Рекомендация Microsoft Entra. Удаление неиспользуемых приложений (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматривается рекомендация по изучению неиспользуемых приложений. Эта рекомендация вызывается StaleApps в API рекомендаций в Microsoft Graph.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Читатель отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновление и чтение
Администратор Exchange	Обновление и чтение
Администратор безопасности	Обновление и чтение
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Description

Эта рекомендация отображается, если у вашего клиента есть приложения, которые не использовались в течение более 90 дней. В эту рекомендацию включены следующие сценарии:

• Приложение было создано, но никогда не использовалось.
• Приложение не удаляется из портфеля приложений.
• Приложение не используется клиентом, где он находится, ни ни один из его экземпляров (субъект-служба) в других клиентах.
• Это клиентское приложение, которое вызывает другие приложения ресурсов, но не было выдано никаких маркеров за последние 90 дней.
• Это приложение ресурсов, которое не имеет записи о каких-либо клиентских приложениях, запрашивающих токен за последние 90 дней.

Следующие приложения исключены из этой рекомендации:

• Приложения, управляемые корпорацией Майкрософт, включая все созданные или измененные приложениями Майкрософт.
• Приложения, которые работают с другими приложениями для получения маркеров или используются для включения сценариев, которые не требуют маркеров.
  • Например, одноранговый сервер, прокси приложения, Microsoft Entra Cloud Sync, связанный единый вход, единый вход паролей, надстройки Office и управляемые удостоверения исключены из этой рекомендации.
• Приложения, созданные за последние 90 дней.

Значение

Удаление неиспользуемых приложений помогает уменьшить область атаки и помогает очистить портфель приложений клиента.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph. После идентификации приложений, которые не используются, вы можете решить, следует ли удалить их или сохранить в зависимости от потребностей вашей организации. Поэтому план действий разбит на две части:

1. Просмотрите приложения, помеченные как неиспользуемые.
2. Определите, требуется ли приложение и как устранить его.

Центр администрирования Microsoft Entra

Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.

Просмотр приложений

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к обзору удостоверений>.

3. Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Удалить неиспользуемые приложения ".

4. В таблице затронутых ресурсов выберите дополнительные сведения, чтобы просмотреть дополнительные сведения.

5. Выберите ссылку "Ресурс", чтобы перейти непосредственно к регистрации приложения для приложения.

   • Кроме того, вы можете перейти к приложениям> удостоверений>Регистрация приложений и найти приложение, которое было размещено в рамках этой рекомендации.

   

Определение необходимости приложения

Существует множество причин, по которым приложение может быть неиспользуемо. Рассмотрим сценарий использования приложения и бизнес-функцию. Например:

• Не рекомендуется ли приложение?
• Используется ли приложение для бизнес-функции, которая происходит только в определенное время года?

Чтобы удалить приложение, выполните следующие действия.

1. Обратимое удаление приложения из клиента.
2. Подождите 15 дней, а затем окончательно удалите приложение.

Чтобы указать, что приложение по-прежнему необходимо и пропустить рекомендацию:

• Обновите состояние рекомендации, чтобы закрыть или отложить.
  • Если установлено, что приложение будет оставаться неактивным в течение остальной части жизненного цикла, используйте его.
  • Используйте отклоненное, если вы считаете приложение включенным в рекомендацию ошибкой.
  • Используйте отложенное, если требуется больше времени для просмотра приложения.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам потребуются DirectoryRecommendations.Read.All разрешения и DirectoryRecommendations.ReadWrite.All разрешения. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

1. Войдите в обозреватель Graph.
2. Выберите метод HTTP GET в раскрывающемся списке.

Просмотр приложений

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Чтобы отфильтровать ресурсы на основе их состояния (например, активные ресурсы):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Определите applicationObjectId или неиспользуемое appId приложение, которое вы хотите удалить.

Пример ответа

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Определение необходимости приложения

Рассмотрим сценарий использования приложения и бизнес-функцию:

• Не рекомендуется ли приложение?
• Используется ли приложение для бизнес-функции, которая происходит только в определенное время года?

Если вы можете удалить приложение, выполните один из следующих запросов, чтобы удалить приложение:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Подождите 15 дней, а затем следуйте указаниям по API Microsoft Graph для окончательного удаления элемента .

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций