Zjišťování a zkoumání neaktivních uživatelských účtů
Ve velkých prostředích se uživatelské účty neodstraní vždy, když zaměstnanci opustí organizaci. Jako správce IT chcete tyto zastaralé uživatelské účty rozpoznat a vyřešit, protože představují bezpečnostní riziko.
Tento článek vysvětluje metodu pro zpracování zastaralých uživatelských účtů v Microsoft Entra ID.
Poznámka:
Tento článek se týká pouze vyhledání neaktivních uživatelských účtů v Microsoft Entra ID. Nevztahuje se na hledání neaktivních účtů v Azure AD B2C.
Požadavky
Přístup k vlastnosti pomocí Microsoft Graphu lastSignInDateTime
:
Potřebujete licenci Microsoft Entra ID P1 nebo P2.
Aplikaci musíte udělit následující oprávnění Microsoft Graphu:
- AuditLog.Read.All
- User.Read.All
Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům aktivit.
- Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.
Co jsou neaktivní uživatelské účty?
Neaktivní účty jsou uživatelské účty, které už členové vaší organizace nevyžadují, aby získali přístup k vašim prostředkům. Jedním z identifikátorů klíče neaktivních účtů je to, že se ještě nějakou dobu nepoužívaly k přihlášení k vašemu prostředí. Vzhledem k tomu, že neaktivní účty jsou svázané s přihlašovací aktivitou, můžete použít časové razítko posledního pokusu o přihlášení k účtu k detekci neaktivních účtů.
Výzvou této metody je definovat, co pro vaše prostředí nějakou dobu znamená. Uživatelé se například nemusí nějakou dobu přihlašovat k prostředí, protože jsou na dovolené. Při definování rozdílu neaktivních uživatelských účtů musíte zvážit všechny oprávněné důvody, proč se nepřihlašujte do svého prostředí. V mnoha organizacích je rozdíl neaktivních uživatelských účtů mezi 90 a 180 dny.
Poslední přihlášení poskytuje potenciální přehled o trvalé potřebě uživatele pro přístup k prostředkům. Může vám pomoct s určením, jestli je členství ve skupině nebo přístup k aplikaci stále potřeba nebo jestli je možné ho odebrat. U správy externích uživatelů můžete zjistit, jestli je externí uživatel stále aktivní v rámci tenanta nebo jestli by se měl vyčistit.
Detekce neaktivních uživatelských účtů pomocí Microsoft Graphu
Neaktivní účty můžete rozpoznat vyhodnocením několika vlastností, z nichž některé jsou dostupné v koncovém beta
bodu rozhraní Microsoft Graph API. Nedoporučujeme používat beta koncové body v produkčním prostředí, ale pozvěte vás, abyste je vyzkoušeli.
Vlastnost lastSignInDateTime
vystavená typem signInActivity
prostředku rozhraní Microsoft Graph API. Vlastnost lastSignInDateTime zobrazuje čas posledního pokusu uživatele o interaktivní pokus o přihlášení v Microsoft Entra ID. Pomocí této vlastnosti můžete implementovat řešení pro následující scénáře:
Datum a čas posledního přihlášení pro všechny uživatele: V tomto scénáři je potřeba vygenerovat sestavu posledního data přihlášení všech uživatelů. Vyžádáte si seznam všech uživatelů a poslední lastSignInDateTime pro každého příslušného uživatele:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Uživatelé podle jména: V tomto scénáři vyhledáte konkrétního uživatele podle jména, což vám umožní vyhodnotit lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Uživatelé podle data: V tomto scénáři si vyžádáte seznam uživatelů s lastSignInDateTime před zadaným datem:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Datum a čas posledního úspěšného přihlášení (beta verze): Tento scénář je k dispozici pouze na koncovém
beta
bodu rozhraní Microsoft Graph API. Můžete požádat o seznam uživatelů se zadaným datemlastSuccessfulSignInDateTime
:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Poznámka:
Vlastnost signInActivity
podporuje $filter
(eq
, , ne
not
, ge
, le
), ale ne s jinými filtrovatelnými vlastnostmi. Je nutné zadat nebo $filter=signInActivity
při $select=signInActivity
výpisu uživatelů, protože vlastnost signInActivity není ve výchozím nastavení vrácena.
Důležité informace o vlastnosti lastSignInDateTime
Následující podrobnosti se vztahují k lastSignInDateTime
vlastnosti.
Vlastnost lastSignInDateTime je vystavena typem prostředku signInActivity rozhraní Microsoft Graph API.
Vlastnost není k dispozici prostřednictvím rutiny Get-MgAuditLogDirectoryAudit.
Výsledkem každého interaktivního pokusu o přihlášení je aktualizace podkladového úložiště dat. Přihlášení se obvykle zobrazují v související sestavě přihlašování do 6 hodin.
Pokud chcete vygenerovat časové razítko lastSignInDateTime, musíte se pokusit o přihlášení. Neúspěšný nebo úspěšný pokus o přihlášení, pokud je zaznamenán v protokolech přihlášení Microsoft Entra, vygeneruje časové razítko lastSignInDateTime. Hodnota vlastnosti lastSignInDateTime může být prázdná, pokud:
- Poslední pokus o přihlášení uživatele proběhl před dubnem 2020.
- Ovlivněný uživatelský účet se nikdy nepoužil k pokusu o přihlášení.
Poslední datum přihlášení je přidružené k objektu uživatele. Tato hodnota se zachová až do dalšího přihlášení uživatele. Aktualizace může trvat až 24 hodin.
Jak prozkoumat jednoho uživatele v Centru pro správu Microsoft Entra
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Pokud potřebujete zobrazit nejnovější přihlašovací aktivitu uživatele, můžete zobrazit podrobnosti o přihlášení uživatele v Microsoft Entra ID. Uživatele Microsoft Graphu můžete použít také podle scénáře názvu popsaného v předchozí části.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyberte uživatele ze seznamu.
V oblasti Můj informační kanál přehledu uživatele vyhledejte dlaždici Přihlášení.
Poslední datum a čas přihlášení zobrazené na této dlaždici může trvat až 24 hodin, což znamená, že datum a čas nemusí být aktuální. Pokud potřebujete aktivitu zobrazit téměř v reálném čase, vyberte odkaz Zobrazit všechna přihlášení na dlaždici Přihlášení a zobrazte všechny přihlašovací aktivity pro daného uživatele.