Microsoft Entra 建议:移除未使用的应用程序(预览)
Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。
本文介绍调查未使用的应用程序的建议。 此建议在 Microsoft Graph 的建议 API 中称为 StaleApps。
先决条件
查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读者 | 只读 |
| 安全读取者 | 只读 |
| 全局读取者 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange 管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求。
说明
如果租户有超过 90 天未使用的应用程序,则会显示此建议。 此建议中包括下列场景:
- 此应用已创建,但从未使用过。
- 此应用没有从应用程序组合中软删除。
- 此应用既没有被其所在的租户使用,也没有被其他租户中的任何实例(服务主体)使用。
- 它是调用其他资源应用的客户端应用,但在过去 90 天内未颁发任何令牌。
- 它是一个资源应用,在过去 90 天内没有任何客户端应用请求令牌的记录。
以下应用不受此建议的约束:
- 由 Microsoft 管理的应用,包括由 Microsoft 拥有的应用程序创建或修改的任何应用。
- 使用其他应用获取令牌或用于实现不需要令牌的方案的应用。
- 例如,对等服务器、应用程序代理、Microsoft Entra Cloud Sync、链接的单一登录、密码 SSO、Office 加载项,以及托管标识不包括在此建议中。
- 在过去 90 天内创建的应用。
值
移除未使用的应用程序有助于减少攻击面,并有助于清理租户的应用组合。
操作计划
此建议在 Microsoft Entra 管理中心内提供,并使用 Microsoft Graph API。 确定未使用的应用程序后,你可以根据组织的需求决定是移除还是保留它们。 因此,操作计划分为两部分:
- 查看被标记为未使用的应用程序。
- 确定应用程序是否为必需的,以及如何处理它。
建议标识的应用程序将显示在建议底部的“受影响资源”列表中。
检查应用程序
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”。
选择“建议”选项卡,然后选择“移除未使用的应用程序”建议。
从“受影响的资源”表中,选择“更多详细信息”以查看更多详细信息。
选择“资源”链接,以直接转到应用的应用注册。
- 另外,你还可以浏览到“标识”>“应用程序”>“应用注册”,并找到显示为此建议一部分的应用程序。
确定应用程序是否为必需的
许多原因会导致某个应用可能未使用。 请考虑该应用的使用场景和业务功能。 例如:
- 该应用是否已被弃用?
- 该应用是否用于仅在一年中的特定时间发生的业务功能?
若要移除应用程序:
若要指示该应用程序仍然是必需的,请跳过此建议:
- 更新建议状态,以将其更新为“已消除”或“已推迟”。
- 如果已确定应用在其生命周期的剩余时间内将保持非活动状态,则使用“已消除”。
- 如果你认为该应用被错误地包括在建议中,请使用“已消除”。
- 如果你需要更多时间来检查该应用,请使用“已推迟”。