So erkennen und untersuchen Sie inaktive Benutzerkonten

In umfangreichen Umgebungen werden Benutzerkonten nicht immer gelöscht, wenn Mitarbeiter*innen eine Organisation verlassen. Als IT-Administrator*in sollten Sie diese veralteten Benutzerkonten erkennen und behandeln, da sie ein Sicherheitsrisiko darstellen.

In diesem Artikel wird ein Verfahren zum Umgang mit veralteten Benutzerkonten in Microsoft Entra ID beschrieben.

Hinweis

Dieser Artikel bezieht sich nur auf das Auffinden inaktiver Benutzerkonten in Microsoft Entra ID. Er bezieht sich nicht auf die Suche nach inaktiven Konten in Azure AD B2C.

Voraussetzungen

So greifen Sie mithilfe von Microsoft Graph auf die lastSignInDateTime-Eigenschaft zu:

• Sie benötigen eine Microsoft Entra ID P1- oder P2-Lizenz.

• Sie müssen der App die folgenden Microsoft Graph-Berechtigungen erteilen:

  • AuditLog.Read.All
  • User.Read.All

• Der Berichtsleser ist die am wenigsten privilegierte Rolle, die für den Zugriff auf Aktivitätsprotokolle erforderlich ist.

  • Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Was sind inaktive Benutzerkonten?

Bei inaktiven Konten handelt es sich um Benutzerkonten, die von Mitgliedern Ihrer Organisation nicht mehr benötigt werden, um auf Ressourcen zuzugreifen. Ein wichtiges Anzeichen für inaktive Konten ist, dass sie schon längere Zeit nicht mehr für die Anmeldung bei Ihrer Umgebung verwendet wurden. Da inaktive Konten an die Anmeldeaktivität gebunden sind, können Sie den Zeitstempel des letzten Anmeldeversuchs eines Kontos verwenden, um inaktive Konten zu erkennen.

Die Schwierigkeit bei diesem Verfahren ist die Definition der Bedeutung längere Zeit für Ihre Umgebung. Es kann beispielsweise sein, dass sich Benutzer*innen längere Zeit nicht bei einer Umgebung anmelden, weil sie im Urlaub sind. Sie müssen alle legitimen Gründe für die Anmeldung bei Ihrer Umgebung berücksichtigen. In vielen Organisationen liegt ein angemessenes Fenster für inaktive Benutzerkonten zwischen 90 und 180 Tagen.

Das letzte Anmeldedatum bietet potenzielle Einblicke in die fortbestehende Notwendigkeit eines Benutzers, auf Ressourcen zuzugreifen. Diese Erkenntnisse sind hilfreich bei der Ermittlung, ob die Gruppenmitgliedschaft oder der App-Zugriff noch benötigt wird oder entfernt werden kann. Bei der verwaltung externer Benutzer können Sie ermitteln, ob ein externer Benutzer weiterhin innerhalb des Mandanten aktiv ist oder entfernt werden soll.

So finden Sie inaktive Benutzerkonten

Sie können das Microsoft Entra Admin Center oder die Microsoft Graph-API verwenden, um inaktive Benutzerkonten zu finden. Obwohl es keinen integrierten Bericht für inaktive Benutzerkonten gibt, können Sie das datum und die Uhrzeit der letzten Anmeldung verwenden, um zu ermitteln, ob ein Benutzerkonto inaktiv ist.

Admin-Zentrum

Um die letzte Anmeldezeit für einen Benutzer zu finden, können Sie ihre Benutzerliste im Microsoft Entra Admin Center anzeigen. Während alle Benutzer die Liste der Benutzer sehen können, sind einige Spalten und Details nur für Benutzer mit den entsprechenden Berechtigungen verfügbar.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

3. Wählen Sie Ansicht verwalten und Spalten bearbeiten aus.

   

4. Wählen Sie in der Liste + Spalte hinzufügen aus. Wählen Sie dann aus der Liste die Option Zeit der letzten interaktiven Anmeldung und anschließend Speichern aus.

   

5. Wenn die Spalte jetzt in der Liste aller Benutzer sichtbar ist, wählen Sie Filter hinzufügen aus, und legen Sie einen Zeitrahmen für Ihre Suche mithilfe der Filteroptionen fest.

   • Wählen Sie < = als Operator aus, und wählen Sie anschließend das Datum aus, um die letzte Anmeldung vor dem ausgewählten Datum zu finden.

