Como detectar e investigar contas de usuário inativas

Em ambientes grandes, as contas de usuário nem sempre são excluídas quando os funcionários deixam uma organização. Como administrador de TI, você quer detectar e resolver estas contas de usuário obsoletas porque elas representam um risco de segurança.

Este artigo explica um método para tratar as contas de usuário obsoletas no Microsoft Entra ID.

Observação

Esse artigo se aplica somente à localização de contas de usuário inativas no Microsoft Entra ID. Ele não se aplica à localização de contas inativas no Azure AD B2C.

Pré-requisitos

Para acessar a propriedade lastSignInDateTime usando o Microsoft Graph:

• Você precisa de uma licença Microsoft Entra ID P1 ou P2.

• Você precisa conceder ao aplicativo as seguintes permissões no Microsoft Graph:

  • AuditLog.Read.All
  • User.Read.All

• Leitor de relatórios é a função menos privilegiada necessária para acessar os logs de atividades.

  • Para uma lista completa de funções, veja Função menos privilegiada por tarefa.

O que são contas de usuário inativas?

Contas inativas são contas de usuário que não são mais necessárias aos membros de sua organização para ter acesso aos seus recursos. Um identificador chave para contas inativas é que elas não são usadas há algum tempo para entrar no seu ambiente. Como as contas inativas estão vinculadas à atividade de entrada, você pode usar o carimbo de data/hora da última vez que uma conta tentou entrar para detectar as contas inativas.

O desafio deste método é definir o que há algum tempo significa para seu ambiente. Por exemplo, os usuários podem não entrar em um ambiente há algum tempo, porque estão de férias. Considere todas as razões legítimas para não efetuar logon no seu ambiente. Em muitas organizações, uma janela razoável para contas de usuário inativas está entre 90 e 180 dias.

A última data de entrada fornece insights potenciais sobre a necessidade contínua de acesso aos recursos de um usuário. Ela pode ajudar a determinar se a associação de grupo ou o acesso ao aplicativo ainda é necessário ou pode ser removido. Para o gerenciamento de usuário externo, você pode determinar se um usuário externo ainda está ativo dentro do locatário ou deve ser removido.

Como localizar contas de usuário inativas

Você pode usar o Centro de administração do Microsoft Entra ou a API do Microsoft Graph para encontrar contas de usuário inativas. Embora não haja um relatório interno para contas de usuário inativas, você pode usar a data e a hora da última entrada para determinar se uma conta de usuário está inativa.

Centro de Administração

Para encontrar a hora do último login de um usuário, você pode verificar sua lista de usuários no Centro de Administração do Microsoft Entra. Embora todos os usuários possam ver a lista de usuários, algumas colunas e detalhes só estão disponíveis para os usuários com as permissões apropriadas.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Leitor de Relatórios.

2. Navegue até Identidade>Usuários>Todos os usuários.

3. Selecione Gerenciar visualização e, em seguida, Editar colunas.

   

4. Na lista, selecione + Adicionar coluna, selecione Último horário de entrada interativa na lista e selecione Salvar.

   

5. Com a coluna agora visível na lista de todos os usuários, selecione Adicionar de filtro e defina um período de tempo para sua pesquisa usando as opções de filtro.

   • Selecione < = como o Operador e, em seguida, selecione a data para localizar a última entrada antes da data selecionada.

Microsoft Graph

Você pode detectar contas inativas avaliando várias propriedades. A propriedade lastSignInDateTime exposta pelo tipo de recurso signInActivity da API do Microsoft Graph. A propriedade lastSignInDateTime mostra a última vez que um usuário tentou fazer uma tentativa de entrada interativa no Microsoft Entra ID. Use essa propriedade para implementar uma solução para os seguintes cenários:

Data e hora da última entrada para todos os usuários

Gerar um relatório da última data de logon de todos os usuários. A resposta fornece uma lista de todos os usuários e a última data e hora de login para cada usuário.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Data e hora da última entrada bem-sucedida

Essa consulta é semelhante à adição da última data de entrada à lista de usuários e à filtragem por uma data específica no Centro de administração do Microsoft Entra. Você pode solicitar uma lista de usuários com um lastSuccessfulSignInDateTime ou lastSignInDateTimeantes de uma data especificada. A resposta para essa consulta fornece os detalhes do usuário, mas não fornece a atividade de entrada dos usuários. Para ver esses detalhes, experimente a consulta no cenário Usuários por nome.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Usuários por nome

Nesse cenário, você pesquisa um usuário específico por nome. A resposta dessa consulta inclui a data, a hora e a ID da requisição para os últimos acessos deles.

Solicitação:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Resposta:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: A data e a hora da última tentativa de login interativa, incluindo falhas de login. No caso em que a última tentativa de login foi bem-sucedida, a data e a hora dessa propriedade serão iguais às da lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: a data e a hora da última tentativa de entrada não interativa.
• lastSuccessfulSignInDateTime: A data e hora da última entrada interativa bem-sucedida.

Observação

A propriedade signInActivity dá suporte a $filter (eq, ne, not, ge, le) mas não com quaisquer outras propriedades filtráveis. Você deve especificar $select=signInActivity ou $filter=signInActivity enquanto listar os usuários, pois a propriedade signInActivity não é retornada por padrão.

Considerações sobre a propriedade lastSignInDateTime

Os seguintes detalhes dizem respeito à propriedade lastSignInDateTime.

• A propriedade lastSignInDateTime é exposta pelo tipo de recurso signInActivity da API do Microsoft Graph.

• A propriedade não está disponível por meio do cmdlet Get-MgAuditLogDirectoryAudit.

• Cada tentativa de entrada interativa resulta em uma atualização do armazenamento de dados subjacente. Normalmente, as entradas são mostradas no relatório de entrada relacionado dentro de 6 horas.

• Para gerar um carimbo de data/hora lastSignInDateTime, você deve tentar uma entrada. Uma tentativa de entrada malsucedida ou bem-sucedida, desde que esteja registrada nos logs de entrada do Microsoft Entra, gera um carimbo de data/hora lastSignInDateTime. O valor da propriedade lastSignInDateTime poderá estar em branco se:

  • A última tentativa de entrada de um usuário ocorreu antes de abril de 2020.
  • A conta de usuário afetada nunca foi usada para uma tentativa de entrada.

• A data da última entrada está associada ao objeto do usuário. O valor é retido até a próxima entrada do usuário. Pode levar até 24 horas para ser atualizado.

Como investigar um único usuário no centro de administração do Microsoft Entra

Se você precisar exibir a atividade de entrada mais recente de um usuário, você pode exibir os detalhes da entrada do usuário no Microsoft Entra ID. Você também pode usar o cenário de usuários por nome do Microsoft Graph descrito na seção anterior.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Leitor de Relatórios.

2. Navegue até Identidade>Usuários>Todos os usuários.

3. Selecione um usuário na lista.

4. Na área Meu Feed da Visão Geral do usuário, localize o bloco Credenciais.

   

A data e a hora da última entrada mostradas neste bloco podem levar até 24 horas para serem atualizadas, o que significa que a data e a hora podem não ser atuais. Se você precisar ver a atividade em tempo quase real, selecione o link Ver todas as Credenciais no bloco Credenciais para exibir todas as atividades das credenciais desse usuário.

Conteúdo relacionado

• Obter dados usando a API de relatório do Microsoft Entra com certificados
• Referência da API de auditoria
• Referência da API de relatório de atividade de entrada