Microsoft Entra 권장 사항: 사용하지 않는 애플리케이션 제거(미리 보기)

Microsoft Entra 권장 사항은 테넌트를 권장 모범 사례에 맞게 맞춤화된 인사이트와 실행 가능한 지침을 제공하는 기능입니다.

이 문서에서는 사용되지 않는 애플리케이션을 조사하기 위한 권장 사항을 다룹니다. 이 권장 사항은 Microsoft Graph의 권장 사항 API에서 StaleApps이라고 합니다.

메모

Microsoft Security Copilot사용하면 자연어 프롬프트를 사용하여 사용하지 않는 애플리케이션에 대한 인사이트를 얻을 수 있습니다. Microsoft Security Copilot사용하여 애플리케이션 위험을 평가하는 방법에 대해 자세히 알아봅니다.

필수 조건

권장 사항을 보거나 업데이트하기 위한 다양한 역할 요구 사항이 있습니다. 필요한 액세스 유형에 대해 최소 권한 역할을 사용합니다. 역할의 전체 목록은 태스크별 최소 권한 역할을 참조 하세요.

Microsoft Entra 역할	액세스 형식
보고서 읽기 권한자	읽기 전용
보안 판독기	읽기 전용
전역 Reader	읽기 전용
인증 정책 관리자	업데이트 및 읽기
Exchange 관리자	업데이트 및 읽기
보안 관리자	업데이트 및 읽기
DirectoryRecommendations.Read.All	Microsoft Graph에서 읽기 전용
DirectoryRecommendations.ReadWrite.All	Microsoft Graph에서 업데이트 및 읽기

일부 권장 사항에는 P2 또는 기타 라이선스가 필요할 수 있습니다. 자세한 내용은 권장 가용성 및 라이선스 요구 사항을 참조하세요.

설명

이 권장 사항은 테넌트에 90일 이상 사용되지 않은 애플리케이션이 있는 경우에 표시됩니다. 이 권장 사항에는 다음과 같은 시나리오가 포함되어 있습니다.

• 앱이 만들어졌지만 사용되지 않았습니다.
• 앱은 애플리케이션 포트폴리오에서 일시 삭제되지 않습니다.
• 앱은 상주하는 테넌트 또는 다른 테넌트의 해당 인스턴스(서비스 주체)에서 사용되지 않습니다.
• 다른 리소스 앱을 호출하지만 지난 90일 동안 토큰을 발급하지 않은 클라이언트 앱입니다.
• 지난 90일 동안 토큰을 요청하는 클라이언트 앱의 레코드가 없는 리소스 앱입니다.

다음 앱은 이 권장 사항에서 제외됩니다.

• Microsoft 소유 애플리케이션에서 만들거나 수정한 항목을 포함하여 Microsoft에서 관리하는 앱입니다.
• 토큰을 얻기 위해 다른 앱과 함께 작동하거나 토큰이 필요하지 않은 시나리오를 사용하도록 설정하는 데 사용되는 앱입니다.
  • 예를 들어 피어 투 피어 서버, 애플리케이션 프록시, Microsoft Entra Cloud Sync, 연결된 Single Sign-On, 암호 SSO, Office 추가 기능 및 관리 ID 는 이 권장 사항에서 제외됩니다.
• 지난 90일 이내에 만들어진 앱입니다.

값

사용하지 않는 애플리케이션을 제거하면 공격 노출 영역을 줄이고 테넌트 앱 포트폴리오를 정리하는 데 도움이 됩니다.

작업 플랜:

이 권장 사항은 Microsoft Entra 관리 센터 및 Microsoft Graph API를 사용하여 사용할 수 있습니다. 사용되지 않는 애플리케이션을 식별한 후에는 조직의 요구 사항에 따라 애플리케이션을 제거할지 또는 유지할지를 결정할 수 있습니다. 따라서 작업 계획은 다음 두 부분으로 나뉩니다.

