Zjišťování a zkoumání neaktivních uživatelských účtů

Ve velkých prostředích se uživatelské účty neodstraní vždy, když zaměstnanci opustí organizaci. Jako správce IT chcete tyto zastaralé uživatelské účty rozpoznat a vyřešit, protože představují bezpečnostní riziko.

Tento článek vysvětluje metodu pro zpracování zastaralých uživatelských účtů v Microsoft Entra ID.

Poznámka:

Tento článek se týká pouze vyhledání neaktivních uživatelských účtů v Microsoft Entra ID. Nevztahuje se na hledání neaktivních účtů v Azure AD B2C.

Požadavky

• Pokud chcete získat přístup k vlastnosti lastSuccessfulSignInDateTime pomocí Microsoft Graphu, potřebujete licenci Microsoft Entra ID P1 nebo P2.
• Aplikaci musíte udělit následující oprávnění Microsoft Graphu:
  • AuditLog.Read.All
  • User.Read.All
• Reports Reader je role s nejmenšími oprávněními nezbytná pro přístup k záznamům o aktivitě.
  • Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Co jsou neaktivní uživatelské účty?

Neaktivní účty jsou uživatelské účty, které už členové vaší organizace nevyžadují, aby získali přístup k vašim prostředkům. Jedním z hlavních identifikátorů neaktivních účtů je, že nebyly po určitou dobu použity k přihlášení do vašeho prostředí. Vzhledem k tomu, že neaktivní účty jsou svázané s přihlašovací aktivitou, můžete použít časové razítko posledního pokusu o přihlášení k účtu k detekci neaktivních účtů.

Výzvou této metody je definovat, co pro vaše prostředí nějakou dobu znamená. Uživatelé se například nemusí nějakou dobu přihlašovat k prostředí, protože jsou na dovolené. Je důležité zvážit všechny oprávněné důvody, proč se do svého prostředí nepřihlásit. V mnoha organizacích je rozumné okno neaktivních uživatelských účtů mezi 90 a 180 dny.

Poslední datum přihlášení poskytuje potenciální přehled o tom, že uživatel bude nadále potřebovat přístup k prostředkům. Může vám pomoct s určením, jestli je členství ve skupině nebo přístup k aplikaci stále potřeba nebo jestli je možné ho odebrat. U správy externích uživatelů můžete určit, jestli je externí uživatel stále aktivní v rámci tenanta, nebo by se měl odebrat.

Jak najít a prozkoumat neaktivní uživatelské účty

K vyhledání neaktivních uživatelských účtů můžete použít Centrum pro správu Microsoft Entra nebo rozhraní Microsoft Graph API. I když neexistuje integrovaná sestava pro neaktivní uživatelské účty, můžete k určení, jestli je uživatelský účet neaktivní, použít poslední datum a čas přihlášení.

Centrum pro správu

Pokud chcete najít čas posledního přihlášení pro uživatele, můžete se podívat na seznam uživatelů v Centru pro správu Microsoft Entra. I když všichni uživatelé vidí seznam uživatelů, některé sloupce a podrobnosti jsou dostupné jenom uživatelům s příslušnými oprávněními.

Vyhledání posledního času přihlášení pro všechny uživatele

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

3. Vyberte Spravovat zobrazení a pak Upravit sloupce.

   

4. V seznamu vyberte + Přidat sloupec, vyberte Čas posledního interaktivního přihlášení ze seznamu a pak vyberte Uložit.

   

5. Když je teď sloupec viditelný v seznamu všech uživatelů, vyberte Přidat filtr a nastavte časový rámec hledání pomocí možností filtru.

   • Vyberte < = jako operátora , a poté vyberte datum pro nalezení posledního přihlášení před tímto vybraným datem.

Prozkoumání jednoho uživatele

Pokud potřebujete zobrazit nejnovější přihlašovací aktivitu uživatele, můžete zobrazit podrobnosti o přihlášení uživatele v Microsoft Entra ID. Můžete také použít rozhraní Microsoft Graph API popsané v části Uživatelé podle názvu.

1. Přihlaste se do admin centra Microsoft Entra jako alespoň Čtenář sestav.

2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

3. Vyberte uživatele ze seznamu.

4. V oblasti Můj informační kanál přehledu uživatele vyhledejte dlaždici Přihlášení.

   

Datum a čas posledního přihlášení zobrazené na této dlaždici se může aktualizovat až do 24 hodin, což znamená, že datum a čas nemusí být vždy momentálně aktuální. Pokud potřebujete aktivitu zobrazit téměř v reálném čase, vyberte odkaz Zobrazit všechna přihlášení na dlaždici Přihlášení a zobrazte všechny přihlašovací aktivity pro daného uživatele.

