Microsoft Entra 建議：移除未使用的應用程式 （預覽）

Microsoft Entra 建議 是一項功能，提供您個人化的深入洞察和可執行的指導，讓您的租戶符合推薦的最佳實踐。

本文涵蓋調查未使用之應用程式的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 staleApps。

Note

透過 Microsoft Security Copilot，您可以使用自然語言提示來取得未使用應用程式的見解。 使用 Microsoft Security Copilot深入瞭解如何 評估應用程式風險。

必要條件

There are different role requirements for viewing or updating a recommendation. 針對所需的存取類型，使用最低特殊權限角色。 如需角色的完整清單，請參閱＜工作的最低特殊權限角色＞。

Microsoft Entra role	存取類型
報告閱讀器	Read-only
安全讀取器	Read-only
全球讀者	Read-only
驗證原則管理員	Update and read
Exchange 系統管理員	Update and read
安全性系統管理員	Update and read
DirectoryRecommendations.Read.All	Read-only in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	在 Microsoft Graph 上進行更新和讀取

某些建議可能需要 P2 或其他授權。 如需詳細資訊，請參閱 Recommendations 概觀數據表。

描述

如果您的租用戶有超過90天未使用的應用程式，就會顯示這項建議。 此建議包含下列案例：

• 應用程式已建立，但從未使用過。
• The app isn't soft deleted from the application portfolio.
• The app isn't used by the tenant where it resides nor any of its instances (Service Principal) in other tenants.
• 這是呼叫其他資源應用程式的用戶端應用程式，但在過去90天內尚未發出任何令牌。
• 這是資源應用程式，過去90天內沒有任何用戶端應用程式要求令牌的記錄。

下列應用程式不受此建議的豁免：

• 由Microsoft管理的應用程式，包括由Microsoft擁有的應用程式所建立或修改的任何專案。
• Apps that work with other apps to obtain tokens or are used to enable scenarios that don't require tokens.
  • 例如，點對點伺服器、應用程式代理、Microsoft Entra Cloud Sync、連結式單一登入、密碼 SSO、Office 增益集和 受管理的身分識別都排除在此建議之外。
• 在過去90天內建立的應用程式。

Value

拿掉未使用的應用程式有助於減少受攻擊面區域，並協助清除租使用者的應用程式組合。

行動方案

此建議適用於 Microsoft Entra 系統管理中心，並使用 Microsoft Graph API。 一旦您識別未使用的應用程式，您可以決定是否要根據組織的需求移除或保留它們。 因此，行動計劃分成兩個部分：

1. 檢閱標示為未使用的應用程式。
2. 判斷是否需要應用程式，以及如何加以解決。

Microsoft Entra 系統管理中心

Applications identified by the recommendation appear in the list of Impacted resources at the bottom of the recommendation.

審查應用程序

1. 以至少安全性系統管理員的身分登入Microsoft Entra 系統管理中心。

2. Browse to Identity>Overview.

3. 選取 [建議] 索引標籤，然後選取 [移除未使用的應用程式建議]。

4. 從 [受影響的資源] 數據表中，選取 [更多詳細數據] 以檢視更多詳細數據。

5. 選取 [ 資源] 連結，直接前往應用程式的應用程式註冊。

   • 或者，您可以瀏覽到 Identity>Applications>App registrations，並找出顯示為此建議一部分的應用程式。

   

判斷是否需要應用程式

應用程式可能未使用的原因有很多。 請考慮應用程式的使用案例和商務功能。 例如：

• 應用程式已被取代嗎？
• 應用程式是否只用於年度特定時間的商務功能？

若要移除應用程式：

1. Soft delete the app from your tenant.
2. 等候15天，然後 永久刪除應用程式。

To indicate the application is still needed and skip the recommendation:

• 將建議狀態 更新為 已駁回 或 已延後。
  • 如果判斷應用程式在其生命周期的其餘部分會保持非使用中狀態，請使用 關閉 。
  • Use dismissed if you think the app as included in the recommendation in error.
  • 如果您需要更多時間來檢閱應用程式，請使用 延後 。

Microsoft Graph API

下列要求可用來使用 Microsoft Graph API 擷取建議和受影響的資源。 若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。 如需詳細資訊，請參閱 如何使用身分識別建議。

1. 登入 Graph Explorer。
2. 從下拉式清單中選取 [GET] 作為 HTTP 方法。

審查應用程序

To retrieve all recommendations for your tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

從回應中，尋找符合下列模式的建議標識碼： {tenantId}_staleApps。

若要識別受影響的資源：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps

若要根據資源的狀態來篩選資源（例如啟用中的資源）：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_staleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active' 

Identify the applicationObjectId or appId of the unused app you want to delete.

範例回覆

{
    "id": "ccccdddd-2222-eeee-3333-ffff4444aaaa_staleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

判斷是否需要應用程式

請考慮應用程式的使用案例和商務功能：

• 應用程式已被取代嗎？
• 應用程式是否只用於年度特定時間的商務功能？

如果您可以移除應用程式，請執行下列其中一個查詢來移除應用程式：

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

等候 15 天，然後遵循 Microsoft Graph API 的永久刪除項目指南。

相關內容

• 檢閱 Microsoft Entra 建議概觀
• 瞭解如何使用 Microsoft Entra 建議
• 探索 Microsoft Graph API 屬性以取得建議