Inactieve gebruikersaccounts detecteren en onderzoeken

In grote omgevingen worden gebruikersaccounts niet altijd verwijderd wanneer werknemers een organisatie verlaten. Als IT-beheerder wilt u deze verouderde gebruikersaccounts detecteren en oplossen omdat ze een beveiligingsrisico vormen.

In dit artikel wordt een methode uitgelegd voor het afhandelen van verouderde gebruikersaccounts in Microsoft Entra-id.

Notitie

Dit artikel is alleen van toepassing op het vinden van inactieve gebruikersaccounts in Microsoft Entra-id. Het is niet van toepassing op het vinden van inactieve accounts in Azure AD B2C.

Vereisten

Ga als volgende te werk om toegang te krijgen tot de lastSignInDateTime eigenschap met Behulp van Microsoft Graph:

• U hebt een Licentie voor Microsoft Entra ID P1 of P2 nodig.

• U moet de app de volgende Microsoft Graph-machtigingen verlenen:

  • AuditLog.Read.All
  • User.Read.All

• Rapportenlezer is de minst bevoorrechte rol die is vereist voor toegang tot de activiteitenlogboeken.

  • Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.

Wat zijn inactieve gebruikersaccounts?

Inactieve accounts zijn gebruikersaccounts die niet meer nodig zijn voor leden van uw organisatie om toegang te krijgen tot uw resources. Een sleutel-id voor inactieve accounts is dat ze al een tijdje niet zijn gebruikt om u aan te melden bij uw omgeving. Omdat inactieve accounts zijn gekoppeld aan de aanmeldingsactiviteit, kunt u de tijdstempel gebruiken van de laatste keer dat een account zich heeft geprobeerd aan te melden om inactieve accounts te detecteren.

De uitdaging van deze methode is om te definiëren wat een tijdje betekent voor uw omgeving. Gebruikers kunnen zich bijvoorbeeld een tijdje niet aanmelden bij een omgeving, omdat ze op vakantie zijn. U moet rekening houden met alle legitieme redenen om u niet aan te melden bij uw omgeving. In veel organisaties is een redelijk venster voor inactieve gebruikersaccounts tussen 90 en 180 dagen.

De laatste aanmeldingsdatum biedt mogelijk inzicht in de voortdurende behoefte van een gebruiker aan toegang tot resources. Het kan nuttig zijn om te bepalen of groepslidmaatschap of app-toegang nog steeds nodig is, of kan worden verwijderd. Voor extern gebruikersbeheer kunt u bepalen of een externe gebruiker nog actief is in de tenant of moet worden verwijderd.

Inactieve gebruikersaccounts zoeken

U kunt het Microsoft Entra-beheercentrum of de Microsoft Graph API gebruiken om inactieve gebruikersaccounts te vinden. Hoewel er geen ingebouwd rapport is voor inactieve gebruikersaccounts, kunt u de laatste aanmeldingsdatum en -tijd gebruiken om te bepalen of een gebruikersaccount inactief is.

beheercentrum

Als u de laatste aanmeldingstijd voor een gebruiker wilt vinden, kunt u uw gebruikerslijst bekijken in het Microsoft Entra-beheercentrum. Hoewel alle gebruikers de lijst met gebruikers kunnen zien, zijn sommige kolommen en details alleen beschikbaar voor gebruikers met de juiste machtigingen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

2. Blader naar Identiteit>Gebruikers>Alle gebruikers.

3. Selecteer Weergave beheren en daarna Kolommen bewerken.

   

4. Selecteer in de lijst + Kolom toevoegen, selecteer vervolgens Laatste interactieve aanmeldingstijd in de lijst, en selecteer Opslaan.

   

5. Nu de kolom zichtbaar is in de lijst met alle gebruikers, selecteert u Filter toevoegen en stelt u een tijdsbestek in voor uw zoekopdracht met behulp van de filteropties.

   • Selecteer < = als Operatoren selecteer vervolgens de datum waarop u de laatste aanmeldings-wilt vinden voordat de geselecteerde datum.

Microsoft Graph

U kunt inactieve accounts detecteren door verschillende eigenschappen te evalueren. De lastSignInDateTime eigenschap die wordt weergegeven door het signInActivity resourcetype van de Microsoft Graph API. In de eigenschap lastSignInDateTime ziet u de laatste keer dat een gebruiker een interactieve aanmeldingspoging heeft uitgevoerd in Microsoft Entra ID. Met deze eigenschap kunt u een oplossing implementeren voor de volgende scenario's:

Datum en tijd van laatste aanmelding voor alle gebruikers

Genereer een rapport over de laatste aanmeldingsdatum van alle gebruikers. Het antwoord bevat een lijst met alle gebruikers en de laatste lastSignInDateTime voor elke respectieve gebruiker.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Laatste geslaagde aanmeldingsdatum en -tijd

Deze query is vergelijkbaar met het toevoegen van de laatste aanmeldingsdatum aan de lijst met gebruikers en het filteren op een specifieke datum in het Microsoft Entra-beheercentrum. U kunt een lijst met gebruikers met een lastSuccessfulSignInDateTime of lastSignInDateTimeaanvragen voordat een opgegeven datum. Het antwoord voor deze query bevat de details van de gebruiker, maar biedt de aanmeldingsactiviteit van de gebruikers niet. Als u deze details wilt zien, probeer de query in het Gebruikers op naam scenario.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Gebruikers op naam

In dit scenario zoekt u naar een specifieke gebruiker op naam. Het antwoord voor deze query bevat de datum, tijd en aanvraag-id voor hun laatste aanmeldingen.

Aanvraag:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Antwoord:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: de datum en tijd van de laatste interactieve aanmeldingspoging, inclusief aanmeldingsfouten. In het geval dat de laatste aanmeldingspoging is geslaagd, is de datum en tijd van deze eigenschap hetzelfde als de lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: de datum en tijd van de laatste niet-interactieve aanmeldingspoging.
• lastSuccessfulSignInDateTime: de datum en tijd van de laatste geslaagde interactieve aanmelding.

Notitie

De signInActivity eigenschap ondersteunt $filter (eq, ne, not, ge, ) lemaar niet met andere filterbare eigenschappen. U moet gebruikers opgeven $select=signInActivity of $filter=signInActivity vermelden, omdat de eigenschap signInActivity niet standaard wordt geretourneerd.

Overwegingen voor de eigenschap lastSignInDateTime

De volgende details hebben betrekking op de lastSignInDateTime eigenschap.

• De eigenschap lastSignInDateTime wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API.

• De eigenschap is niet beschikbaar via de cmdlet Get-MgAuditLogDirectoryAudit.

• Elke interactieve aanmeldingspoging resulteert in een update van het onderliggende gegevensarchief. Aanmeldingen worden doorgaans binnen 6 uur weergegeven in het gerelateerde aanmeldingsrapport.

• Als u een lastSignInDateTime-tijdstempel wilt genereren, moet u een aanmelding proberen. Een mislukte of geslaagde aanmeldingspoging, zolang deze is vastgelegd in de aanmeldingslogboeken van Microsoft Entra, genereert een tijdstempel lastSignInDateTime. De waarde van de eigenschap lastSignInDateTime is mogelijk leeg als:

  • De laatste poging tot aanmelding van een gebruiker vond plaats vóór april 2020.
  • Het betrokken gebruikersaccount is nooit gebruikt voor een aanmeldingspoging.

• De laatste aanmeldingsdatum is gekoppeld aan het gebruikersobject. De waarde wordt bewaard tot de volgende aanmelding van de gebruiker. Het kan tot 24 uur duren voordat deze is bijgewerkt.

Eén gebruiker onderzoeken in het Microsoft Entra-beheercentrum

Als u de meest recente aanmeldingsactiviteit voor een gebruiker wilt bekijken, kunt u de aanmeldingsgegevens van de gebruiker bekijken in Microsoft Entra-id. U kunt de Microsoft Graph-gebruikers ook gebruiken op naamscenario dat in de vorige sectie is beschreven.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

2. Blader naar Identiteit>Gebruikers>Alle gebruikers.

3. Selecteer een gebruiker uit de lijst.

4. Zoek in het gebied Mijn feed van het overzicht van de gebruiker de tegel Aanmeldingen .

   

Het kan tot 24 uur duren voordat de datum en tijd van de laatste aanmelding op deze tegel zijn bijgewerkt. Dit betekent dat de datum en tijd mogelijk niet actueel zijn. Als u de activiteit bijna in realtime wilt zien, selecteert u de koppeling Alle aanmeldingen weergeven op de tegel Aanmeldingen om alle aanmeldingsactiviteiten voor die gebruiker weer te geven.

Gerelateerde inhoud

• Gegevens ophalen met behulp van de Rapportage-API van Microsoft Entra met certificaten
• Audit API-verwijzing
• Verwijzing naar rapport-API voor aanmeldingsactiviteit