Обнаружение и исследование неактивных учетных записей пользователей

В больших средах учетные записи пользователей не всегда удаляются, когда сотрудники покидают организацию. Как ИТ-администратор, вы хотите обнаружить и устранить эти устаревшие учетные записи пользователей, так как они представляют угрозу безопасности.

В этой статье объясняется метод обработки устаревших учетных записей пользователей в идентификаторе Microsoft Entra.

Примечание.

Эта статья относится только к поиску неактивных учетных записей пользователей в идентификаторе Microsoft Entra. Это не относится к поиску неактивных учетных записей в Azure AD B2C.

Необходимые компоненты

Чтобы получить доступ к свойству lastSignInDateTime с помощью Microsoft Graph, выполните следующие действия.

• Вам нужна лицензия Microsoft Entra ID P1 или P2.

• Необходимо предоставить приложению следующие разрешения Microsoft Graph:

  • AuditLog.Read.All
  • User.Read.All

• Средство чтения отчетов — это наименее привилегированная роль, необходимая для доступа к журналам действий.

  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Что такое неактивные учетные записи пользователей?

Неактивные учетные записи — это учетные записи пользователей, которые больше не требуются членам вашей организации для получения доступа к ресурсам. Одним из ключевых идентификаторов неактивных учетных записей является то, что они не использовались в течение некоторого времени для входа в вашу среду. Так как неактивные учетные записи привязаны к активности входа, можно использовать метку времени последнего входа учетной записи для обнаружения неактивных учетных записей.

Задача этого метода заключается в определении того, что в некоторое время означает для вашей среды. Например, пользователи могут не входить в среду в течение некоторого времени, так как они находятся в отпуске. Необходимо учитывать все законные причины, по которым вы не входите в свою среду. Во многих организациях разумное окно для неактивных учетных записей пользователей составляет от 90 до 180 дней.

Дата последнего входа предоставляет потенциальную информацию о постоянной необходимости доступа пользователя к ресурсам. Это поможет определить, требуется ли еще членство в группе или доступ к приложениям или их можно удалить. Для внешнего управления пользователями можно определить, активен ли внешний пользователь в клиенте или должен быть удален.

Поиск неактивных учетных записей пользователей

Вы можете использовать центр администрирования Microsoft Entra или API Microsoft Graph для поиска неактивных учетных записей пользователей. Хотя для неактивных учетных записей пользователей нет встроенного отчета, можно использовать дату и время последнего входа, чтобы определить, неактивна ли учетная запись пользователя.

Центр администрирования

Чтобы найти время последнего входа для пользователя, вы можете просмотреть список пользователей в Центре администрирования Microsoft Entra. Хотя все пользователи могут видеть список пользователей, некоторые столбцы и сведения доступны только пользователям с соответствующими разрешениями.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Выберите Управление представлением, а затем Изменить столбцы.

   

4. В списке выберите + Добавить столбец, выберите Время последнего интерактивного входа из списка, а затем выберите Сохранить.

   

5. Если столбец теперь отображается в списке всех пользователей, выберите Добавить фильтр и задайте интервал времени для поиска с помощью параметров фильтра.

   • Выберите < = в качестве оператора , затем выберите дату, чтобы найти последний вход перед выбранной датой.

Microsoft Graph

Неактивные учетные записи можно обнаружить, оценивая несколько свойств. Свойство lastSignInDateTime , предоставляемое типом signInActivityресурсов API Microsoft Graph. Свойство lastSignInDateTime показывает время последнего попытки пользователя выполнить интерактивную попытку входа в идентификатор Microsoft Entra. Этот параметр можно использовать для отслеживания по следующим принципам:

Дата и время последнего входа для всех пользователей

Создайте отчет о дате последнего входа всех пользователей. Ответ содержит список всех пользователей и последний lastSignInDateTime для каждого соответствующего пользователя.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Дата и время последнего успешного входа

Этот запрос похож на добавление даты последнего входа в список пользователей и фильтрацию по определенной дате в Центре администрирования Microsoft Entra. Вы можете запросить список пользователей с lastSuccessfulSignInDateTime или lastSignInDateTimeдо на указанную дату. Ответ на этот запрос предоставляет сведения о пользователе, но не предоставляет действия входа пользователей. Чтобы просмотреть эти сведения, попробуйте выполнить запрос в сценарии Пользователи по имени.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Пользователи по имени

В этом сценарии выполняется поиск определенного пользователя по имени. Ответ на этот запрос включает дату, время и идентификатор запроса для последних входов в систему.

Запрос:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Ответ.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: дата и время последней интерактивной попытки входа, включая сбои входа. В случае, если последняя попытка входа была успешной, дата и время этого свойства будет совпадать с lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: дата и время последней неинтерактивной попытки входа.
• lastSuccessfulSignInDateTime: дата и время последнего успешного интерактивного входа.

Примечание.

Свойство signInActivity поддерживает (, , , , $filter), eqne. notgele Необходимо указать или $select=signInActivity перечислить $filter=signInActivity пользователей, так как свойство signInActivity не возвращается по умолчанию.

Рекомендации по свойству lastSignInDateTime

Следующие сведения относятся к свойству lastSignInDateTime .

• Свойство lastSignInDateTime предоставляется типом ресурса signInActivity API Microsoft Graph.

• Свойство недоступно с помощью командлета Get-MgAuditLogDirectoryAuditAudit.

• Каждая интерактивная попытка входа приводит к обновлению базового хранилища данных. Как правило, входы отображаются в соответствующем отчете о входе в течение 6 часов.

• Чтобы создать метку времени lastSignInDateTime, необходимо выполнить вход. Неудачная или успешная попытка входа, если она записана в журналах входа в Microsoft Entra, создает метку времени lastSignInDateTime. Значение свойства lastSignInDateTime может быть пустым, если:

  • Последняя попытка входа пользователя произошла до апреля 2020 года.
  • Затронутая учетная запись пользователя никогда не использовалась для попытки входа.

• Дата последнего входа связана с объектом пользователя. Она сохраняется до следующего входа пользователя в систему. Обновление может занять до 24 часов.

Как исследовать одного пользователя в Центре администрирования Microsoft Entra

Если вам нужно просмотреть последнее действие входа для пользователя, вы можете просмотреть сведения о входе пользователя в идентификатор Microsoft Entra. Вы также можете использовать пользователей Microsoft Graph по имени , описанному в предыдущем разделе.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Выберите пользователя из списка.

4. В области "Мой веб-канал" найдите плитку "Обзор пользователя".

   

Дата последнего входа и время, показанное на этой плитке, может занять до 24 часов, что означает, что дата и время могут не быть текущими. Если вам нужно увидеть действие в практически реальном времени, выберите ссылку "Просмотреть все входы" на плитке "Входы", чтобы просмотреть все действия входа для этого пользователя.

Связанный контент

• Получение данных с помощью API отчетов Microsoft Entra с сертификатами
• Справочник по API аудита
• Справочник по API отчетов о действиях при входе