Comment détecter et examiner les comptes d’utilisateur inactifs

Dans de grands environnements, les comptes d’utilisateur ne sont pas toujours supprimés quand les employés quittent une organisation. En tant qu’administrateur informatique, vous souhaitez détecter et résoudre ces comptes d’utilisateur obsolètes parce qu’ils constituent un risque pour la sécurité.

Cet article explique une méthode pour gérer les comptes d'utilisateurs obsolètes dans Microsoft Entra ID.

Remarque

Cet article s'applique uniquement à la recherche de comptes d'utilisateurs inactifs dans Microsoft Entra ID. Elle ne s’applique pas à la recherche de comptes inactifs dans Azure AD B2C.

Prérequis

Pour accéder à la propriété lastSignInDateTime à l’aide de Microsoft Graph :

• Vous avez besoin d’une licence Microsoft Entra ID P1 ou P2.

• Vous devez accorder à l’application les autorisations Microsoft Graph suivantes :

  • AuditLog.Read.All
  • User.Read.All

• Le Lecteur de rapports est le rôle avec le moins de privilèges nécessaire pour accéder aux journaux d’activité.

  • Pour obtenir la liste complète des rôles, consultez Rôles avec le moins de privilèges par tâche.

Que sont les comptes d’utilisateur inactifs ?

Les comptes inactifs sont des comptes d’utilisateur qui ne sont plus requis par des membres de votre organisation pour accéder à vos ressources. Un indicateur clé pour des comptes inactifs est qu’ils n’ont pas été utilisés pendant un certain temps pour se connecter à votre environnement. Dans la mesure où les comptes inactifs sont liés à l’activité de connexion, pour détecter les comptes inactifs, vous pouvez vous servir de l’horodatage de la dernière tentative de connexion d’un compte.

Le défi de cette méthode consiste à définir à quoi correspond un certain temps pour votre environnement. Par exemple, il est possible que des utilisateurs puissent ne pas se connecter à un environnement pendant un certain temps parce qu’ils sont en congés. Vous devez prendre en compte toutes les raisons légitimes de ne pas vous connecter à votre environnement. Dans de nombreuses organisations, une fenêtre raisonnable pour les comptes d’utilisateurs inactifs est comprise entre 90 et 180 jours.

La dernière date de connexion fournit des informations potentielles sur le besoin continu d’un utilisateur d’accéder aux ressources. Elle contribue à déterminer si l’appartenance au groupe ou l’accès à l’application est toujours nécessaire ou peut être supprimé. Pour la gestion des utilisateurs externes, vous pouvez déterminer si un utilisateur externe est toujours actif dans le locataire ou doit être supprimé.

Comment trouver des comptes d’utilisateur inactifs

Vous pouvez utiliser le Centre d’administration Microsoft Entra ou l’API Microsoft Graph pour rechercher des comptes d’utilisateur inactifs. Bien qu’il n’existe pas de rapport intégré pour les comptes d’utilisateur inactifs, vous pouvez utiliser la date et l’heure de la dernière connexion pour déterminer si un compte d’utilisateur est inactif.

Centre d’administration

Pour trouver la dernière heure de connexion d’un utilisateur, vous pouvez consulter votre liste d’utilisateurs dans le Centre d’administration Microsoft Entra. Bien que tous les utilisateurs puissent voir la liste des utilisateurs, certaines colonnes et détails sont uniquement disponibles pour les utilisateurs disposant des autorisations appropriées.

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

3. Sélectionnez Gérer l'affichage, puis Modifier les colonnes.

   

4. Dans la liste, sélectionnez + Ajouter une colonne, sélectionnez Dernière heure de connexion interactive dans la liste, puis sélectionnez Enregistrer.

   

5. Avec la colonne désormais visible dans la liste de tous les utilisateurs, sélectionnez Ajouter un de filtre et définissez une période de temps pour votre recherche à l’aide des options de filtre.

   • Sélectionnez < = comme opérateur de, puis sélectionnez la date pour trouver la dernière connexion avant la date sélectionnée.

