Microsoft Entra のレコメンデーション: 未使用のアプリケーションを削除する (プレビュー)

Microsoft Entra のレコメンデーションには、パーソナライズされた分析情報と、推奨されるベストプラクティスにおいてテナントを配置するための実用的ガイダンスの提供という特徴があります。

この記事では、未使用のアプリケーションを調査するためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API で StaleApps と呼ばれます。

前提条件

推奨事項を表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。 ロールの完全な一覧については、「 タスク別の特権ロールを参照してください。

Microsoft Entra ロール	アクセスの種類
レポート閲覧者	読み取り専用
セキュリティ閲覧者	読み取り専用
グローバル閲覧者	読み取り専用
認証ポリシー管理者	更新と読み取り
Exchange 管理者	更新と読み取り
セキュリティ管理者	更新と読み取り
DirectoryRecommendations.Read.All	Microsoft Graph での読み取り専用
DirectoryRecommendations.ReadWrite.All	Microsoft Graph で更新と読み取りを行う

推奨事項によっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 推奨事項の可用性とライセンス要件」を参照してください。

説明

この推奨事項は、テナントに 90 日を超えて使用されていないアプリケーションがある場合に表示されます。 この推奨事項には、次のシナリオが含まれています。

• アプリが作成されましたが、一度も使用されませんでした。
• アプリがアプリケーション ポートフォリオから論理的に削除されていません。
• アプリが存在するテナントや、他のテナントのインスタンス (サービス プリンシパル) でアプリが使用されていません。
• これは他のリソース アプリを呼び出すクライアント アプリですが、過去 90 日間にトークンが発行されていません。
• これは、過去 90 日間にトークンを要求したクライアント アプリの記録がないリソース アプリです。

次のアプリは、この推奨事項から除外されます。

• Microsoft が管理するアプリ。Microsoft が所有するアプリケーションにより作成または変更されたものも含まれます。
• 他のアプリと連携してトークンを取得するアプリ、またはトークンを必要としないシナリオを有効にするために使用されるアプリ。
  • たとえば、ピアツーピア サーバー、アプリケーション プロキシ、Microsoft Entra Cloud Sync、リンクされたシングル サインオン、パスワード SSO、Office アドイン、マネージド ID は、この推奨事項から除外されます。
• 過去 90 日以内に作成されたアプリ。

Value

未使用のアプリケーションを削除すると、攻撃面を減らし、テナントのアプリ ポートフォリオをクリーンアップするのに役立ちます。

行動計画

この推奨事項は、Microsoft Entra 管理センター、または Microsoft Graph API で使用できます。 使用されていないアプリケーションを特定したら、組織のニーズに基づいて、それらを削除するか保持するかを決定できます。 そのため、アクション プランは次の 2 つの部分に分けられます。

1. 未使用としてフラグが設定されているアプリケーションを確認します。
2. アプリケーションが必要かどうかを判断し、それに対処する方法を決定します。

Microsoft Entra 管理センター

レコメンデーションが特定されたアプリケーションは、レコメンデーションの下部にある [影響を受けたリソース ] のリストに表示されます。

アプリケーションを確認する

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. ID>概要 を参照します。

3. [推奨事項] タブを選択し、[未使用のアプリケーションを削除する] 推奨事項を選択します。

4. [影響を受けるリソース] テーブルから、[詳細] を選択して詳細を表示します。

5. [リソース] リンクを選択して、アプリのアプリ登録に直接移動します。

   • または、[ID]>[アプリケーション]>[アプリの登録] を参照し、この推奨事項の一部として表示されたアプリケーションを見つけます。

   

アプリケーションが必要かどうかを判断する

アプリが使用されない理由は多数あります。 アプリの使用シナリオとビジネス機能について考えてみましょう。 次に例を示します。

• アプリは非推奨になりましたか?
• そのアプリは、一年の特定の時間にのみ発生するビジネス機能に使用されますか?

アプリケーションを削除するには:

1. テナントからアプリを論理的に削除します。
2. 15 日間待ってから、アプリが定期的に削除されます。

アプリケーションがまだ必要であることを示し、推奨事項をスキップするには:

• 破棄または延期に推奨事項の状態を更新します。
  • アプリがそのライフサイクルの残りの部分で非アクティブなままであると判断された場合に、破棄使用します。
  • アプリが誤って推奨事項に含まれていると考えられる場合に、破棄を使用します。
  • アプリの確認に時間が必要な場合は延期を使用します。

Microsoft Graph API

次の要求を使用すると、Microsoft Graph API で推奨事項と影響を受けるリソースを取得できます。 Microsoft Graph API を使用するには、DirectoryRecommendations.Read.All と DirectoryRecommendations.ReadWrite.All のアクセス許可が必要です。 詳細については、ID の推奨事項の使用方法に関する記事を参照してください。

1. グラフ エクスプローラーにサインインします。
2. ドロップダウンから HTTP メソッドとして [GET] を選択します。

アプリケーションを確認する

テナントのすべての推奨事項を取得するには:

GET https://graph.microsoft.com/beta/directory/recommendations

応答から、次のパターンに一致する推奨事項の ID を見つけます: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps。

影響を受けるリソースを特定するには:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

状態に基づいてリソースをフィルター処理するには (たとえば、"アクティブ" なリソース):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

削除する未使用のアプリの applicationObjectId または appId を特定します。

サンプル応答

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

アプリケーションが必要かどうかを判断する

アプリの使用シナリオとビジネス機能について考えてみましょう。

• アプリは非推奨になりましたか?
• そのアプリは、一年の特定の時間にのみ発生するビジネス機能に使用されますか?

アプリを削除できる場合は、次のいずれかのクエリを実行してアプリケーションを削除します。

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

15 日間待ってから、項目を完全に削除する Microsoft Graph API のガイダンスに従います。

関連するコンテンツ

• Microsoft Entraの推奨事項の概要を確認する
• Microsoft Entra の推奨事項を使用する方法について説明する
• 推奨事項用の Microsoft Graph API のプロパティを調べる