次の方法で共有


非アクティブなユーザー アカウントを検出して調査する方法

大規模な環境では、従業員が退職したときに、ユーザー アカウントが必ず削除されるとは限りません。 このような使用されなくなったユーザー アカウントはセキュリティ上のリスクとなるため、IT 管理者はそれらを検出して処理する必要があります。

この記事では、Microsoft Entra ID で古くなったユーザー アカウントを処理する方法について説明します。

Note

この記事は、Microsoft Entra ID で非アクティブなユーザー アカウントを検索する場合にのみ適用されます。 Azure AD B2C で非アクティブなアカウントを検索する場合には適用されません。

前提条件

Microsoft Graph を使用して lastSignInDateTime プロパティにアクセスするには:

  • Microsoft Entra ID P1 または P2 ライセンスが必要です。

  • 次の Microsoft Graph アクセス許可をアプリに付与する必要があります。

    • AuditLog.Read.All
    • User.Read.All
  • レポート閲覧者は、アクティビティ ログにアクセスするために必要な最小特権ロールです。

非アクティブなユーザーアカウントとは

非アクティブなアカウントとは、組織のメンバーがリソースにアクセスするためにもう必要としなくなったユーザー アカウントのことです。 非アクティブなアカウントの主要な識別要素の 1 つは、環境へのサインインにそれらが "しばらくの間" 使用されていないことです。 非アクティブなアカウントはサインイン アクティビティに関連付けられているため、アカウントが最後にサインインを試みた時刻のタイムスタンプを使用して、非アクティブなアカウントを検出できます。

この方法の課題は、自分の環境にとって "しばらくの間" が何を意味するかを定義することです。 たとえば、ユーザーが休暇中のために、"しばらくの間" 環境にサインインしていない可能性があります。 あなたの環境へのサインインをしないためのすべての正当な理由を検討する必要があります。 多くの組織では、非アクティブなユーザー アカウントの妥当な期間は 90 日から 180 日です。

最後のサインイン日は、リソースへのアクセスに対するユーザーの継続的なニーズに関する潜在的な分析情報を提供します。 グループ メンバーシップまたはアプリへのアクセスがまだ必要とされているか、それとも削除された可能性があるかを判断するのに役立つこともあります。 外部ユーザー管理では、外部ユーザーがまだテナント内でアクティブであるか、削除する必要があるかどうかを判断できます。

非アクティブなユーザー アカウントを検索する方法

Microsoft Entra 管理センターまたは Microsoft Graph API を使用して、非アクティブなユーザー アカウントを見つけることができます。 非アクティブなユーザー アカウントの組み込みレポートはありませんが、最後のサインイン日時を使用して、ユーザー アカウントが非アクティブかどうかを判断できます。

ユーザーの最後のサインイン時刻を見つけるには、Microsoft Entra 管理センターでユーザーの一覧を確認できます。 すべてのユーザーがユーザーの一覧を表示できますが、一部の列と詳細は、適切なアクセス許可を持つユーザーのみが使用できます。

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。

  2. ID>ユーザー>すべてのユーザー を参照します。

  3. [ビューの管理] を選択し、次に [列の編集] を選択します。

    管理ビュー オプションが強調表示されている [ユーザー] ビューのスクリーンショット。

  4. 一覧から [+ 列の追加] を選択し、一覧から [前回の対話型サインイン時刻] を選択し、次に [保存] を選択します。

    [最後の対話型サインイン時刻] オプションが強調表示されている [列の編集] ウィンドウのスクリーンショット。

  5. 列が[すべてのユーザー] リストに表示されたら、フィルターの追加 を選択して、フィルターオプションで検索の期間を設定します。

    • [演算子][< =] を選択し、選択したその日付より "前の" 最後のサインインを見つける日付を選択します。

最後のサインイン フィルター結果のスクリーンショット。

Microsoft Entra 管理センターでの単一ユーザーの調査方法

あるユーザーの最新のサインイン アクティビティを確認する必要がある場合は、Microsoft Entra ID でユーザーのサインインの詳細を確認できます。 前のセクションで説明した Microsoft Graph の名前による特定ユーザーのシナリオを使用することもできます。

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。

  2. ID>ユーザー>すべてのユーザー を参照します。

  3. 一覧からユーザーを選択します。

  4. ユーザーの [概要] の [マイ フィード] 領域で、[サインイン] タイルを見つけます。

    サインイン アクティビティ タイルが強調表示されているユーザー概要ページのスクリーンショット。

このタイルに表示される最終サインイン日時は、更新されるまでに最大 24 時間かかる場合があります。つまり、この日時は最新のものではない可能性があります。 ほぼリアルタイムでアクティビティを確認する必要がある場合は、[サインイン] タイルの[すべてのサインインを表示する] リンクを選択して、そのユーザーのすべてのサインイン アクティビティを表示します。