Microsoft Entra-rekommendation: Ta bort program som inte används (förhandsversion)

Artikel
10/24/2024

Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och användbar vägledning för att anpassa din klientorganisation till rekommenderade metodtips.

Den här artikeln beskriver rekommendationen att undersöka oanvända program. Den här rekommendationen anropas StaleApps i API:et för rekommendationer i Microsoft Graph.

Förutsättningar

Det finns olika rollkrav för att visa eller uppdatera en rekommendation. Använd den minst privilegierade rollen för den typ av åtkomst som behövs. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.

Microsoft Entra-roll	Åtkomsttyp
Rapportläsare	Skrivskydd
Säkerhetsläsare	Skrivskydd
Global läsare	Skrivskydd
Administratör av autentiseringsprincip	Uppdatera och läsa
Exchange-administratör	Uppdatera och läsa
Säkerhetsadministratör	Uppdatera och läsa
`DirectoryRecommendations.Read.All`	Skrivskyddad i Microsoft Graph
`DirectoryRecommendations.ReadWrite.All`	Uppdatera och läsa i Microsoft Graph

Vissa rekommendationer kan kräva en P2- eller annan licens. Mer information finns i Rekommendationstillgänglighet och licenskrav.

beskrivning

Den här rekommendationen visas om klientorganisationen har program som inte har använts på över 90 dagar. Följande scenarier ingår i den här rekommendationen:

Appen skapades men användes aldrig.
Appen tas inte bort mjukt från programportföljen.
Appen används inte av klientorganisationen där den finns eller någon av dess instanser (tjänstens huvudnamn) i andra klienter.
Det är en klientapp som anropar andra resursappar, men som inte har utfärdats några token under de senaste 90 dagarna.
Det är en resursapp som inte har någon post för några klientappar som begär en token under de senaste 90 dagarna.

Följande appar är undantagna från den här rekommendationen:

Appar som hanteras av Microsoft, inklusive allt som skapats eller ändrats av Microsoft-ägda program.
Appar som fungerar med andra appar för att hämta token eller används för att aktivera scenarier som inte kräver token.
- Till exempel peer-to-peer-server, programproxy, Microsoft Entra Cloud Sync, länkad enkel inloggning, lösenords-SSO, Office-tillägg och hanterade identiteter undantas från den här rekommendationen.
Appar som har skapats under de senaste 90 dagarna.

Värde

Om du tar bort oanvända program kan du minska attackytan och rensa appportföljen för en klientorganisation.

Åtgärdsplan

Den här rekommendationen är tillgänglig i administrationscentret för Microsoft Entra och med hjälp av Microsoft Graph API. När du har identifierat de program som inte används kan du bestämma om du vill ta bort dem eller behålla dem baserat på organisationens behov. Handlingsplanen är därför uppdelad i två delar:

Granska de program som har flaggats som oanvända.
Kontrollera om programmet behövs och hur det ska åtgärdas.

Administrationscenter för Microsoft Entra
Microsoft Graph API

Program som rekommendationen identifierade visas i listan över påverkade resurser längst ned i rekommendationen.

Granska programmen

Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Identitetsöversikt>.
Välj fliken Rekommendationer och välj rekommendationen Ta bort oanvända program .
I tabellen Påverkade resurser väljer du Mer information för att visa mer information.
Välj länken Resurs för att gå direkt till appregistreringen för appen.
- Du kan också bläddra till Identitetsprogram>> Appregistreringar och leta reda på programmet som visades som en del av den här rekommendationen.

Kontrollera om programmet behövs

Det finns många orsaker till att en app kanske inte används. Överväg appens användningsscenario och affärsfunktion. Till exempel:

Var appen inaktuell?
Används appen för en affärsfunktion som bara sker vid vissa tidpunkter på året?

Så här tar du bort programmet:

Mjuk borttagning av appen från din klientorganisation.
Vänta 15 dagar och ta sedan bort appen permanent.

För att ange att programmet fortfarande behövs och hoppa över rekommendationen:

Uppdatera rekommendationsstatusen till avvisad eller uppskjuten.
- Använd avvisad om det fastställs att appen förblir inaktiv under resten av livscykeln.
- Använd avvisad om du tror att appen ingår i rekommendationen i fel.
- Använd uppskjuten om du behöver mer tid för att granska appen.

Följande begäranden kan användas för att hämta rekommendationen och de resurser som påverkas med hjälp av Microsoft Graph API. Om du vill använda Microsoft Graph-API:et behöver du behörigheterna DirectoryRecommendations.Read.All och DirectoryRecommendations.ReadWrite.All . Mer information finns i Använda identitetsrekommendationer.

Logga in på Graph Explorer.
Välj GET som HTTP-metod i listrutan.

Granska programmen

Så här hämtar du alla rekommendationer för din klientorganisation:

GET https://graph.microsoft.com/beta/directory/recommendations

I svaret hittar du ID:t för rekommendationen som matchar följande mönster: {tenantId}_Microsoft.Identity.IAM.Insights.StaleApps.

Så här identifierar du resurser som påverkas:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.StaleApps

Så här filtrerar du resurserna baserat på deras status (till exempel aktiva resurser):

GET https://graph.microsoft.com/beta/directory/recommendations/536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.StaleApps/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

applicationObjectId Identifiera eller appId för den oanvända app som du vill ta bort.

Exempelsvar

{
    "id": "0000000-000c-0000-000-00000000000f_Microsoft.Identity.IAM.Insights.StaleApps",
    "recommendationType": "staleApps",
    "createdDateTime": "2022-06-16T01:18:55Z",
    "impactStartDateTime": "2022-06-16T01:18:55Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "2024-07-26T14:17:24Z",
    "lastModifiedBy": "System",
    "displayName": "Remove unused applications",
    "featureAreas": [
        "applications"
    ],
    "insights": "Your tenant has some applications that have not been used in the past 90 days.",
    "benefits": "Removing unused applications improves the security posture and promotes good application hygiene.",
    "category": "identityBestPractice",
    "status": "active",
    "priority": "medium",
    "requiredLicenses": "microsoftEntraWorkloadId",
    "impactType": "apps",
    "actionSteps": [
        {
            "stepNumber": 1,
            "text": "1. Navigate to the app registration blade and delete the unused application."
        },
        {
            "stepNumber": 2,
            "text": "2. We suggest you take appropriate steps to ensure the application is not used in longer intervals of more than 90 days. If so, you should change the frequency of access such that the application’s last used time is within 90 days from its last access date."
        }
    ]
}

Kontrollera om programmet behövs

Överväg appens användningsscenario och affärsfunktion:

Var appen inaktuell?
Används appen för en affärsfunktion som bara sker vid vissa tidpunkter på året?

Om du kan ta bort appen kör du någon av följande frågor för att ta bort programmet:

DELETE /applications/{applicationObjectId}
DELETE /applications(appId='{appId}')

Vänta 15 dagar och följ sedan vägledningen för Att permanent ta bort ett objekt i Microsoft Graph API.

Dela via

Microsoft Entra-rekommendation: Ta bort program som inte används (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Granska programmen

Kontrollera om programmet behövs

Granska programmen

Exempelsvar

Kontrollera om programmet behövs

Feedback

Ytterligare resurser

Dela via

Microsoft Entra-rekommendation: Ta bort program som inte används (förhandsversion)

Förutsättningar

beskrivning

Värde

Åtgärdsplan

Granska programmen

Kontrollera om programmet behövs

Relaterat innehåll

Feedback

Ytterligare resurser