Microsoft Graph

Neaktivní účty můžete rozpoznat vyhodnocením několika vlastností. Vlastnost lastSignInDateTime je publikována prostředkem typu signInActivity v rozhraní Microsoft Graph API . Vlastnost lastSignInDateTime zobrazuje čas, kdy se uživatel naposledy pokusil provést interaktivní pokus o přihlášení v Microsoft Entra ID.

Pomocí této vlastnosti můžete implementovat řešení pro následující scénáře:

Datum a čas posledního přihlášení pro všechny uživatele

Vygenerujte sestavu posledního data přihlášení všech uživatelů. Odpověď poskytuje seznam všech uživatelů a poslední lastSignInDateTime pro každého příslušného uživatele.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Datum a čas posledního úspěšného přihlášení

Tento dotaz se podobá přidání posledního data přihlášení do seznamu uživatelů a filtrování podle konkrétního data v Centru pro správu Microsoft Entra. Můžete požádat o seznam uživatelů s lastSuccessfulSignInDateTime nebo lastSignInDateTimepřed zadaným datem. Odpověď pro tento dotaz poskytuje podrobnosti o uživateli, ale neposkytuje přihlašovací aktivitu uživatele. Pokud chcete tyto podrobnosti zobrazit, zkuste dotaz ve scénáři Uživatelé podle názvu.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Uživatelé podle jména

V tomto scénáři vyhledáte konkrétního uživatele podle jména. Odpověď pro tento dotaz zahrnuje datum, čas a ID požadavku pro jejich poslední přihlášení.

žádost:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Odpověď:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Datum a čas posledního interaktivního pokusu o přihlášení, včetně neúspěšných přihlášení. V případě, že poslední pokus o přihlášení byl úspěšný, datum a čas této vlastnosti jsou stejné jako lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: Datum a čas posledního neinteraktivního pokusu o přihlášení.
• lastSuccessfulSignInDateTime: Datum a čas posledního úspěšného interaktivního přihlášení.

Poznámka:

Vlastnost signInActivity podporuje $filter (eq, , nenot, ge, le), ale ne s jinými filtrovatelnými vlastnostmi. Při výpisu uživatelůje nutné zadat $select=signInActivity nebo $filter=signInActivity, protože vlastnost signInActivity není ve výchozím nastavení vrácena.

Důležité informace o vlastnosti lastSignInDateTime

Následující podrobnosti se vztahují k lastSignInDateTime vlastnosti.

• Vlastnost lastSignInDateTime je vystavena signInActivity typu prostředkurozhraní Microsoft Graph API.

• Vlastnost není k dispozici prostřednictvím cmdletu Get-MgAuditLogDirectoryAudit.

• Výsledkem každého interaktivního pokusu o přihlášení je aktualizace podkladového úložiště dat. Přihlášení se obvykle zobrazují v související přihlašovací sestavě během 6 hodin.

• Pokud chcete vygenerovat časové razítko lastSignInDateTime, musíte se pokusit o přihlášení. Neúspěšný nebo úspěšný pokus o přihlášení, pokud je zaznamenán v protokolech přihlášení Microsoft Entra, vygeneruje časové razítko lastSignInDateTime. Hodnota vlastnosti lastSignInDateTime může být prázdná, pokud:

  • Poslední pokus o přihlášení uživatele proběhl před dubnem 2020.
  • Ovlivněný uživatelský účet se nikdy nepoužil k pokusu o přihlášení.

• Poslední datum přihlášení je přidružené k objektu uživatele. Tato hodnota se zachová až do dalšího přihlášení uživatele. Aktualizace může trvat až 24 hodin.

Jak řešit neaktivní uživatele

Po identifikaci neaktivních uživatelů začněte tím, že položíte následující otázky:

• Je uživatel stále používán organizací?
• Potřebuje uživatel přístup k prostředkům, ke kterým má přístup?
• Je uživatelský účet stále potřeba z nějakého jiného důvodu?

Způsob, jakým řešíte neaktivní uživatele, závisí na vašem scénáři, ale čištění nepoužívaných účtů nebo nadprivilegovaných účtů by mělo být vaší prioritou, aby se snížila rizika zabezpečení. Následující funkce a možnosti jsou skvělým místem, kde začít, ale mějte na paměti, že některé z těchto funkcí můžou vyžadovat další licencování.

• Vyčištění zastaralých účtů hostů
• Zvažte dynamickou skupinu členství pro automatické přidávání nebo odebírání uživatelů ze skupin na základě jejich vlastností.
  • Vytvořte dynamickou skupinu členství
• Pomocí revizí přístupu správy Microsoft Entra ID auditujte přístup svých uživatelů.
  • Co jsou kontroly přístupu?
  • Doporučení pro přezkoumání přístupů

Související obsah

• Referenční informace k rozhraní API pro audit
• Referenční dokumentace k rozhraní API pro správu aktivit přihlašování