Raccomandazione di Microsoft Entra: Rimuovere le applicazioni inutilizzate (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra il consiglio di analizzare le applicazioni inutilizzate. Questo consiglio viene chiamato StaleApps nell'API consigli in Microsoft Graph.

Nota

Con Microsoft Security Copilot, è possibile usare i prompt del linguaggio naturale per ottenere informazioni dettagliate sulle applicazioni inutilizzate. Altre informazioni su come Valutare i rischi delle applicazioni usando Microsoft Security Copilot.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Amministratore che legge i report	Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza	Sola lettura
Ruolo con autorizzazioni di lettura globali	Sola lettura
Amministratore dei criteri di autenticazione	Lettura e aggiornamento
Amministratore di Exchange	Lettura e aggiornamento
Amministratore della sicurezza	Lettura e aggiornamento
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere Requisiti di disponibilità e licenza delle raccomandazioni.

Descrizione

Questa raccomandazione viene visualizzata se il tenant ha applicazioni che non sono state usate per più di 90 giorni. In questa raccomandazione sono inclusi gli scenari seguenti:

• L'app è stata creata ma non è mai stata usata.
• L'app non viene eliminata softmente dal portfolio di applicazioni.
• L'app non viene usata dal tenant in cui si trova né da nessuna delle relative istanze (entità servizio) in altri tenant.
• Si tratta di un'app client che chiama altre app per le risorse, ma non è stato emesso alcun token negli ultimi 90 giorni.
• Si tratta di un'app per le risorse che non ha un record di app client che richiedono un token negli ultimi 90 giorni.

Le app seguenti sono escluse da questa raccomandazione:

• App gestite da Microsoft, inclusi tutti gli elementi creati o modificati dalle applicazioni di proprietà di Microsoft.
• Le app che usano altre app per ottenere token o vengono usate per abilitare scenari che non richiedono token.
  • Ad esempio, il server peer-to-peer, il proxy applicazione, Microsoft Entra Cloud Sync, l'accesso Single Sign-On collegato, l'accesso Single Sign-On, i componenti aggiuntivi di Office e le identità gestite vengono esclusi da questa raccomandazione.
• App create negli ultimi 90 giorni.

Valore

La rimozione delle applicazioni inutilizzate consente di ridurre la superficie di attacco e di pulire il portfolio di app di un tenant.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph. Dopo aver identificato le applicazioni che non vengono usate, è possibile decidere se rimuoverle o mantenerle in base alle esigenze dell'organizzazione. Il piano d'azione è quindi suddiviso in due parti:

1. Esaminare le applicazioni contrassegnate come inutilizzate.
2. Determinare se l'applicazione è necessaria e come risolverla.

Interfaccia di amministrazione di Microsoft Entra

Le applicazioni identificate dalla raccomandazione vengono visualizzate nell'elenco delle risorse interessate nella parte inferiore della raccomandazione.

Esaminare le applicazioni

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare il consiglio Rimuovi applicazioni inutilizzate.

4. Nella tabella Risorse interessate selezionare Altri dettagli per visualizzare altri dettagli.

5. Selezionare il collegamento Risorsa per passare direttamente alla registrazione dell'app per l'app.

   • In alternativa, è possibile passare a Applicazioni>Registrazioni app e individuare l'applicazione visualizzata come parte di questa raccomandazione.

   

Determinare se l'applicazione è necessaria

Esistono molti motivi per cui un'app potrebbe essere inutilizzata. Prendere in considerazione lo scenario di utilizzo dell'app e la funzione aziendale. Ad esempio:

• L'app è stata deprecata?
• L'app viene usata per una funzione aziendale che si verifica solo in determinati momenti dell'anno?

Per rimuovere l'applicazione:

1. Eliminare soft l'app dal tenant.
2. Attendere 15 giorni e quindi eliminare definitivamente l'app.

Per indicare che l'applicazione è ancora necessaria e ignorare la raccomandazione:

• Aggiornare lo stato della raccomandazione in modo che venga ignorato o posticipato.
  • Usa ignorato se è determinato che l'app rimarrà inattiva per il resto del ciclo di vita.
  • Usa ignorato se pensi che l'app sia inclusa nella raccomandazione in caso di errore.
  • Usare posticipato se è necessario più tempo per esaminare l'app.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per altre informazioni, vedere How to use Identity Recommendations.For more information, see How to use Identity Recommendations.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Esaminare le applicazioni

Per recuperare tutte le raccomandazioni per il tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Per filtrare le risorse in base al relativo stato (ad esempio, risorse attive ):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identificare l'oggetto applicationObjectId o appId dell'app inutilizzata da eliminare.

Risposta di esempio

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Determinare se l'applicazione è necessaria

Si consideri lo scenario di utilizzo dell'app e la funzione aziendale:

• L'app è stata deprecata?
• L'app viene usata per una funzione aziendale che si verifica solo in determinati momenti dell'anno?

Se è possibile eliminare l'app, eseguire una delle query seguenti per eliminare l'applicazione:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Attendere 15 giorni e quindi seguire le indicazioni sull'eliminazione definitiva di un elemento dell'API Microsoft Graph.

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli