Zjišťování a zkoumání neaktivních uživatelských účtů

Ve velkých prostředích se uživatelské účty neodstraní vždy, když zaměstnanci opustí organizaci. Jako správce IT chcete tyto zastaralé uživatelské účty rozpoznat a vyřešit, protože představují bezpečnostní riziko.

Tento článek vysvětluje metodu pro zpracování zastaralých uživatelských účtů v Microsoft Entra ID.

Poznámka:

Tento článek se týká pouze vyhledání neaktivních uživatelských účtů v Microsoft Entra ID. Nevztahuje se na hledání neaktivních účtů v Azure AD B2C.

Požadavky

Přístup k vlastnosti pomocí Microsoft Graphu lastSignInDateTime :

• Potřebujete licenci Microsoft Entra ID P1 nebo P2.

• Aplikaci musíte udělit následující oprávnění Microsoft Graphu:

  • AuditLog.Read.All
  • User.Read.All

• Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům aktivit.

  • Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Co jsou neaktivní uživatelské účty?

Neaktivní účty jsou uživatelské účty, které už členové vaší organizace nevyžadují, aby získali přístup k vašim prostředkům. Jedním z identifikátorů klíče neaktivních účtů je to, že se ještě nějakou dobu nepoužívaly k přihlášení k vašemu prostředí. Vzhledem k tomu, že neaktivní účty jsou svázané s přihlašovací aktivitou, můžete použít časové razítko posledního pokusu o přihlášení k účtu k detekci neaktivních účtů.

Výzvou této metody je definovat, co pro vaše prostředí nějakou dobu znamená. Uživatelé se například nemusí nějakou dobu přihlašovat k prostředí, protože jsou na dovolené. Musíte zvážit všechny oprávněné důvody pro to, abyste se ke svému prostředí nepřihlásili. V mnoha organizacích je rozumné okno neaktivních uživatelských účtů mezi 90 a 180 dny.

Poslední datum přihlášení poskytuje potenciální přehled o tom, že uživatel bude nadále potřebovat přístup k prostředkům. Může vám pomoct s určením, jestli je členství ve skupině nebo přístup k aplikaci stále potřeba nebo jestli je možné ho odebrat. U správy externích uživatelů můžete určit, jestli je externí uživatel stále aktivní v rámci tenanta, nebo by se měl odebrat.

Jak najít neaktivní uživatelské účty

K vyhledání neaktivních uživatelských účtů můžete použít Centrum pro správu Microsoft Entra nebo rozhraní Microsoft Graph API. I když neexistuje integrovaná sestava pro neaktivní uživatelské účty, můžete k určení, jestli je uživatelský účet neaktivní, použít poslední datum a čas přihlášení.

Centrum pro správu

Pokud chcete najít čas posledního přihlášení pro uživatele, můžete se podívat na seznam uživatelů v Centru pro správu Microsoft Entra. I když všichni uživatelé vidí seznam uživatelů, některé sloupce a podrobnosti jsou dostupné jenom uživatelům s příslušnými oprávněními.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

3. Vyberte Spravovat zobrazení a pak Upravit sloupce.

   

4. V seznamu vyberte + Přidat sloupec, vyberte Čas posledního interaktivního přihlášení ze seznamu a pak vyberte Uložit.

   

5. Když je teď sloupec viditelný v seznamu všech uživatelů, vyberte Přidat filtr a nastavte časový rámec hledání pomocí možností filtru.

   • Vyberte < = jako operátora , a poté vyberte datum pro nalezení posledního přihlášení před tímto vybraným datem.

Microsoft Graph

Neaktivní účty můžete rozpoznat vyhodnocením několika vlastností. Vlastnost lastSignInDateTime vystavená typem signInActivityprostředku rozhraní Microsoft Graph API. Vlastnost lastSignInDateTime zobrazuje čas posledního pokusu uživatele o interaktivní pokus o přihlášení v Microsoft Entra ID. Pomocí této vlastnosti můžete implementovat řešení pro následující scénáře:

Datum a čas posledního přihlášení pro všechny uživatele

Vygenerujte sestavu data posledního přihlášení všech uživatelů. Odpověď poskytuje seznam všech uživatelů a poslední lastSignInDateTime pro každého příslušného uživatele.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Datum a čas posledního úspěšného přihlášení

Tento dotaz se podobá přidání posledního data přihlášení do seznamu uživatelů a filtrování podle konkrétního data v Centru pro správu Microsoft Entra. Můžete požádat o seznam uživatelů s lastSuccessfulSignInDateTime nebo lastSignInDateTimepřed zadaným datem. Odpověď pro tento dotaz poskytuje podrobnosti o uživateli, ale neposkytuje přihlašovací aktivitu uživatele. Pokud chcete tyto podrobnosti zobrazit, zkuste dotaz ve scénáři Uživatelé podle názvu.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Uživatelé podle jména

V tomto scénáři vyhledáte konkrétního uživatele podle jména. Odpověď pro tento dotaz zahrnuje datum, čas a ID požadavku pro jejich poslední přihlášení.

žádost:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Odpověď:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Datum a čas posledního interaktivního pokusu o přihlášení, včetně neúspěšných přihlášení. V případě, že poslední pokus o přihlášení proběhl úspěšně, bude datum a čas této vlastnosti stejné jako lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: Datum a čas posledního neinteraktivního pokusu o přihlášení.
• lastSuccessfulSignInDateTime: Datum a čas posledního úspěšného interaktivního přihlášení.

Poznámka:

Vlastnost signInActivity podporuje $filter (eq, , nenot, ge, le), ale ne s jinými filtrovatelnými vlastnostmi. Je nutné zadat nebo $select=signInActivity při $filter=signInActivity výpisu uživatelů, protože vlastnost signInActivity není ve výchozím nastavení vrácena.

Důležité informace o vlastnosti lastSignInDateTime

Následující podrobnosti se vztahují k lastSignInDateTime vlastnosti.

• Vlastnost lastSignInDateTime je vystavena typem prostředku signInActivity rozhraní Microsoft Graph API.

• Vlastnost není k dispozici prostřednictvím rutiny Get-MgAuditLogDirectoryAudit.

• Výsledkem každého interaktivního pokusu o přihlášení je aktualizace podkladového úložiště dat. Přihlášení se obvykle zobrazují v související sestavě přihlašování do 6 hodin.

• Pokud chcete vygenerovat časové razítko lastSignInDateTime, musíte se pokusit o přihlášení. Neúspěšný nebo úspěšný pokus o přihlášení, pokud je zaznamenán v protokolech přihlášení Microsoft Entra, vygeneruje časové razítko lastSignInDateTime. Hodnota vlastnosti lastSignInDateTime může být prázdná, pokud:

  • Poslední pokus o přihlášení uživatele proběhl před dubnem 2020.
  • Ovlivněný uživatelský účet se nikdy nepoužil k pokusu o přihlášení.

• Poslední datum přihlášení je přidružené k objektu uživatele. Tato hodnota se zachová až do dalšího přihlášení uživatele. Aktualizace může trvat až 24 hodin.

Jak prozkoumat jednoho uživatele v Centru pro správu Microsoft Entra

Pokud potřebujete zobrazit nejnovější přihlašovací aktivitu uživatele, můžete zobrazit podrobnosti o přihlášení uživatele v Microsoft Entra ID. Uživatele Microsoft Graphu můžete použít také podle scénáře názvu popsaného v předchozí části.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

3. Vyberte uživatele ze seznamu.

4. V oblasti Můj informační kanál přehledu uživatele vyhledejte dlaždici Přihlášení.

   

Poslední datum a čas přihlášení zobrazené na této dlaždici může trvat až 24 hodin, což znamená, že datum a čas nemusí být aktuální. Pokud potřebujete aktivitu zobrazit téměř v reálném čase, vyberte odkaz Zobrazit všechna přihlášení na dlaždici Přihlášení a zobrazte všechny přihlašovací aktivity pro daného uživatele.

Související obsah

• Získání dat pomocí rozhraní API pro generování sestav Microsoft Entra s certifikáty
• Referenční informace k rozhraní API pro audit
• Referenční informace k rozhraní API sestav aktivit přihlašování