Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍调查未使用的应用的建议。 此建议在 Microsoft Graph 的建议 API 中称为 staleApps。
注意
借助 Microsoft Security Copilot,可以使用自然语言提示来获取有关未使用应用程序的见解。 详细了解如何 使用 Microsoft Security Copilot评估应用程序风险。
先决条件
查看或更新建议有不同的角色要求。 将最低特权角色用于所需的访问类型。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读者 | 只读 |
| 安全读取者 | 只读 |
| 全局读取者 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange 管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中为只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议概述表。
说明
如果租户有超过 90 天未使用的应用,则会显示此建议。 此建议中包括下列场景:
- 此应用已创建,但从未使用过。
- 此应用没有从应用组合中软删除。
- 此应用既没有被其所在的租户使用,也没有被其他租户中的任何实例(服务主体)使用。
- 它是调用其他资源应用的客户端应用,但在过去 90 天内未向其颁发任何令牌。
- 它是一个资源应用,在过去 90 天内没有任何客户端应用请求令牌的记录。
以下应用不受此建议的约束:
- 由 Microsoft 管理的应用,包括由 Microsoft 拥有的应用创建或修改的任何应用。
- 与其他应用配合使用来获取令牌的应用,或用于启用不需要令牌的应用场景的应用。
- 例如,点对点服务器、应用代理、Microsoft Entra Cloud Sync、链接的单一登录、密码 SSO、Office 加载项和托管标识不在此建议范围内。
- 过去 90 天内创建的应用。
值
移除未使用的应用有助于减少攻击面,并有助于清理租户的应用组合。
操作计划
此建议在 Microsoft Entra 管理中心内提供,也可使用 Microsoft Graph API 获得。 确定未使用的应用后,你可以根据组织的需求决定是移除还是保留它们。 因此,操作计划分为两部分:
- 查看被标记为未使用的应用。
- 确定应用是否为必需的,以及如何处理它。
建议标识的应用程序显示在建议底部 受影响的资源 列表中。
检查应用
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>概述。
选择“建议”选项卡,然后选择“移除未使用的应用”建议。
从“受影响的资源”表中,选择“更多详细信息”以查看更多详细信息。
选择“资源”链接,以直接转到应用的注册部分。
- 或者,可以浏览到 Entra ID>应用注册 ,并找到作为此建议的一部分显示的应用程序。
确定应用是否为必需的
许多原因会导致某个应用可能未使用。 请考虑该应用的使用场景和业务功能。 例如:
- 该应用是否已被弃用?
- 该应用是否用于仅在一年中的某些时候才会发生的业务功能?
若要移除应用:
若要指示该应用仍然是必需的,请跳过此建议:
- 更新建议状态,将其更改为“已忽略”或“已推迟”。
- 如果已确定应用在其生命周期的剩余时间内将保持非活动状态,请使用“已忽略”。
- 如果你认为该应用被错误地包括在建议中,请使用“已忽略”。
- 如果你需要更多时间来检查该应用,请使用“已推迟”。