Doporučení Microsoft Entra: Odebrání nepoužívaných aplikací (Preview)

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k prozkoumání nepoužívaných aplikací. Toto doporučení se volá StaleApps v rozhraní API pro doporučení v Microsoft Graphu.

Poznámka

S Microsoft Security Copilot můžete pomocí výzev přirozeného jazyka získat přehled o nepoužívaných aplikacích. Přečtěte si další informace o tom, jak vyhodnotit rizika aplikací pomocíMicrosoft Security Copilot .

Požadavky

Pro zobrazení nebo aktualizaci doporučení existují různé požadavky na roli. Pro typ potřebného přístupu použijte nejméně privilegovanou roli. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.

Role Microsoft Entra	Typ přístupu
Čtenář sestav	Jen pro čtení
Čtenář zabezpečení	Jen pro čtení
Globální čtenář	Jen pro čtení
Správce zásad ověřování	Aktualizace a čtení
Správce Exchange	Aktualizace a čtení
Správce zabezpečení	Aktualizace a čtení
DirectoryRecommendations.Read.All	Jen pro čtení v Microsoft Graphu
DirectoryRecommendations.ReadWrite.All	Aktualizace a čtení v Microsoft Graphu

Některá doporučení můžou vyžadovat licenci P2 nebo jinou. Další informace najdete v tématu Dostupnost doporučení a licenční požadavky.

Popis

Toto doporučení se zobrazí, pokud váš tenant obsahuje aplikace, které se nepoužívaly déle než 90 dnů. V tomto doporučení jsou zahrnuty následující scénáře:

• Aplikace byla vytvořena, ale nikdy nebyla použita.
• Aplikace není z portfolia aplikací obnovitelně odstraněná .
• Aplikace není používána tenantem, ve kterém se nachází, ani žádné instance (instanční objekt) v jiných tenantech.
• Jedná se o klientskou aplikaci, která volá jiné aplikace prostředků, ale v posledních 90 dnech se nevystavila žádné tokeny.
• Jedná se o aplikaci prostředků, která v posledních 90 dnech nemá záznam o žádných klientských aplikacích, které požadují token.

Z tohoto doporučení jsou vyloučené následující aplikace:

• Aplikace spravované Microsoftem, včetně čehokoli vytvořeného nebo upraveného aplikacemi vlastněnými Microsoftem.
• Aplikace, které pracují s jinými aplikacemi k získání tokenů nebo slouží k povolení scénářů, které nevyžadují tokeny.
  • Z tohoto doporučení jsou vyloučeny například servery peer-to-peer, proxy aplikací, Microsoft Entra Cloud Sync, propojené jednotné přihlašování, jednotné přihlašování pomocí hesla, doplňky Office a spravované identity .
• Aplikace vytvořené během posledních 90 dnů

Hodnota

Odebrání nepoužívaných aplikací pomáhá snížit prostor pro útok a pomáhá vyčistit portfolio aplikací tenanta.

Akční plán:

Toto doporučení je k dispozici v Centru pro správu Microsoft Entra a pomocí rozhraní Microsoft Graph API. Jakmile identifikujete aplikace, které se nepoužívají, můžete se rozhodnout, jestli je chcete odebrat nebo ponechat na základě potřeb vaší organizace. Akční plán je proto rozdělen do dvou částí:

1. Zkontrolujte aplikace, které jsou označeny jako nepoužité.
2. Určete, jestli je aplikace potřebná a jak ji řešit.

Centrum pro správu Microsoft Entra

Aplikace, které doporučení identifikovaly, se zobrazí v seznamu ovlivněných prostředků v dolní části doporučení.

Kontrola aplikací

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Přejděte na Přehled identity>.

3. Vyberte kartu Doporučení a vyberte doporučení Odebrat nepoužívané aplikace.

4. V tabulce Ovlivněné prostředky vyberte Další podrobnosti a zobrazte další podrobnosti.

5. Výběrem odkazu Na prostředek přejdete přímo na registraci aplikace pro aplikaci.

   • Alternativně můžete přejít na Aplikace>Registrace aplikací a vyhledat aplikaci, která byla v rámci tohoto doporučení k dispozici.

   

Určení, jestli je aplikace potřebná

Existuje mnoho důvodů, proč se aplikace může nepoužít. Představte si scénář použití aplikace a obchodní funkci. Příklad:

• Byla aplikace zastaralá?
• Používá se aplikace pro obchodní funkci, která se provádí jenom v určitých časech roku?

Odebrání aplikace:

1. Obnovitelné odstranění aplikace z tenanta
2. Počkejte 15 dní a pak aplikaci trvale odstraňte.

Pokud chcete indikovat, že aplikace je stále potřebná, a doporučení přeskočte:

• Aktualizujte stav doporučení tak, aby byl zamítnut nebo odložen.
  • Pokud zjistíte, že aplikace zůstane neaktivní po zbytek životního cyklu, použijte zamítnuto .
  • Pokud se domníváte, že je aplikace zahrnutá v doporučení v chybě, použijte ji zamítnutou .
  • Odložené použití použijte, pokud potřebujete více času na kontrolu aplikace.

Microsoft Graph API

Následující požadavky je možné použít k načtení doporučení a ovlivněných prostředků pomocí rozhraní Microsoft Graph API. Pokud chcete používat rozhraní Microsoft Graph API, potřebujete oprávnění DirectoryRecommendations.Read.All a DirectoryRecommendations.ReadWrite.All oprávnění. Další informace najdete v tématu Jak používat doporučení identit.

1. Přihlaste se k Graph Exploreru.
2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

Kontrola aplikací

Načtení všech doporučení pro vašeho tenanta:

GET https://graph.microsoft.com/beta/directory/recommendations

V odpovědi vyhledejte ID doporučení, které odpovídá následujícímu vzoru: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Identifikace ovlivněných prostředků:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Filtrování prostředků na základě jejich stavu (například aktivní prostředky):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

applicationObjectId Určete nebo appId nepoužívané aplikace, kterou chcete odstranit.

Ukázková odpověď

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Určení, jestli je aplikace potřebná

Představte si scénář použití aplikace a obchodní funkci:

• Byla aplikace zastaralá?
• Používá se aplikace pro obchodní funkci, která se provádí jenom v určitých časech roku?

Pokud můžete aplikaci odstranit, spusťte jeden z následujících dotazů, abyste aplikaci odstranili:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Počkejte 15 dní a pak postupujte podle pokynů k trvalému odstranění položky rozhraní Microsoft Graph API.

Související obsah

• Přehled doporučení Microsoft Entra
• Přečtěte si, jak používat doporučení Microsoft Entra.
• Prozkoumání vlastností rozhraní Microsoft Graph API pro doporučení