Doporučení Microsoft Entra: Odebrání nepoužívaných aplikací (Preview)

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k prozkoumání nepoužívaných aplikací. Toto doporučení se volá StaleApps v rozhraní API pro doporučení v Microsoft Graphu.

Poznámka

S Microsoft Security Copilot můžete pomocí výzev přirozeného jazyka získat přehled o nepoužívaných aplikacích. Přečtěte si další informace o tom, jak vyhodnotit rizika aplikací pomocíMicrosoft Security Copilot .

Požadavky

Pro zobrazení nebo aktualizaci doporučení existují různé požadavky na roli. Pro typ potřebného přístupu použijte nejméně privilegovanou roli. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Role Microsoft Entra	Typ přístupu
Prohlížeč sestav	Jen pro čtení
Prohlížeč zabezpečení	Jen pro čtení
Globální čtenář	Jen pro čtení
Správce zásad ověřování	Aktualizace a čtení
Správce Exchange	Aktualizace a čtení
Správce zabezpečení	Aktualizace a čtení
DirectoryRecommendations.Read.All	Jen pro čtení v Microsoft Graphu
DirectoryRecommendations.ReadWrite.All	Aktualizace a čtení v Microsoft Graphu

Některá doporučení můžou vyžadovat licenci P2 nebo jinou. Další informace najdete v přehledové tabulce Doporučení .

Popis

Toto doporučení se zobrazí, pokud váš tenant obsahuje aplikace, které se nepoužívaly déle než 90 dnů. V tomto doporučení jsou zahrnuty následující scénáře:

• Aplikace byla vytvořena, ale nikdy nebyla použita.
• Aplikace není softwarově odstraněná z portfolia aplikací.
• Aplikace není využívána tenantem, ve kterém je umístěna, ani žádnými jeho instancemi (Service Principal) v jiných tenantech.
• Jedná se o klientskou aplikaci, která volá jiné aplikace prostředků, ale v posledních 90 dnech jí nebyly vydány žádné tokeny.
• Jedná se o zdrojovou aplikaci, která nemá žádný záznam o klientských aplikacích, které požádaly o token v posledních 90 dnech.

Z tohoto doporučení jsou vyloučené následující aplikace:

• Aplikace spravované Microsoftem, včetně čehokoli vytvořeného nebo upraveného aplikacemi vlastněnými Microsoftem.
• Aplikace, které pracují s jinými aplikacemi k získání tokenů nebo slouží k povolení scénářů, které nevyžadují tokeny.
  • Z tohoto doporučení je vyloučen například server peer-to-peer, aplikační proxy, Microsoft Entra Cloud Sync, propojené jednotné přihlašování, jednotné přihlašování pomocí hesla, doplňky Office a spravované identity.
• Aplikace vytvořené během posledních 90 dnů

Hodnota

Odebrání nepoužívaných aplikací pomáhá snížit prostor pro útok a pomáhá vyčistit portfolio aplikací tenanta.

Akční plán:

Toto doporučení je k dispozici v Centru pro správu Microsoft Entra a pomocí rozhraní Microsoft Graph API. Jakmile identifikujete aplikace, které se nepoužívají, můžete se rozhodnout, jestli je chcete odebrat nebo ponechat na základě potřeb vaší organizace. Akční plán je proto rozdělen do dvou částí:

1. Zkontrolujte aplikace, které jsou označeny jako nepoužité.
2. Určete, jestli je aplikace potřebná a jak ji řešit.

Centrum pro správu Microsoft Entra

Aplikace, které doporučení identifikovaly, se zobrazí v seznamu ovlivněných prostředků v dolní části doporučení.

Kontrola aplikací

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na Identity>Přehled.

3. Vyberte kartu Doporučení a vyberte doporučení Odebrat nepoužívané aplikace.

4. V tabulce Ovlivněné prostředky vyberte Další podrobnosti a zobrazte další podrobnosti.

5. Výběrem odkazu Resource přejdete přímo na registraci aplikace.

   • Alternativně můžete přejít na Identity>Aplikace>Registrace aplikací a vyhledat aplikaci, která byla identifikována v rámci tohoto doporučení.

   

Určení, jestli je aplikace potřebná

Existuje mnoho důvodů, proč se aplikace může nepoužít. Představte si scénář použití aplikace a obchodní funkci. Příklad:

• Byla aplikace zastaralá?
• Používá se aplikace pro obchodní funkci, která se provádí jenom v určitých časech roku?

Odebrání aplikace:

1. Soft delete aplikace z tenanta.
2. Počkejte 15 dní a pak aplikaci trvale odstraňte.

Chcete-li označit, že je aplikace stále potřebná, a přeskočit doporučení:

• Aktualizujte stav doporučení tak, aby byl zamítnut nebo odložen.
  • Pokud zjistíte, že aplikace zůstane neaktivní po zbytek životního cyklu, použijte zamítnuto .
  • Pokud se domníváte, že je aplikace nesprávně zahrnuta do doporučení, použijte odmítnuto.
  • Použijte odložené, pokud potřebujete více času na kontrolu aplikace.

Microsoft Graph API

Následující požadavky je možné použít k načtení doporučení a ovlivněných prostředků pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All. Další informace najdete v tématu Jak používat doporučení pro identitu.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

Kontrola aplikací

Chcete-li načíst všechna doporučení pro svého nájemce:

GET https://graph.microsoft.com/beta/directory/recommendations

V odpovědi vyhledejte ID doporučení, které odpovídá následujícímu vzoru: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Identifikace ovlivněných prostředků:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Filtrování prostředků na základě jejich stavu (například aktivní prostředky):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Určete applicationObjectId nebo appId nepoužívané aplikace, kterou chcete odstranit.

Ukázková odpověď

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Určení, jestli je aplikace potřebná

Představte si scénář použití aplikace a obchodní funkci:

• Byla aplikace zastaralá?
• Používá se aplikace pro obchodní funkci, která se provádí jenom v určitých časech roku?

Pokud můžete aplikaci odstranit, spusťte jeden z následujících dotazů, abyste aplikaci odstranili:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Počkejte 15 dní a pak postupujte podle pokynů k trvalému odstranění položky rozhraní Microsoft Graph API.

Související obsah

• Přehled doporučení Microsoft Entra
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení