Jak wykrywać i badać nieaktywne konta użytkowników

W dużych środowiskach konta użytkowników nie zawsze są usuwane, gdy pracownicy opuszczają organizację. Jako administrator IT chcesz wykryć i rozwiązać te przestarzałe konta użytkowników, ponieważ stanowią one zagrożenie bezpieczeństwa.

W tym artykule wyjaśniono metodę obsługi przestarzałych kont użytkowników w identyfikatorze Entra firmy Microsoft.

Uwaga

Ten artykuł dotyczy tylko znajdowania nieaktywnych kont użytkowników w identyfikatorze Entra firmy Microsoft. Nie dotyczy znajdowania nieaktywnych kont w usłudze Azure AD B2C.

Wymagania wstępne

Aby uzyskać dostęp do lastSignInDateTime właściwości przy użyciu programu Microsoft Graph:

• Potrzebujesz licencji Microsoft Entra ID P1 lub P2.

• Musisz przyznać aplikacji następujące uprawnienia programu Microsoft Graph:

  • AuditLog.Read.All
  • User.Read.All

• Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do uzyskania dostępu do dzienników aktywności.

  • Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Co to są nieaktywne konta użytkowników?

Nieaktywne konta to konta użytkowników, które nie są już wymagane przez członków organizacji w celu uzyskania dostępu do zasobów. Jednym z identyfikatorów kluczy dla nieaktywnych kont jest to, że nie były one używane przez jakiś czas do logowania się do środowiska. Ponieważ nieaktywne konta są powiązane z działaniem logowania, możesz użyć znacznika czasu ostatniego próby zalogowania się konta w celu wykrycia nieaktywnych kont.

Wyzwaniem tej metody jest zdefiniowanie tego, co przez jakiś czas oznacza dla danego środowiska. Na przykład użytkownicy mogą nie zalogować się do środowiska na chwilę, ponieważ są na wakacjach. Należy rozważyć wszystkie uzasadnione powody nie logowania się do środowiska. W wielu organizacjach rozsądnym oknem dla nieaktywnych kont użytkowników jest od 90 do 180 dni.

Ostatnia data logowania zapewnia potencjalne szczegółowe informacje na temat ciągłego zapotrzebowania użytkownika na dostęp do zasobów. Może to pomóc w ustaleniu, czy członkostwo w grupie lub dostęp do aplikacji jest nadal potrzebne lub może zostać usunięte. W przypadku zarządzania użytkownikami zewnętrznymi można określić, czy użytkownik zewnętrzny jest nadal aktywny w dzierżawie, czy powinien zostać usunięty.

Jak znaleźć nieaktywne konta użytkowników

Aby znaleźć nieaktywne konta użytkowników, możesz użyć centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph. Chociaż nie ma wbudowanego raportu dla nieaktywnych kont użytkowników, możesz użyć daty i godziny ostatniego logowania, aby określić, czy konto użytkownika jest nieaktywne.

Centrum administracyjne

Aby znaleźć czas ostatniego logowania użytkownika, możesz przejrzeć listę użytkowników w centrum administracyjnym firmy Microsoft Entra. Chociaż wszyscy użytkownicy mogą wyświetlać listę użytkowników, niektóre kolumny i szczegóły są dostępne tylko dla użytkowników z odpowiednimi uprawnieniami.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

3. Wybierz pozycję Zarządzaj widokiem, a następnie Edytuj kolumny.

   

4. Z listy wybierz pozycję + Dodaj kolumnę, wybierz pozycję Ostatni interakcyjny czas logowania z listy, a następnie wybierz pozycję Zapisz.

   

5. Po wyświetleniu kolumny na liście wszystkich użytkowników wybierz pozycję Dodaj filtr i ustaw przedział czasu wyszukiwania przy użyciu opcji filtru.

   • Wybierz pozycję < = jako Operator, a następnie wybierz datę, aby znaleźć ostatni logowania przed wybranej daty.

Microsoft Graph

Konta nieaktywne można wykryć, oceniając kilka właściwości. Właściwość lastSignInDateTime uwidoczniona przez signInActivity typ zasobu interfejsu API programu Microsoft Graph. Właściwość lastSignInDateTime pokazuje, kiedy ostatni raz użytkownik próbował wykonać interaktywną próbę logowania w identyfikatorze Entra firmy Microsoft. Korzystając z tej właściwości, można zaimplementować rozwiązanie dla następujących scenariuszy:

Data i godzina ostatniego logowania dla wszystkich użytkowników

Wygeneruj raport daty ostatniego logowania wszystkich użytkowników. Odpowiedź zawiera listę wszystkich użytkowników i ostatnią datę logowania dla każdego użytkownika.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Data i godzina ostatniego pomyślnego logowania

To zapytanie jest podobne do dodawania daty ostatniego logowania do listy użytkowników i filtrowania według określonej daty w centrum administracyjnym firmy Microsoft Entra. Możesz zażądać listy użytkowników z lastSuccessfulSignInDateTime lub lastSignInDateTimena lub przed określoną datą. Odpowiedź na to zapytanie zawiera szczegóły użytkownika, ale nie udostępnia działań logowania użytkowników. Aby wyświetlić te szczegóły, wykonaj zapytanie w ramach scenariusza Użytkownicy według nazwy.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Użytkownicy według nazwy

W tym scenariuszu wyszukasz określonego użytkownika według nazwy. Odpowiedź na to zapytanie zawiera datę, godzinę i identyfikator żądania dla ostatnich logowań.

Żądanie:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Odpowiedź:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: data i godzina ostatniej próby logowania interakcyjnego, w tym błędy logowania. W przypadku, gdy ostatnia próba logowania zakończyła się pomyślnie, data i godzina tego atrybutu będą takie same co lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: data i godzina ostatniej nieinterakcyjnej próby logowania.
• lastSuccessfulSignInDateTime: data i godzina ostatniego pomyślnego logowania interakcyjnego.

Uwaga

Właściwość obsługuje (, , , signInActivity$filter, eq), ne, które można filtrować. notgele Musisz określić $select=signInActivity lub $filter=signInActivity podczas wyświetlania listy użytkowników, ponieważ właściwość signInActivity nie jest domyślnie zwracana.

Zagadnienia dotyczące właściwości lastSignInDateTime

Poniższe szczegóły odnoszą się do lastSignInDateTime właściwości .

• Właściwość lastSignInDateTime jest uwidaczniona przez typ zasobu signInActivity interfejsu API programu Microsoft Graph.

• Właściwość nie jest dostępna za pomocą polecenia cmdlet Get-MgAuditLogDirectoryAudit.

• Każda interaktywna próba logowania powoduje aktualizację bazowego magazynu danych. Zazwyczaj logowania są wyświetlane w powiązanym raporcie logowania w ciągu 6 godzin.

• Aby wygenerować znacznik czasu lastSignInDateTime, należy spróbować zalogować się. Próba logowania nie powiodła się lub zakończyła się powodzeniem, o ile jest rejestrowana w dziennikach logowania firmy Microsoft Entra, generuje znacznik czasu lastSignInDateTime. Wartość właściwości lastSignInDateTime może być pusta, jeśli:

  • Ostatnia próba logowania użytkownika miała miejsce przed kwietniem 2020 r.
  • Konto użytkownika, którego dotyczy problem, nigdy nie było używane podczas próby logowania.

• Data ostatniego logowania jest skojarzona z obiektem użytkownika. Wartość jest zachowywana do momentu następnego logowania użytkownika. Aktualizacja może potrwać do 24 godzin.

Jak zbadać pojedynczego użytkownika w centrum administracyjnym firmy Microsoft Entra

Jeśli chcesz wyświetlić najnowsze działanie logowania dla użytkownika, możesz wyświetlić szczegóły logowania użytkownika w identyfikatorze Entra firmy Microsoft. Możesz również użyć użytkowników programu Microsoft Graph według nazwy scenariusza opisanego w poprzedniej sekcji.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

3. Wybierz użytkownika z listy.

4. W obszarze Moje źródło danych w obszarze Przegląd użytkownika znajdź kafelek Logowania.

   

Ostatnia data i godzina logowania wyświetlana na tym kafelku może potrwać do 24 godzin, co oznacza, że data i godzina mogą nie być aktualne. Jeśli chcesz zobaczyć działanie niemal w czasie rzeczywistym, wybierz link Zobacz wszystkie logowania na kafelku Logowania , aby wyświetlić wszystkie działania logowania dla tego użytkownika.

Powiązana zawartość

• Pobieranie danych przy użyciu interfejsu API raportowania entra firmy Microsoft z certyfikatami
• Dokumentacja interfejsu API inspekcji
• Dokumentacja interfejsu API raportu aktywności logowania