Microsoft Graph

Vous pouvez détecter les comptes inactifs en évaluant plusieurs propriétés. Propriété lastSignInDateTime exposée par le type de ressource signInActivity de l’API Microsoft Graph . La propriété lastSignInDateTime indique la dernière fois qu'un utilisateur a tenté d'effectuer une tentative de connexion interactive dans Microsoft Entra ID. À l’aide de cette propriété, vous pouvez implémenter une solution pour les scénarios suivants :

Date et heure de la dernière connexion pour tous les utilisateurs

Générez un rapport de la date de dernière connexion de tous les utilisateurs . La réponse fournit une liste de tous les utilisateurs et le dernier lastSignInDateTime pour chaque utilisateur respectif.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Date et heure de la dernière connexion réussie

Cette requête est similaire à l’ajout de la dernière date de connexion à la liste des utilisateurs et au filtrage par date spécifique dans le Centre d’administration Microsoft Entra. Vous pouvez demander une liste d’utilisateurs avec une lastSuccessfulSignInDateTime ou une lastSignInDateTimeavant une date spécifiée. La réponse de cette requête fournit les détails de l’utilisateur, mais ne fournit pas l’activité de connexion des utilisateurs. Pour afficher ces détails, essayez la requête dans le scénario Utilisateurs par nom.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Utilisateurs par nom

Dans ce scénario, vous recherchez un utilisateur spécifique par nom. La réponse de cette requête inclut la date, l’heure et l’ID de demande pour leurs dernières connexions.

Requête :

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Réponse:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: date et heure de la dernière tentative de connexion interactive, y compris les échecs de connexion. Dans le cas où la dernière tentative de connexion a réussi, la date et l’heure de cette propriété seront identiques à la lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: date et heure de la dernière tentative de connexion non interactive.
• lastSuccessfulSignInDateTime: date et heure de la dernière connexion interactive réussie.

Remarque

La propriété signInActivity prend en charge $filter (eq, ne, not, ge, le), mais pas avec d’autres propriétés filtrables. Vous devez spécifier $select=signInActivity ou $filter=signInActivity lors de la liste des utilisateurs, car la propriété signInActivity n’est pas retournée par défaut.

Considérations relatives à la propriété lastSignInDateTime

Les détails suivants concernent la propriété lastSignInDateTime.

• La propriété lastSignInDateTime est exposée par le type de ressource signInActivity de l’API Microsoft Graph.

• La propriété n’est pas disponible via l’applet de commande Get-MgAuditLogDirectoryAudit.

• Chaque connexion interactive essayée aboutit à une mise à jour du magasin de données sous-jacent. En général, les connexions s’affichent dans le rapport de connexion associé dans un délai de 6 heures.

• Pour générer un horodatage lastSignInDateTime, vous devez tenter une connexion. Une tentative de connexion, échouée ou réussie, à condition qu'elle soit enregistrée dans les journaux de connexion Microsoft Entra, génère un horodatage lastSignInDateTime. La valeur de la propriété lastSignInDateTime peut être vide si :

  • La dernière tentative de connexion d’un utilisateur a eu lieu avant avril 2020.
  • Le compte d’utilisateur concerné n’a jamais été utilisé pour une tentative de connexion.

• La date de la dernière connexion est associée à l’objet utilisateur. La valeur est conservée jusqu’à la connexion suivante de l’utilisateur. La mise à jour peut prendre jusqu'à 24 heures.

Comment examiner un seul utilisateur dans le Centre d’administration Microsoft Entra

Si vous devez afficher la dernière activité de connexion d'un utilisateur, vous pouvez afficher les détails de connexion de l'utilisateur dans Microsoft Entra ID. Vous pouvez également utiliser le scénario utilisateurs par nom Microsoft Graph décrit dans la section précédente.

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.

2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

3. Sélectionnez un utilisateur dans la liste.

4. Dans la zone Mon flux de la vue d’ensemble de l’utilisateur, recherchez la mosaïque Connexions.

   

L’affichage de la date et heure de la dernière connexion sur cette mosaïque peut prendre jusqu’à 24 heures, ce qui signifie qu’il est possible qu’il ne soit pas actuel. Si vous avez besoin de voir l’activité en quasi-temps réel, sélectionnez le lien Afficher toutes les connexions dans la mosaïque Connexions pour afficher toutes les activités de connexion de cet utilisateur.

Contenu connexe

• Obtenir des données à l’aide de l’API de création de rapports Microsoft Entra avec des certificats
• Informations de référence sur l’API d’audit
• Informations de référence sur l’API de création de rapports relatifs à l’activité de connexion