Microsoft Graph -

Sie können inaktive Konten erkennen, indem Sie mehrere Eigenschaften auswerten. Die lastSignInDateTime-Eigenschaft, die vom signInActivity-Ressourcentyp der Microsoft Graph-API verfügbar gemacht wird. Die „lastSignInDateTime“-Eigenschaft zeigt an, wann ein Benutzer das letzte Mal versucht hat, einen interaktiven Anmeldeversuch in Microsoft Entra ID zu unternehmen. Mit dieser Eigenschaft können Sie eine Lösung für die folgenden Szenarien implementieren:

Datum und Uhrzeit der letzten Anmeldung für alle Benutzer

Generieren Sie für Alle Benutzer einen Bericht zum Datum der letzten Anmeldedaten. Die Antwort stellt eine Liste aller Benutzer und die letzte lastSignInDateTime für jeden jeweiligen Benutzer bereit.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Datum und Uhrzeit der letzten erfolgreichen Anmeldung

Diese Abfrage ähnelt dem Hinzufügen des letzten Anmeldedatums zur Benutzerliste und dem Filtern nach einem bestimmten Datum im Microsoft Entra Admin Center. Sie können eine Liste der Benutzer mit lastSuccessfulSignInDateTime oder lastSignInDateTimevor einem bestimmten Datum anfordern. Die Antwort für diese Abfrage stellt die Details des Benutzers bereit, stellt aber nicht die Anmeldeaktivität des Benutzers bereit. Um diese Details anzuzeigen, probieren Sie die Abfrage im Szenario Benutzer nach Name aus.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Benutzer nach Name

In diesem Szenario suchen Sie nach einem bestimmten Benutzer anhand des Namens. Die Antwort für diese Abfrage enthält Datum, Uhrzeit und Anforderungs-ID für ihre letzten Anmeldungen.

Anforderung:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Antwort:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Das Datum und die Uhrzeit des letzten interaktiven Anmeldeversuchs, einschließlich Anmeldefehlern. Wenn der letzte Anmeldeversuch erfolgreich war, entspricht das Datum und die Uhrzeit dieser Eigenschaft dem lastSuccessfulSignInDateTime-Element.
• lastNonInteractiveSignInDateTime: Das Datum und die Uhrzeit des letzten nicht interaktiven Anmeldeversuchs.
• lastSuccessfulSignInDateTime: Das Datum und die Uhrzeit der letzten erfolgreichen interaktiven Anmeldung.

Hinweis

Die signInActivity-Eigenschaft unterstützt $filter (eq, ne, not, ge, le) außer mit anderen filterbaren Eigenschaften. Sie müssen $select=signInActivity oder $filter=signInActivity beim Auflisten von Benutzern angeben, da die „signInActivity“-Eigenschaft nicht standardmäßig zurückgegeben wird.

Überlegungen für die Eigenschaft lastSignInDateTime

Die folgenden Details beziehen sich auf die lastSignInDateTime-Eigenschaft.

• Die „lastSignInDateTime“-Eigenschaft wird vom „signInActivity“-Ressourcentyp der Microsoft Graph-API verfügbar gemacht.

• Die Eigenschaft ist nicht über das Cmdlet „Get-MgAuditLogDirectoryAudit“ verfügbar.

• Jeder interaktive Anmeldeversuch führt zu einem Update des zugrunde liegenden Datenspeichers. Normalerweise werden Anmeldungen innerhalb von 6 Stunden im zugehörigen Anmeldebericht angezeigt.

• Um einen „lastSignInDateTime“-Zeitstempel zu generieren, müssen Sie einen Anmeldeversuch vornehmen. Bei jedem in den Microsoft Entra-Anmeldeprotokollen aufgezeichneten fehlgeschlagenen oder erfolgreichen Anmeldeversuch wird ein „lastSignInDateTime“-Zeitstempel generiert. Der Wert der „lastSignInDateTime“-Eigenschaft kann in folgenden Fällen leer sein:

  • Der letzte Anmeldeversuch eines Benutzers erfolgte vor April 2020.
  • Das betroffene Benutzerkonto wurde niemals für einen Anmeldeversuch verwendet.

• Das Datum der letzten Anmeldung ist dem Benutzerobjekt zugeordnet. Der Wert wird bis zur nächsten Anmeldung des Benutzers beibehalten. Die Aktualisierung kann bis zu 24 Stunden dauern.

Untersuchen eines einzelnen Benutzers im Microsoft Entra Admin Center

Wenn Sie die aktuelle Anmeldeaktivität für einen Benutzer anzeigen müssen, können Sie die Anmeldedetails des Benutzers in Microsoft Entra ID anzeigen. Sie können auch das im vorherigen Abschnitt beschriebene Microsoft Graph-Szenario für Benutzer*innen nach Name verwenden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

3. Wählen Sie einen Benutzer aus der Liste aus.

4. Suchen Sie im Bereich Mein Feed der Übersicht des Benutzers bzw. der Benutzerin die Kachel Anmeldungen.

   

Es kann bis zu 24 Stunden dauern, bis das Datum und die Uhrzeit der letzten Anmeldung auf dieser Kachel aktualisiert werden. Das bedeutet, dass das Datum und die Uhrzeit möglicherweise nicht aktuell sind. Wenn Sie die Aktivität in Quasi-Echtzeit anzeigen müssen, wählen Sie auf der Kachel Anmeldungen den Link Alle Anmeldungen anzeigen aus, um alle Anmeldeaktivitäten für diesen Benutzer bzw. diese Benutzerin anzuzeigen.

Zugehöriger Inhalt

• Abrufen von Daten per Microsoft Entra-Berichterstellungs-API mit Zertifikaten
• Referenz zur Überwachungs-API
• Referenz zur Anmeldeaktivitätsbericht-API