Microsoft Entra 建议:移除未使用的应用程序(预览)

Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。

本文介绍调查未使用的应用程序的建议。 此建议在 Microsoft Graph 的建议 API 中称为 StaleApps

先决条件

查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色

Microsoft Entra 角色 访问类型
报告读者 只读
安全读取者 只读
全局读取者 只读
身份验证策略管理员 更新和读取
Exchange 管理员 更新和读取
安全管理员 更新和读取
DirectoryRecommendations.Read.All 在 Microsoft Graph 中只读
DirectoryRecommendations.ReadWrite.All 在 Microsoft Graph 中更新和读取

某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求

说明

如果租户有超过 90 天未使用的应用程序,则会显示此建议。 此建议中包括下列场景:

  • 此应用已创建,但从未使用过。
  • 此应用没有从应用程序组合中软删除
  • 此应用既没有被其所在的租户使用,也没有被其他租户中的任何实例(服务主体)使用。
  • 它是调用其他资源应用的客户端应用,但在过去 90 天内未颁发任何令牌。
  • 它是一个资源应用,在过去 90 天内没有任何客户端应用请求令牌的记录。

以下应用不受此建议的约束:

  • 由 Microsoft 管理的应用,包括由 Microsoft 拥有的应用程序创建或修改的任何应用。
  • 使用其他应用获取令牌或用于实现不需要令牌的方案的应用。
  • 在过去 90 天内创建的应用。

移除未使用的应用程序有助于减少攻击面,并有助于清理租户的应用组合。

操作计划

此建议在 Microsoft Entra 管理中心内提供。 确定未使用的应用程序后,你可以根据组织的需求决定是移除还是保留它们。 因此,操作计划分为两部分:

  1. 查看被标记为未使用的应用程序。
  2. 确定应用程序是否为必需的,以及如何处理它。

建议标识的应用程序将显示在建议底部的“受影响资源”列表中。

检查应用程序

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“概述”。

  3. 选择“建议”选项卡,然后选择“移除未使用的应用程序”建议。

  4. 从“受影响的资源”表中,选择“更多详细信息”以查看更多详细信息。

  5. 选择“资源”链接,以直接转到应用的应用注册。

    • 另外,你还可以浏览到“标识”>“应用程序”>“应用注册”,并找到显示为此建议一部分的应用程序。

    Microsoft Entra 应用注册页的屏幕截图。

确定应用程序是否为必需的

许多原因会导致某个应用可能未使用。 请考虑该应用的使用场景和业务功能。 例如:

  • 该应用是否已被弃用?
  • 该应用是否用于仅在一年中的特定时间发生的业务功能?

若要移除应用程序:

  1. 从你的租户中软删除该应用。
  2. 等待 15 天,然后永久删除该应用

若要指示该应用程序仍然是必需的,请跳过此建议:

  • 更新建议状态,以将其更新为“已消除”或“已推迟”。
    • 如果已确定应用在其生命周期的剩余时间内将保持非活动状态,则使用“已消除”。
    • 如果你认为该应用被错误地包括在建议中,请使用“已消除”。
    • 如果你需要更多时间来检查该应用,请使用“已推迟”。