Microsoft Entra 建議:移除未使用的應用程式 (預覽)
Microsoft Entra 建議 是可以提供您個人化深入解析和可操作指導,以讓您租用戶符合建議最佳實務的功能。
本文涵蓋調查未使用之應用程式的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 StaleApps。
注意
透過 Microsoft Security Copilot,您可以使用自然語言提示來取得未使用應用程式的見解。 使用 Microsoft Security Copilot深入瞭解如何
必要條件
檢視或更新建議有不同的角色需求。 針對所需的存取類型,使用最低特殊權限角色。 如需角色的完整清單,請參閱<工作的最低特殊權限角色>。
| Microsoft Entra 角色 | 存取類型 |
|---|---|
| 報告讀取者 | 唯讀 |
| 安全性讀取者 | 唯讀 |
| 全域讀取者 | 唯讀 |
| 驗證原則管理員 | 更新及讀取 |
| Exchange 系統管理員 | 更新及讀取 |
| 安全性系統管理員 | 更新及讀取 |
DirectoryRecommendations.Read.All |
Microsoft Graph 中的唯讀 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和讀取 |
某些建議可能需要 P2 或其他授權。 如需詳細資訊,請參閱<建議可用性和授權需求>。
描述
如果您的租用戶有超過90天未使用的應用程式,就會顯示這項建議。 此建議包含下列案例:
- 應用程式已建立,但從未使用過。
- 應用程式不會 從應用程式組合虛刪除 。
- 應用程式不會由其所在租使用者使用,也不會在其他租使用者中使用任何實例(服務主體)。
- 這是呼叫其他資源應用程式的用戶端應用程式,但在過去90天內尚未發出任何令牌。
- 這是資源應用程式,過去90天內沒有任何用戶端應用程式要求令牌的記錄。
下列應用程式不受此建議的豁免:
- 由Microsoft管理的應用程式,包括由Microsoft擁有的應用程式所建立或修改的任何專案。
- 與其他應用程式搭配使用以取得令牌的應用程式,或用來啟用不需要令牌的案例。
- 例如, 點對點伺服器、 應用程式 Proxy、 Microsoft Entra Cloud Sync、 鏈接的單一登錄、 密碼 SSO、 Office 載入巨集和 受控識別 都排除在此建議之外。
- 在過去90天內建立的應用程式。
值
拿掉未使用的應用程式有助於減少受攻擊面區域,並協助清除租使用者的應用程式組合。
行動方案
此建議適用於 Microsoft Entra 系統管理中心,並使用 Microsoft Graph API。 一旦您識別未使用的應用程式,您可以決定是否要根據組織的需求移除或保留它們。 因此,行動計劃分成兩個部分:
- 檢閱標示為未使用的應用程式。
- 判斷是否需要應用程式,以及如何加以解決。
所識別建議的應用程式會出現在建議底部 受影響的資源 清單中。
檢閱應用程式
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[概觀]。
選取 [建議] 索引標籤,然後選取 [移除未使用的應用程式建議]。
從 [受影響的資源] 數據表中,選取 [更多詳細數據] 以檢視更多詳細數據。
選取 [ 資源] 連結,直接前往應用程式的應用程式註冊。
- 或者,您可以流覽至 [>]應用程式註冊 並找出顯示為此建議一部分的應用程式。
判斷是否需要應用程式
應用程式可能未使用的原因有很多。 請考慮應用程式的使用案例和商務功能。 例如:
- 應用程式已被取代嗎?
- 應用程式是否只用於年度特定時間的商務功能?
若要移除應用程式:
若要指出應用程式仍然需要,並略過建議:
-
將建議狀態 更新為 已 關閉或 延後。
- 如果判斷應用程式在其生命周期的其餘部分會保持非使用中狀態,請使用 關閉 。
- 如果您認為應用程式包含在錯誤中的建議中,請使用 關閉 。
- 如果您需要更多時間來檢閱應用程式,請使用 延後 。