Рекомендация Microsoft Entra. Удаление неиспользуемых приложений (предварительная версия)

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированные аналитические сведения и практические рекомендации по согласованию вашего клиента с рекомендованными передовыми практиками.

В этой статье рассматривается рекомендация по изучению неиспользуемых приложений. Эта рекомендация называется StaleApps в API рекомендаций Microsoft Graph.

Заметка

С помощью Microsoft Security Copilotвы можете использовать запросы естественного языка для получения аналитических сведений о неиспользуемых приложениях. Узнайте больше о том, как оценить риски приложений с помощью Microsoft Security Copilot.

Требуемые условия

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Программа для чтения отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновите и прочтите
Администратор Exchange	Обновление и чтение
Администратор безопасности	Обновите и прочитайте
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в обзорной таблице рекомендаций .

Описание

Эта рекомендация отображается, если у вашего клиента есть приложения, которые не использовались в течение более 90 дней. В эту рекомендацию включены следующие сценарии:

• Приложение было создано, но никогда не использовалось.
• Приложение не удаляется из портфеля приложений.
• Приложение не используется арендатором, в котором оно находится, ни одним из его экземпляров (Service Principal) в других арендаторах.
• Это клиентское приложение, которое вызывает другие приложения-ресурсы, но за последние 90 дней не было выдано никаких токенов.
• Это приложение ресурсов, которое не имеет записи о каких-либо клиентских приложениях, запрашивающих токен за последние 90 дней.

Следующие приложения исключены из этой рекомендации:

• Приложения, управляемые корпорацией Майкрософт, включая все созданные или измененные приложениями Майкрософт.
• Приложения, которые работают с другими приложениями для получения маркеров или используются для включения сценариев, которые не требуют маркеров.
  • Например, одноранговый сервер, приложения прокси, Microsoft Entra Cloud Sync, связанный единый вход, парольный SSO, надстройки Office и управляемые удостоверения исключены из этой рекомендации.
• Приложения, созданные за последние 90 дней.

Значение

Удаление неиспользуемых приложений помогает уменьшить область атаки и помогает очистить портфель приложений клиента.

План действий

Эта рекомендация доступна в Центре администрирования Microsoft Entra и с помощью API Microsoft Graph. После идентификации приложений, которые не используются, вы можете решить, следует ли удалить их или сохранить в зависимости от потребностей вашей организации. Поэтому план действий разбит на две части:

1. Просмотрите приложения, помеченные как неиспользуемые.
2. Определите, требуется ли приложение и как устранить его.

Центр администрирования Microsoft Entra

Приложения, определенные рекомендацией, отображаются в списке затронутых ресурсов в нижней части рекомендации.

Просмотр приложений

1. Войдите в центр администрирования Microsoft Entra в качестве администратора безопасности.

2. Перейдите к Идентификация>Обзор.

3. Перейдите на вкладку "Рекомендации" и выберите рекомендацию "Удалить неиспользуемые приложения ".

4. В таблице затронутых ресурсов выберите дополнительные сведения, чтобы просмотреть дополнительные сведения.

5. Выберите ссылку "Ресурс", чтобы перейти непосредственно к регистрации приложения.

   • Кроме того, вы можете перейти к Identity>Applications>App registrations и определить приложение, которое было обнаружено в рамках этой рекомендации.

   

Определение необходимости приложения

Существует множество причин, по которым приложение может быть неиспользуемо. Рассмотрим сценарий использования приложения и бизнес-функцию. Например:

• Приложение устарело или больше не поддерживается?
• Используется ли приложение для бизнес-функции, которая происходит только в определенное время года?

Чтобы удалить приложение, выполните следующие действия.

1. Обратимое удаление приложения из клиента.
2. Подождите 15 дней, а затем окончательно удалите приложение.

Чтобы показать, что приложение по-прежнему необходимо и пропустить рекомендацию:

• Обновите статус рекомендации на закрытую или отложенную.
  • Если определено, что приложение будет оставаться неактивным в течение остальной части жизненного цикла, используйте dismissed.
  • Используйте отклоните, если вы считаете, что включение приложения в рекомендацию было ошибочным.
  • Используйте отложенное, если требуется больше времени для просмотра приложения.

API Microsoft Graph

Следующие запросы можно использовать для получения рекомендации и затронутых ресурсов с помощью API Microsoft Graph. Чтобы использовать API Microsoft Graph, вам нужны разрешения DirectoryRecommendations.Read.All и DirectoryRecommendations.ReadWrite.All. Дополнительные сведения см. в разделе "Использование рекомендаций по идентификации".

1. Войдите в Graph Explorer.
2. Выберите метод HTTP GET в раскрывающемся списке.

Просмотр приложений

Чтобы получить все рекомендации для клиента, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations

В ответе найдите идентификатор рекомендации, которая соответствует следующему шаблону: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Чтобы определить затронутые ресурсы, выполните приведенные ниже действия.

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Чтобы отфильтровать ресурсы на основе их состояния (например, активные ресурсы):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Определите applicationObjectId или неиспользуемое appId приложение, которое вы хотите удалить.

Пример ответа

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Определение необходимости приложения

Рассмотрим сценарий использования приложения и бизнес-функцию:

• Приложение устарело?
• Используется ли приложение для бизнес-функции, которая происходит только в определенное время года?

Если вы можете удалить приложение, выполните один из следующих запросов, чтобы удалить приложение:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Подождите 15 дней, а затем следуйте указаниям по API Microsoft Graph для окончательного удаления элемента .

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Узнайте, как использовать рекомендации Microsoft Entra
• Изучение свойств API Microsoft Graph для рекомендаций