Como detetar e investigar contas de usuário inativas
Em ambientes grandes, as contas de usuário nem sempre são excluídas quando os funcionários saem de uma organização. Como administrador de TI, você deseja detetar e resolver essas contas de usuário obsoletas porque elas representam um risco de segurança.
Este artigo explica um método para lidar com contas de usuário obsoletas no Microsoft Entra ID.
Nota
Este artigo aplica-se apenas à localização de contas de utilizador inativas no Microsoft Entra ID. Não se aplica à localização de contas inativas no Azure AD B2C.
Pré-requisitos
Para acessar a propriedade usando o lastSignInDateTime
Microsoft Graph:
Você precisa de uma licença Microsoft Entra ID P1 ou P2.
Você precisa conceder ao aplicativo as seguintes permissões do Microsoft Graph:
- AuditLog.Read.All
- User.Read.All
O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de atividades.
- Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.
O que são contas de usuário inativas?
Contas inativas são contas de usuário que não são mais necessárias pelos membros da sua organização para obter acesso aos seus recursos. Um identificador de chave para contas inativas é que elas não são usadas há algum tempo para entrar no seu ambiente. Como as contas inativas estão vinculadas à atividade de entrada, você pode usar o carimbo de data/hora da última vez que uma conta tentou entrar para detetar contas inativas.
O desafio desse método é definir o que por um tempo significa para o seu ambiente. Por exemplo, os usuários podem não entrar em um ambiente por um tempo, porque estão de férias. Ao definir qual é o seu delta para contas de usuário inativas, você precisa levar em consideração todos os motivos legítimos para não entrar em seu ambiente. Em muitas organizações, o delta para contas de usuário inativas é entre 90 e 180 dias.
O último início de sessão fornece informações potenciais sobre a necessidade contínua de acesso a recursos por parte de um utilizador. Ele pode ajudar a determinar se a associação ao grupo ou o acesso ao aplicativo ainda é necessário ou pode ser removido. Para gerenciamento de usuários externos, você pode entender se um usuário externo ainda está ativo dentro do locatário ou deve ser limpo.
Detetar contas de usuário inativas com o Microsoft Graph
Você pode detetar contas inativas avaliando várias propriedades, algumas das quais estão disponíveis no beta
ponto de extremidade da API do Microsoft Graph. Não recomendamos o uso dos endpoints beta na produção, mas convidamos você a experimentá-los.
A lastSignInDateTime
propriedade exposta pelo signInActivity
tipo de recurso da API do Microsoft Graph. A propriedade lastSignInDateTime mostra a última vez que um usuário tentou fazer uma tentativa de entrada interativa no Microsoft Entra ID. Usando essa propriedade, você pode implementar uma solução para os seguintes cenários:
Data e hora do último início de sessão para todos os utilizadores: neste cenário, tem de gerar um relatório da data do último início de sessão de todos os utilizadores. Você solicita uma lista de todos os usuários e o último lastSignInDateTime para cada usuário respetivo:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Usuários por nome: Neste cenário, você procura um usuário específico por nome, o que permite avaliar o lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Usuários por data: Nesse cenário, você solicita uma lista de usuários com um lastSignInDateTime antes de uma data especificada:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Data e hora da última entrada bem-sucedida (beta): esse cenário está disponível somente no
beta
ponto de extremidade da API do Microsoft Graph. Você pode solicitar uma lista de usuários com umalastSuccessfulSignInDateTime
data antes especificada:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Nota
A signInActivity
propriedade suporta $filter
(eq
, ne
, not
, ge
, le
), mas não com quaisquer outras propriedades filtráveis. Você deve especificar $select=signInActivity
ou $filter=signInActivity
ao listar usuários, pois a propriedade signInActivity não é retornada por padrão.
Considerações para a propriedade lastSignInDateTime
Os seguintes detalhes estão relacionados com a lastSignInDateTime
propriedade.
A propriedade lastSignInDateTime é exposta pelo tipo de recurso signInActivity da API do Microsoft Graph.
A propriedade não está disponível por meio do cmdlet Get-MgAuditLogDirectoryAudit.
Cada tentativa de entrada interativa resulta em uma atualização do armazenamento de dados subjacente. Normalmente, os inícios de sessão aparecem no relatório de início de sessão relacionado no prazo de 6 horas.
Para gerar um carimbo de data/hora lastSignInDateTime, você deve tentar um login. Uma tentativa de entrada com falha ou bem-sucedida, desde que registrada nos logs de entrada do Microsoft Entra, gera um carimbo de data/hora lastSignInDateTime. O valor da propriedade lastSignInDateTime pode estar em branco se:
- A última tentativa de entrada de um usuário ocorreu antes de abril de 2020.
- A conta de utilizador afetada nunca foi utilizada para uma tentativa de início de sessão.
A data da última entrada está associada ao objeto de usuário. O valor é mantido até o próximo login do usuário. A atualização pode levar até 24 horas.
Como investigar um único usuário no centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Se precisar de ver a atividade de início de sessão mais recente de um utilizador, pode ver os detalhes de início de sessão do utilizador no Microsoft Entra ID. Você também pode usar o cenário de usuários do Microsoft Graph por nome descrito na seção anterior.
Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
Aceder a Identidade>Utilizadores>Todos os Utilizadores.
Selecione um utilizador da lista.
Na área Meu Feed da Visão Geral do usuário, localize o bloco Entradas.
A data e hora do último início de sessão apresentadas neste mosaico podem demorar até 24 horas a atualizar, o que significa que a data e a hora podem não estar atualizadas. Se precisar de ver a atividade quase em tempo real, selecione a ligação Ver todos os inícios de sessão no mosaico Inícios de sessão para ver toda a atividade de início de sessão desse utilizador.