1. 사용하지 않는 것으로 플래그가 지정된 애플리케이션을 검토합니다.
2. 애플리케이션이 필요한지 여부와 해결 방법을 확인합니다.

Microsoft Entra 관리 센터

권장 사항이 식별한 애플리케이션은 권장 사항의 맨 아래에 있는 영향을 받은 리소스 목록에 표시됩니다.

애플리케이션 검토

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>개요로 이동합니다.

3. 권장 사항 탭을 선택하고 사용하지 않는 애플리케이션 제거 권장 사항을 선택합니다.

4. 영향을 받은 리소스 테이블에서 자세한 내용을 선택하여 자세한 내용을 확인합니다.

5. 리소스 링크를 선택하여 앱에 대한 앱 등록으로 직접 이동합니다.

   • 또는 ID>앱 등록 이 권장 사항의 일부로 표시되는 애플리케이션을 찾을 수 있습니다.

   

애플리케이션이 필요한지 확인

앱이 사용되지 않는 데는 여러 가지 이유가 있습니다. 앱의 사용 시나리오 및 비즈니스 기능을 고려합니다. 예시:

• 앱이 더 이상 사용되지 않는가요?
• 앱은 일년 중 특정 시간에만 발생하는 비즈니스 기능에 사용됩니까?

애플리케이션을 제거하려면 다음을 수행합니다.

1. 테넌트에서 앱을 일시 삭제 합니다.
2. 15일을 기다린 다음 , 앱을 영구적으로 삭제합니다.

애플리케이션이 여전히 필요함을 나타내고 권장 사항을 건너뛰려면 다음을 수행합니다.

• 권장 사항 상태를 해제하거나 연기하도록 업데이트합니다.
  • 앱이 나머지 수명 주기 동안 비활성 상태로 유지되는 것으로 확인되면 해제된 상태로 사용합니다.
  • 앱이 권장 사항에 포함되어 있다고 생각되면 해제를 사용합니다.
  • 앱을 검토하는 데 더 많은 시간이 필요한 경우 연기된 사용을 사용합니다.

Microsoft Graph API

다음 요청을 사용하여 Microsoft Graph API를 사용하여 권장 사항 및 영향을 받은 리소스를 검색할 수 있습니다. Microsoft Graph API를 사용하려면 권한과 DirectoryRecommendations.Read.All 권한이 필요합니다DirectoryRecommendations.ReadWrite.All. 자세한 내용은 ID 권장 사항을 사용하는 방법을 참조 하세요.

1. Graph Explorer에 로그인합니다.
2. 드롭다운에서 HTTP 메서드로 GET를 선택합니다.

애플리케이션 검토

테넌트에 대한 모든 권장 사항을 검색하려면 다음을 수행합니다.

GET https://graph.microsoft.com/beta/directory/recommendations

응답에서 다음 패턴 {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps과 일치하는 권장 사항의 ID를 찾습니다.

영향을 받은 리소스를 식별하려면 다음을 수행합니다.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

상태에 따라 리소스를 필터링하려면(예 : 활성 리소스)

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

applicationObjectId appId 삭제하려는 사용되지 않는 앱을 식별합니다.

샘플 응답

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

애플리케이션이 필요한지 확인

앱의 사용 시나리오 및 비즈니스 기능을 고려합니다.

• 앱이 더 이상 사용되지 않는가요?
• 앱은 일년 중 특정 시간에만 발생하는 비즈니스 기능에 사용됩니까?

앱을 삭제할 수 있는 경우 다음 쿼리 중 하나를 실행하여 애플리케이션을 삭제합니다.

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

15일을 기다린 다음 Microsoft Graph API 지침을 영구적으로 삭제합니다.

관련 콘텐츠

• Microsoft Entra 권장 사항 개요 검토
• Microsoft Entra 권장 사항을 사용하는 방법 알아보기
• 권장 사항에 대한 Microsoft Graph API 속성 탐색