Come rilevare gli account utente inattivi

Negli ambienti di grandi dimensioni, gli account utente non vengono sempre eliminati quando i dipendenti lasciano un'organizzazione. Per gli amministratori IT è importante rilevare e gestire questi account utente obsoleti perché rappresentano un rischio per la sicurezza.

Questo articolo illustra un metodo per gestire gli account utente obsoleti in Microsoft Entra ID.

Nota

Questo articolo si applica solo alla ricerca di account utente inattivi in Microsoft Entra ID. Non si applica alla ricerca di account inattivi in Azure AD B2C.

Prerequisiti

Per accedere alla lastSignInDateTime proprietà tramite Microsoft Graph:

• È necessaria una licenza Microsoft Entra ID P1 o P2.

• È necessario concedere all'app le autorizzazioni di Microsoft Graph seguenti:

  • AuditLog.Read.All
  • User.Read.All

• Lettore report è il ruolo con privilegi minimi necessari per accedere ai log attività.

  • Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Che cosa sono gli account utente inattivi?

Gli account inattivi sono account utente che non sono più necessari per i membri dell'organizzazione per ottenere l'accesso alle risorse. Un identificatore chiave per gli account inattivi è che non sono stati usati per un periodo di tempo per accedere all'ambiente. Poiché gli account inattivi sono associati all'attività di accesso, è possibile usare il timestamp dell'ultima volta che un account ha tentato di accedere per rilevare gli account inattivi.

La difficoltà di questo metodo consiste nel definire la durata del periodo di tempo nel caso dell'ambiente in uso. Ad esempio, gli utenti potrebbero non accedere a un ambiente per un periodo di tempo, perché sono in vacanza. È necessario considerare tutti i motivi legittimi per non accedere all'ambiente. In molte organizzazioni, una finestra ragionevole per gli account utente inattivi è compresa tra 90 e 180 giorni.

L'ultima data di accesso offre potenziali informazioni dettagliate sulla necessità continua di un utente di accedere alle risorse. Può essere utile per determinare se l'appartenenza al gruppo o l'accesso all'app è ancora necessario o può essere rimosso. Per la gestione degli utenti esterni, è possibile determinare se un utente esterno è ancora attivo all'interno del tenant o deve essere rimosso.

Come trovare account utente inattivi

È possibile usare l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph per trovare account utente inattivi. Anche se non esiste un report predefinito per gli account utente inattivi, è possibile usare la data e l'ora dell'ultimo accesso per determinare se un account utente è inattivo.

Centro amministrativo

Per trovare l'ultima ora di accesso per un utente, è possibile esaminare l'elenco degli utenti nell'interfaccia di amministrazione di Microsoft Entra. Anche se tutti gli utenti possono visualizzare l'elenco degli utenti, alcune colonne e dettagli sono disponibili solo per gli utenti con le autorizzazioni appropriate.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Utenti>Tutti gli utenti.

3. Selezionare Gestione visualizzazione e quindi Modifica colonne.

   

4. Nell'elenco selezionare + Aggiungi colonna, selezionare Ora ultimo accesso interattivo dall'elenco, quindi selezionare Salva.

   

5. Con la colonna ora visibile nell'elenco di tutti gli utenti, selezionare Aggiungi filtro e impostare un intervallo di tempo per la ricerca usando le opzioni di filtro.

   • Selezionare < = come Operatore , quindi selezionare la data per trovare l'ultimo accesso prima di tale data selezionata.

