Recomendação do Microsoft Entra: remover aplicativos não usados (versão prévia)

Artigo
11/06/2024

As Recomendações do Microsoft Entra são um recurso que fornece insights personalizados e diretrizes acionáveis para alinhar o locatário com as melhores práticas.

Este artigo aborda a recomendação para investigar aplicativos não utilizados. Essa recomendação é chamada de StaleApps na API de recomendações do Microsoft Graph.

Pré-requisitos

Há requisitos de função diferentes para exibir ou atualizar uma recomendação. Use a função com privilégios mínimos para o tipo de acesso necessário. Para obter uma lista completa de funções, confira Funções com privilégios mínimos por tarefa.

Função do Microsoft Entra	Tipo de acesso
Leitor de Relatórios	Somente leitura
Leitor de segurança	Somente leitura
Leitor global	Somente leitura
Administrador de Política de Autenticação	Atualizar e ler
Administrador do Exchange	Atualizar e ler
Administrador de Segurança	Atualizar e ler
`DirectoryRecommendations.Read.All`	Somente leitura no Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Atualizar e ler no Microsoft Graph

Algumas recomendações podem exigir uma licença P2 ou outra. Para obter mais informações, consulte Requisitos de disponibilidade e licença de recomendação.

Descrição

Esta recomendação será mostrada se o seu locatário tiver aplicativos que não foram usadas há mais de 90 dias. Os cenários a seguir estão incluídos nesta recomendação:

O aplicativo foi criado, mas nunca usado.
O aplicativo não é excluído temporariamente do portfólio de aplicativos.
O aplicativo não é usado pelo locatário em que reside nem por nenhuma de suas instâncias (Entidade de Serviço) em outros locatários.
É um aplicativo cliente que chama outros aplicativos de recurso, mas não foi emitido nenhum token nos últimos 90 dias.
É um aplicativo de recursos que não tem um registro de nenhum aplicativo cliente solicitando um token nos últimos 90 dias.

Os seguintes aplicativos são isentos desta recomendação:

Aplicativos gerenciados pela Microsoft, incluindo qualquer coisa criada ou modificada por aplicativos de propriedade da Microsoft.
Aplicativos que funcionam com outros aplicativos para obter tokens ou são usados para habilitar cenários que não exigem tokens.
- Por exemplo, Servidor ponto a ponto, Proxy de aplicativo, Microsoft Entra Cloud Sync, logon único vinculado, SSO de senha, suplementos do Office e identidades gerenciadas não estão incluídos nessa recomendação.
Aplicativos que foram criados nos últimos 90 dias.

Valor

A remoção de aplicativos não utilizados ajuda a reduzir a área da superfície de ataque e ajuda a limpar o portfólio de aplicativos de um locatário.

Plano de ação

Esta recomendação está disponível no centro de administração do Microsoft Entra e usando a API do Microsoft Graph. Depois de identificar os aplicativos que não estão sendo usados, você pode decidir se deseja removê-los ou mantê-los com base nas necessidades da sua organização. Portanto, o plano de ação é dividido em duas partes:

Examine os aplicativos sinalizados como não utilizados.
Determine se o aplicativo é necessário e como resolvê-lo.

Centro de administração do Microsoft Entra
API do Microsoft Graph

Os aplicativos identificados pela recomendação aparecem na lista de recursos afetados na parte inferior da recomendação.

Examinar os aplicativos

Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Visão Geral.
Selecione a guia Recomendações e selecione a recomendação Remover aplicativos não utilizados.
Na tabela Recursos afetados, selecione Mais detalhes para exibir mais detalhes.
Selecione o link Recurso para ir diretamente para o registro do aplicativo.
- Como alternativa, você pode navegar atéIdentidade>Aplicativos>Registros de aplicativo e selecione o aplicativo exibido como parte dessa recomendação.

Determinar se o aplicativo é necessário

Há muitos motivos pelos quais um aplicativo pode não ser utilizado. Considere o cenário de uso do aplicativo e a função de negócios. Por exemplo:

O aplicativo foi preterido?
O aplicativo é usado para uma função de negócios que só acontece em determinadas épocas do ano?

Para remover o aplicativo:

Exclua temporariamente o aplicativo do seu locatário.
Aguarde 15 dias e exclua permanentemente o aplicativo.

Para indicar que o aplicativo ainda é necessário e ignorar a recomendação:

Atualize o status da recomendação para ignorado ou adiado.
- Use ignorado se for determinado que o aplicativo permanecerá inativo pelo resto do ciclo de vida.
- Use ignorado se você achar que o aplicativo foi incluído na recomendação por erro.
- Use adiado se precisar de mais tempo para examinar o aplicativo.

As solicitações a seguir podem ser usadas para recuperar a recomendação e os recursos afetados usando a API do Microsoft Graph. Para usar a API do Microsoft Graph, você precisa das permissões DirectoryRecommendations.Read.All e DirectoryRecommendations.ReadWrite.All. Para obter mais informações, consulte Como usar as recomendações de identidade.

Inicie a sessão no Explorador de gráficos.
Selecione GET como o método HTTP na lista suspensa.

Examinar os aplicativos

Para recuperar todas as recomendações para seu locatário:

GET https://graph.microsoft.com/beta/directory/recommendations

Na resposta, localize a ID da recomendação que corresponde ao seguinte padrão: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Para identificar os recursos afetados:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Para filtrar os recursos com base em seu status (por exemplo, recursos ativos):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

Identifique o applicationObjectId ou appId do aplicativo não utilizado que você deseja excluir.

Resposta de exemplo

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Determinar se o aplicativo é necessário

Considere o cenário de uso do aplicativo e a função de negócios:

O aplicativo foi preterido?
O aplicativo é usado para uma função de negócios que só acontece em determinadas épocas do ano?

Se você puder excluir o aplicativo, execute uma das seguintes consultas para excluí-lo:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Aguarde 15 dias e siga a diretriz Excluir permanentemente um item da API do Microsoft Graph.

Compartilhar via

Recomendação do Microsoft Entra: remover aplicativos não usados (versão prévia)

Pré-requisitos

Descrição

Valor

Plano de ação

Examinar os aplicativos

Determinar se o aplicativo é necessário

Examinar os aplicativos

Resposta de exemplo

Determinar se o aplicativo é necessário

Comentários

Recursos adicionais

Compartilhar via

Recomendação do Microsoft Entra: remover aplicativos não usados (versão prévia)

Pré-requisitos

Descrição

Valor

Plano de ação

Examinar os aplicativos

Determinar se o aplicativo é necessário

Conteúdo relacionado

Comentários

Recursos adicionais