Sdílet prostřednictvím


Zjišťování a zkoumání neaktivních uživatelských účtů

Ve velkých prostředích se uživatelské účty neodstraní vždy, když zaměstnanci opustí organizaci. Jako správce IT chcete tyto zastaralé uživatelské účty rozpoznat a vyřešit, protože představují bezpečnostní riziko.

Tento článek vysvětluje metodu pro zpracování zastaralých uživatelských účtů v Microsoft Entra ID.

Poznámka:

Tento článek se týká pouze vyhledání neaktivních uživatelských účtů v Microsoft Entra ID. Nevztahuje se na hledání neaktivních účtů v Azure AD B2C.

Požadavky

Přístup k vlastnosti pomocí Microsoft Graphu lastSignInDateTime :

  • Potřebujete licenci Microsoft Entra ID P1 nebo P2.

  • Aplikaci musíte udělit následující oprávnění Microsoft Graphu:

    • AuditLog.Read.All
    • User.Read.All
  • Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům aktivit.

Co jsou neaktivní uživatelské účty?

Neaktivní účty jsou uživatelské účty, které už členové vaší organizace nevyžadují, aby získali přístup k vašim prostředkům. Jedním z identifikátorů klíče neaktivních účtů je to, že se ještě nějakou dobu nepoužívaly k přihlášení k vašemu prostředí. Vzhledem k tomu, že neaktivní účty jsou svázané s přihlašovací aktivitou, můžete použít časové razítko posledního pokusu o přihlášení k účtu k detekci neaktivních účtů.

Výzvou této metody je definovat, co pro vaše prostředí nějakou dobu znamená. Uživatelé se například nemusí nějakou dobu přihlašovat k prostředí, protože jsou na dovolené. Při definování rozdílu neaktivních uživatelských účtů musíte zvážit všechny oprávněné důvody, proč se nepřihlašujte do svého prostředí. V mnoha organizacích je rozdíl neaktivních uživatelských účtů mezi 90 a 180 dny.

Poslední přihlášení poskytuje potenciální přehled o trvalé potřebě uživatele pro přístup k prostředkům. Může vám pomoct s určením, jestli je členství ve skupině nebo přístup k aplikaci stále potřeba nebo jestli je možné ho odebrat. U správy externích uživatelů můžete zjistit, jestli je externí uživatel stále aktivní v rámci tenanta nebo jestli by se měl vyčistit.

Detekce neaktivních uživatelských účtů pomocí Microsoft Graphu

Neaktivní účty můžete rozpoznat vyhodnocením několika vlastností, z nichž některé jsou dostupné v koncovém beta bodu rozhraní Microsoft Graph API. Nedoporučujeme používat beta koncové body v produkčním prostředí, ale pozvěte vás, abyste je vyzkoušeli.

Vlastnost lastSignInDateTime vystavená typem signInActivity prostředku rozhraní Microsoft Graph API. Vlastnost lastSignInDateTime zobrazuje čas posledního pokusu uživatele o interaktivní pokus o přihlášení v Microsoft Entra ID. Pomocí této vlastnosti můžete implementovat řešení pro následující scénáře:

  • Datum a čas posledního přihlášení pro všechny uživatele: V tomto scénáři je potřeba vygenerovat sestavu posledního data přihlášení všech uživatelů. Vyžádáte si seznam všech uživatelů a poslední lastSignInDateTime pro každého příslušného uživatele:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Uživatelé podle jména: V tomto scénáři vyhledáte konkrétního uživatele podle jména, což vám umožní vyhodnotit lastSignInDateTime:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Uživatelé podle data: V tomto scénáři si vyžádáte seznam uživatelů s lastSignInDateTime před zadaným datem:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Datum a čas posledního úspěšného přihlášení (beta verze): Tento scénář je k dispozici pouze na koncovém beta bodu rozhraní Microsoft Graph API. Můžete požádat o seznam uživatelů se zadaným datem lastSuccessfulSignInDateTime :

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Poznámka:

Vlastnost signInActivity podporuje $filter (eq, , nenot, ge, le), ale ne s jinými filtrovatelnými vlastnostmi. Je nutné zadat nebo $filter=signInActivity při $select=signInActivity výpisu uživatelů, protože vlastnost signInActivity není ve výchozím nastavení vrácena.

Důležité informace o vlastnosti lastSignInDateTime

Následující podrobnosti se vztahují k lastSignInDateTime vlastnosti.

  • Vlastnost lastSignInDateTime je vystavena typem prostředku signInActivity rozhraní Microsoft Graph API.

  • Vlastnost není k dispozici prostřednictvím rutiny Get-MgAuditLogDirectoryAudit.

  • Výsledkem každého interaktivního pokusu o přihlášení je aktualizace podkladového úložiště dat. Přihlášení se obvykle zobrazují v související sestavě přihlašování do 6 hodin.

  • Pokud chcete vygenerovat časové razítko lastSignInDateTime, musíte se pokusit o přihlášení. Neúspěšný nebo úspěšný pokus o přihlášení, pokud je zaznamenán v protokolech přihlášení Microsoft Entra, vygeneruje časové razítko lastSignInDateTime. Hodnota vlastnosti lastSignInDateTime může být prázdná, pokud:

    • Poslední pokus o přihlášení uživatele proběhl před dubnem 2020.
    • Ovlivněný uživatelský účet se nikdy nepoužil k pokusu o přihlášení.
  • Poslední datum přihlášení je přidružené k objektu uživatele. Tato hodnota se zachová až do dalšího přihlášení uživatele. Aktualizace může trvat až 24 hodin.

Jak prozkoumat jednoho uživatele v Centru pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud potřebujete zobrazit nejnovější přihlašovací aktivitu uživatele, můžete zobrazit podrobnosti o přihlášení uživatele v Microsoft Entra ID. Uživatele Microsoft Graphu můžete použít také podle scénáře názvu popsaného v předchozí části.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

  3. Vyberte uživatele ze seznamu.

  4. V oblasti Můj informační kanál přehledu uživatele vyhledejte dlaždici Přihlášení.

    Snímek obrazovky se stránkou přehledu uživatele se zvýrazněnou dlaždicí aktivit přihlašování

Poslední datum a čas přihlášení zobrazené na této dlaždici může trvat až 24 hodin, což znamená, že datum a čas nemusí být aktuální. Pokud potřebujete aktivitu zobrazit téměř v reálném čase, vyberte odkaz Zobrazit všechna přihlášení na dlaždici Přihlášení a zobrazte všechny přihlašovací aktivity pro daného uživatele.