Microsoft Graph

È possibile rilevare gli account inattivi valutando diverse proprietà. La proprietà lastSignInDateTime esposta dal signInActivity tipo di risorsa dell'API Microsoft Graph. La proprietà lastSignInDateTime mostra l'ultima volta che un utente ha tentato di eseguire un tentativo di accesso interattivo in Microsoft Entra ID. Usando questa proprietà, è possibile implementare una soluzione per gli scenari seguenti:

Data e ora dell'ultimo accesso per tutti gli utenti

Generare un report dell'ultima data di accesso di tutti gli utenti . La risposta fornisce un elenco di tutti gli utenti e l'ultimo lastSignInDateTime per ogni rispettivo utente.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Data e ora dell'ultimo accesso riuscito

Questa query è simile all'aggiunta dell'ultima data di accesso all'elenco degli utenti e al filtro in base a una data specifica nell'interfaccia di amministrazione di Microsoft Entra. È possibile richiedere un elenco di utenti con un lastSuccessfulSignInDateTime o un lastSignInDateTimeprima di una data specificata. La risposta per questa query fornisce i dettagli dell'utente, ma non fornisce l'attività di accesso degli utenti. Per visualizzare questi dettagli, prova la query nello scenario Utenti per nome.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Utenti per nome

In questo scenario si cerca un utente specifico in base al nome. La risposta per questa query include la data, l'ora e l'ID richiesta per gli ultimi accessi.

Richiesta:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Risposta:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: data e ora dell'ultimo tentativo di accesso interattivo, inclusi gli errori di accesso. Nel caso in cui l'ultimo tentativo di accesso sia riuscito, la data e l'ora di questa proprietà saranno gli stessi di quelli di lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: data e ora dell'ultimo tentativo di accesso non interattivo.
• lastSuccessfulSignInDateTime: data e ora dell'ultimo accesso interattivo riuscito.

Nota

La signInActivity proprietà supporta $filter (eq, ne, not, ge, le) ma non con altre proprietà filtrabili. È necessario specificare $select=signInActivity o $filter=signInActivity durante l'elenco degli utenti, perché la proprietà signInActivity non viene restituita per impostazione predefinita.

Considerazioni per la proprietà lastSignInDateTime

I dettagli seguenti sono correlati alla lastSignInDateTime proprietà.

• La proprietà lastSignInDateTime è esposta dal tipo di risorsa signInActivity del API Microsoft Graph.

• La proprietà non è disponibile tramite il cmdlet Get-MgAuditLogDirectoryAudit.

• Ogni accesso interattivo che ha avuto esito positivo comporta un aggiornamento dell'archivio dati sottostante. In genere, gli accessi con esito positivo vengono visualizzati nel rispettivo report di accesso entro 6 ore.

• Per generare un timestamp lastSignInDateTime, è necessario che un accesso sia andato a buon fine. Un tentativo di accesso non riuscito o riuscito, purché venga registrato nei log di accesso di Microsoft Entra, genera un timestamp lastSignInDateTime. Il valore della proprietà lastSignInDateTime potrebbe essere vuoto se:

  • L'ultimo tentativo di accesso di un utente è avvenuto prima di aprile 2020.
  • L'account utente interessato non è mai stato usato per un accesso riuscito.

• L'ultima data di accesso è associata all'oggetto utente. Il valore viene mantenuto fino al successivo accesso dell'utente. L'aggiornamento potrebbe richiedere fino a 24 ore.

Come analizzare un singolo utente nell'interfaccia di amministrazione di Microsoft Entra

Se è necessario visualizzare l'attività di accesso più recente per un utente, è possibile visualizzare i dettagli di accesso dell'utente in Microsoft Entra ID. È anche possibile usare lo scenario degli utenti di Microsoft Graph in base al nome descritto nella sezione precedente.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Utenti>Tutti gli utenti.

3. Selezionare un utente dall'elenco.

4. Nell'area Feed personale della panoramica dell'utente, individuare il riquadro Accessi.

   

La data e l'ora dell'ultimo accesso visualizzate in questo riquadro potrebbero richiedere fino a 24 ore per l'aggiornamento, il che significa che la data e l'ora potrebbero non essere aggiornate. Se è necessario visualizzare l'attività quasi in tempo reale, selezionare il collegamento Visualizza tutti gli accessi nel riquadro Accessi per visualizzare tutte le attività di accesso per l'utente.

Contenuto correlato

• Ottenere dati usando l'API di creazione report di Microsoft Entra con i certificati
• Informazioni di riferimento sulle API di controllo
• Informazioni di riferimento sulle API di report di attività di accesso