.All . Para obter mais informações, consulte Como usar recomendações de identidade.

1. Inicie sessão no Graph Explorer.
2. Selecione GET como o método HTTP na lista suspensa.

Rever as candidaturas

Para recuperar todas as recomendações para o seu inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize o ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos ):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifique o applicationObjectId ou appId do aplicativo não utilizado que você deseja excluir.

Resposta da amostra

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Determinar se o aplicativo é necessário

Considere o cenário de uso e a função de negócios do aplicativo:

• O aplicativo foi preterido?
• O aplicativo é usado para uma função de negócios que só acontece em determinadas épocas do ano?

Se você puder excluir o aplicativo, execute uma das seguintes consultas para excluir o aplicativo:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Aguarde 15 dias e siga as diretrizes da API do Microsoft Graph para excluir permanentemente um item .

Conteúdos relacionados

• Consulte a visão geral das recomendações do Microsoft Entra
• Saiba como usar as recomendações do Microsoft Entra
• Explore as propriedades da API do Microsoft Graph para obter recomendações