Обнаружение и исследование неактивных учетных записей пользователей

В больших средах учетные записи пользователей не всегда удаляются, когда сотрудники покидают организацию. Как ИТ-администратор, вы хотите обнаружить и устранить эти устаревшие учетные записи пользователей, так как они представляют угрозу безопасности.

В этой статье объясняется метод обработки устаревших учетных записей пользователей в идентификаторе Microsoft Entra.

Примечание.

Эта статья относится только к поиску неактивных учетных записей пользователей в идентификаторе Microsoft Entra. Это не относится к поиску неактивных учетных записей в Azure AD B2C.

Необходимые компоненты

Чтобы получить доступ к свойству lastSignInDateTime с помощью Microsoft Graph, выполните следующие действия.

• Вам нужна лицензия Microsoft Entra ID P1 или P2.

• Необходимо предоставить приложению следующие разрешения Microsoft Graph:

  • AuditLog.Read.All
  • User.Read.All

• Средство чтения отчетов — это наименее привилегированная роль, необходимая для доступа к журналам действий.

  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Что такое неактивные учетные записи пользователей?

Неактивные учетные записи — это учетные записи пользователей, которые больше не требуются членам вашей организации для получения доступа к ресурсам. Одним из ключевых идентификаторов неактивных учетных записей является то, что они не использовались в течение некоторого времени для входа в вашу среду. Так как неактивные учетные записи привязаны к активности входа, можно использовать метку времени последнего входа учетной записи для обнаружения неактивных учетных записей.

Задача этого метода заключается в определении того, что в некоторое время означает для вашей среды. Например, пользователи могут не входить в среду в течение некоторого времени, так как они находятся в отпуске. При определении характеристик неактивной учетной записи следует учитывать все возможные причины отсутствия входа в систему. Для многих организаций характерное для неактивной учетной записи отсутствие пользователей в сети составляет 90–180 дней.

Последний вход предоставляет потенциальные аналитические сведения о постоянной потребности пользователя в доступе к ресурсам. Это поможет определить, требуется ли еще членство в группе или доступ к приложениям или их можно удалить. Если речь идет об управлении внешним пользователем, это поможет понять, активен ли он в клиенте или его данные следует очистить.

Обнаружение неактивных учетных записей пользователей с помощью Microsoft Graph

Вы можете обнаружить неактивные учетные записи, оценивая несколько свойств, некоторые из которых доступны в beta конечной точке API Microsoft Graph. Мы не рекомендуем использовать бета-конечные точки в рабочей среде, но пригласить вас попробовать их.

Свойство lastSignInDateTime , предоставляемое типом signInActivity ресурсов API Microsoft Graph. Свойство lastSignInDateTime показывает время последнего попытки пользователя выполнить интерактивную попытку входа в идентификатор Microsoft Entra. Этот параметр можно использовать для отслеживания по следующим принципам:

• Дата и время последнего входа для всех пользователей: в этом сценарии необходимо создать отчет о дате последнего входа всех пользователей. Вы запрашиваете список всех пользователей и последний lastSignInDateTime для каждого соответствующего пользователя:

  • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

• Пользователи по имени: в этом сценарии выполняется поиск определенного пользователя по имени, что позволяет оценить lastSignInDateTime:

  • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity

• Пользователи по дате: в этом сценарии вы запрашиваете список пользователей с последней датой в lastSignInDateTime:

  • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

• Дата и время последнего успешного входа (бета-версия) — этот сценарий доступен только в beta конечной точке API Microsoft Graph. Вы можете запросить список пользователей с указанной lastSuccessfulSignInDateTime датой:

  • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Примечание.

Свойство signInActivity поддерживает (, , , , ge), leно не с другими фильтруемыми свойствами. notneeq$filter Необходимо указать или $filter=signInActivity перечислить $select=signInActivity пользователей, так как свойство signInActivity не возвращается по умолчанию.

Рекомендации по свойству lastSignInDateTime

Следующие сведения относятся к свойству lastSignInDateTime .

• Свойство lastSignInDateTime предоставляется типом ресурса signInActivity API Microsoft Graph.

• Свойство недоступно с помощью командлета Get-MgAuditLogDirectoryAuditAudit.

• Каждая интерактивная попытка входа приводит к обновлению базового хранилища данных. Как правило, входы отображаются в соответствующем отчете о входе в течение 6 часов.

• Чтобы создать метку времени lastSignInDateTime, необходимо выполнить вход. Неудачная или успешная попытка входа, если она записана в журналах входа в Microsoft Entra, создает метку времени lastSignInDateTime. Значение свойства lastSignInDateTime может быть пустым, если:

  • Последняя попытка входа пользователя произошла до апреля 2020 года.
  • Затронутая учетная запись пользователя никогда не использовалась для попытки входа.

• Дата последнего входа связана с объектом пользователя. Она сохраняется до следующего входа пользователя в систему. Обновление может занять до 24 часов.

Как исследовать одного пользователя в Центре администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Если вам нужно просмотреть последнее действие входа для пользователя, вы можете просмотреть сведения о входе пользователя в идентификатор Microsoft Entra. Вы также можете использовать пользователей Microsoft Graph по имени , описанному в предыдущем разделе.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Выберите пользователя из списка.

4. В области "Мой веб-канал" найдите плитку "Обзор пользователя".

   

Дата последнего входа и время, показанное на этой плитке, может занять до 24 часов, что означает, что дата и время могут не быть текущими. Если вам нужно увидеть действие в практически реальном времени, выберите ссылку "Просмотреть все входы" на плитке "Входы", чтобы просмотреть все действия входа для этого пользователя.

Связанный контент

• Получение данных с помощью API отчетов Microsoft Entra с сертификатами
• Справочник по API аудита
• Справочник по API отчетов о действиях при входе