Recomendación de Microsoft Entra: Quitar aplicaciones sin usar (versión preliminar)

Las recomendaciones de Microsoft Entra son una característica que proporciona información personalizada e instrucciones prácticas para que su inquilino siga los procedimientos recomendados.

Este artículo describe la recomendación de investigar las aplicaciones que no se usan. Esta recomendación se llama StaleApps en la API de recomendaciones de Microsoft Graph.

Requisitos previos

Hay diferentes requisitos de rol para ver o actualizar una recomendación. Use el rol con privilegios mínimos para el tipo de acceso necesario. Para obtener una lista completa de roles, consulte Roles con privilegios mínimos por tarea.

Rol de Microsoft Entra	Tipo de acceso
Lector de informes	Solo lectura
Lector de seguridad	Solo lectura
Lector global	Solo lectura
Administrador de directivas de autenticación	Actualización y lectura
Administrador de Exchange	Actualización y lectura
Administrador de seguridad	Actualización y lectura
DirectoryRecommendations.Read.All	Solo lectura en Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Actualización y lectura en Microsoft Graph

Algunas recomendaciones pueden requerir una licencia P2 u otra licencia. Para obtener más información, consulte Requisitos de disponibilidad y licencia para recomendaciones.

Descripción

Esta recomendación se muestra si el inquilino tiene aplicaciones que no se han usado durante más de 90 días. En esta recomendación se incluyen los siguientes escenarios:

• La aplicación se creó pero nunca se usó.
• La aplicación no está eliminada de la cartera de aplicaciones.
• El inquilino no usa la aplicación donde reside ni ninguna de sus instancias (entidad de servicio) en otros inquilinos.
• Es una aplicación cliente que llama a otras aplicaciones de recursos, pero no se ha emitido ningún token en los últimos 90 días.
• Es una aplicación de recursos que no tiene un registro de ninguna aplicación cliente que solicite un token en los últimos 90 días.

Las aplicaciones siguientes están exentas de esta recomendación:

• Aplicaciones administradas por Microsoft, incluidas las aplicaciones creadas o modificadas por Microsoft.
• Las aplicaciones que funcionan con otras aplicaciones para obtener tokens o se usan para habilitar escenarios que no requieren tokens.
  • Por ejemplo, Servidor punto a punto, Proxy de aplicación, Microsoft Entra Cloud Sync, Inicio de sesión único vinculado, Inicio de sesión único con contraseña, Complementos de Office e identidades administradas están excluidas de esta recomendación.
• Aplicaciones creadas en los últimos 90 días.

Valor

La eliminación de aplicaciones sin usar ayuda a reducir el área expuesta a ataques y ayuda a limpiar la cartera de aplicaciones de un inquilino.

Plan de acción

Esta recomendación está disponible en el Centro de administración de Microsoft Entra y con Microsoft Graph API. Una vez que identifique las aplicaciones que no se usan, puede decidir si desea quitarlas o mantenerlas en función de las necesidades de su organización. Por lo tanto, el plan de acción se divide en dos partes:

1. Revise las aplicaciones que están marcadas como no usadas.
2. Determine si la aplicación es necesaria y cómo abordarla.

Centro de administración de Microsoft Entra

Las aplicaciones que la recomendación identificada aparecen en la lista de Recursos afectados en la parte inferior de la recomendación.

Revisión de las aplicaciones

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>Información general.

3. Seleccione la pestaña Recomendaciones y seleccione la recomendación Eliminar aplicaciones no usadas.

4. En la tabla Recursos afectados, seleccione Más detalles para ver más detalles.

5. Seleccione el vínculo Recurso para ir directamente al registro de la aplicación.

   • También puede ir a Identidad>Aplicaciones>Registros de aplicaciones y localizar la aplicación que se mostró como parte de esta recomendación.

   

Determinar si se necesita la aplicación

Hay muchas razones por las que una aplicación podría no usarse. Considere el escenario de uso y la función empresarial de la aplicación. Por ejemplo:

• ¿La aplicación estaba en desuso?
• ¿Se usa la aplicación para una función empresarial que solo se produce en determinados momentos del año?

Para quitar la aplicación:

1. Elimina fácilmente la aplicación del inquilino.
2. Espere 15 días y, a continuación, elimine permanentemente la aplicación.

Para indicar que la aplicación sigue siendo necesaria y omitir la recomendación:

• Actualice el estado de la recomendación a descartar o posponer.
  • Use descartar si se determina que la aplicación permanecerá inactiva durante el resto de su ciclo de vida.
  • Use descartar si cree que la aplicación se incluye en la recomendación en caso de error.
  • Use posponer si necesita más tiempo para revisar la aplicación.

API de Microsoft Graph

Las siguientes solicitudes se pueden usar para recuperar la recomendación y los recursos afectados mediante Microsoft Graph API. Para usar Microsoft Graph API, necesita los permisos DirectoryRecommendations.Read.All y DirectoryRecommendations.ReadWrite.All. Para obtener más información, consulte Uso de recomendaciones de identidad.

1. Inicie sesión en Probador de Graph.
2. Seleccione GET como método HTTP en el menú desplegable.

Revisión de las aplicaciones

Para recuperar todas las recomendaciones del inquilino:

GET https://graph.microsoft.com/beta/directory/recommendations

En la respuesta, busque el identificador de la recomendación que coincida con el siguiente patrón: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Para identificar los recursos afectados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Para filtrar los recursos en función de su estado (por ejemplo, recursos activos):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identifique el applicationObjectId o el appId de la aplicación sin usar que desea eliminar.

Respuesta de muestra

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Determinar si se necesita la aplicación

Considere el escenario de uso y la función empresarial de la aplicación:

• ¿La aplicación estaba en desuso?
• ¿Se usa la aplicación para una función empresarial que solo se produce en determinados momentos del año?

Si puede eliminar la aplicación, ejecute una de las siguientes consultas para eliminar la aplicación:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Espere 15 días y, a continuación, siga la guía de Microsoft Graph API Eliminar permanentemente un elemento.

Contenido relacionado

• Revisión de la introducción a las recomendaciones de Microsoft Entra
• Aprender a usar las recomendaciones de Microsoft Entra
• Exploración de las propiedades de Microsoft Graph API para obtener recomendaciones