Aanbeveling voor Microsoft Entra: ongebruikte toepassingen verwijderen (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling besproken om ongebruikte toepassingen te onderzoeken. Deze aanbeveling wordt aangeroepen StaleApps in de aanbevelingen-API in Microsoft Graph.

Vereisten

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen-lezen
Beveiligingslezer	Alleen-lezen
Algemene lezer	Alleen-lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie De beschikbaarheids- en licentievereisten voor aanbevelingen voor meer informatie.

Beschrijving

Deze aanbeveling wordt weergegeven als uw tenant toepassingen bevat die meer dan 90 dagen niet zijn gebruikt. De volgende scenario's zijn opgenomen in deze aanbeveling:

• De app is gemaakt maar nooit gebruikt.
• De app wordt niet voorlopig verwijderd uit het toepassingsportfolio.
• De app wordt niet gebruikt door de tenant waarin deze zich bevindt of een van de exemplaren (Service Principal) in andere tenants.
• Het is een client-app die andere resource-apps aanroept, maar die de afgelopen 90 dagen geen tokens heeft uitgegeven.
• Het is een resource-app die de afgelopen 90 dagen geen record heeft van client-apps die een token aanvragen.

De volgende apps zijn uitgesloten van deze aanbeveling:

• Apps die worden beheerd door Microsoft, inclusief alles wat is gemaakt of gewijzigd door toepassingen die eigendom zijn van Microsoft.
• Apps die met andere apps werken om tokens te verkrijgen of worden gebruikt om scenario's in te schakelen waarvoor geen tokens zijn vereist.
  • Peer-to-peerserver, toepassingsproxy, Microsoft Entra Cloud Sync, gekoppelde eenmalige aanmelding, wachtwoord-SSO, Office-invoegtoepassingen en beheerde identiteiten worden bijvoorbeeld uitgesloten van deze aanbeveling.
• Apps die in de afgelopen 90 dagen zijn gemaakt.

Weergegeven als

Het verwijderen van ongebruikte toepassingen helpt het kwetsbaarheid voor aanvallen te verminderen en helpt bij het opschonen van het app-portfolio van een tenant.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API. Zodra u de toepassingen hebt geïdentificeerd die niet worden gebruikt, kunt u beslissen of u ze wilt verwijderen of behouden op basis van de behoeften van uw organisatie. Het actieplan wordt daarom onderverdeeld in twee delen:

1. Controleer de toepassingen die zijn gemarkeerd als ongebruikt.
2. Bepaal of de toepassing nodig is en hoe deze moet worden aangepakt.

Microsoft Entra-beheercentrum

Toepassingen die door de aanbeveling zijn geïdentificeerd, worden weergegeven in de lijst met betrokken resources onder aan de aanbeveling.

De toepassingen controleren

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitsoverzicht>.

3. Selecteer het tabblad Aanbevelingen en selecteer de aanbeveling Ongebruikte toepassingen verwijderen.

4. Selecteer meer details in de tabel Betrokken resources om meer details weer te geven.

5. Selecteer de resourcekoppeling om rechtstreeks naar de app-registratie voor de app te gaan.

   • U kunt ook bladeren naar identiteitstoepassingen>> App-registraties en de toepassing zoeken die is weergegeven als onderdeel van deze aanbeveling.

   

Bepalen of de toepassing nodig is

Er zijn veel redenen waarom een app mogelijk niet wordt gebruikt. Overweeg het gebruiksscenario en de bedrijfsfunctie van de app. Voorbeeld:

• Is de app afgeschaft?
• Wordt de app gebruikt voor een bedrijfsfunctie die alleen op bepaalde tijdstippen van het jaar plaatsvindt?

De toepassing verwijderen:

1. Verwijder de app voorlopig uit uw tenant.
2. Wacht 15 dagen en verwijder de app definitief.

Om aan te geven dat de toepassing nog steeds nodig is en sla de aanbeveling over:

• Werk de aanbevelingsstatus bij zodat deze wordt genegeerd of uitgesteld.
  • Gebruik gesloten als wordt vastgesteld dat de app inactief blijft voor de rest van de levenscyclus.
  • Gebruik gesloten als u denkt dat de app als fout in de aanbeveling is opgenomen.
  • Gebruik uitgesteld als u meer tijd nodig hebt om de app te controleren.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Identiteitsaanaanveling gebruiken voor meer informatie.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

De toepassingen controleren

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Betrokken resources identificeren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

De resources filteren op basis van hun status (bijvoorbeeld actieve resources):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identificeer de applicationObjectId of appId van de ongebruikte app die u wilt verwijderen.

Voorbeeldrespons

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Bepalen of de toepassing nodig is

Houd rekening met het gebruiksscenario en de bedrijfsfunctie van de app:

• Is de app afgeschaft?
• Wordt de app gebruikt voor een bedrijfsfunctie die alleen op bepaalde tijdstippen van het jaar plaatsvindt?

Als u de app kunt verwijderen, voert u een van de volgende query's uit om de toepassing te verwijderen:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Wacht 15 dagen en volg vervolgens de microsoft Graph API-richtlijnen voor een item definitief verwijderen.

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen