Обнаружение и исследование неактивных учетных записей пользователей

В больших средах учетные записи пользователей не всегда удаляются, когда сотрудники покидают организацию. Как ИТ-администратор, вы хотите обнаружить и устранить эти устаревшие учетные записи пользователей, так как они представляют угрозу безопасности.

В этой статье объясняется метод обработки устаревших учетных записей пользователей в идентификаторе Microsoft Entra.

Примечание.

Эта статья относится только к поиску неактивных учетных записей пользователей в идентификаторе Microsoft Entra. Это не относится к поиску неактивных учетных записей в Azure AD B2C.

Предварительные условия

• Чтобы получить доступ к свойству lastSuccessfulSignInDateTime с помощью Microsoft Graph, требуется лицензия Microsoft Entra ID P1 или P2.
• Необходимо предоставить приложению следующие разрешения Microsoft Graph:
  • AuditLog.Read.All
  • User.Read.All
• Читатель отчетов — это наименее привилегированная роль, необходимая для доступа к журналам действий.
  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Что такое неактивные учетные записи пользователей?

Неактивные учетные записи — это учетные записи пользователей, которые больше не требуются членам вашей организации для получения доступа к ресурсам. Одним из ключевых идентификаторов неактивных учетных записей является то, что они не использовались в течение некоторого времени для входа в вашу среду. Так как неактивные учетные записи привязаны к активности входа, можно использовать метку времени последнего входа учетной записи для обнаружения неактивных учетных записей.

Задача этого метода заключается в определении того, что на некоторое время означает для вашей среды. Например, пользователи могут не входить в среду в течение некоторого времени, так как они находятся в отпуске. Необходимо учитывать все законные причины, по которым вы не входите в свою среду. Во многих организациях разумное окно для неактивных учетных записей пользователей составляет от 90 до 180 дней.

Дата последнего входа предоставляет потенциальную информацию о постоянной необходимости доступа пользователя к ресурсам. Это поможет определить, требуется ли еще членство в группе или доступ к приложениям или их можно удалить. Для внешнего управления пользователями можно определить, активен ли внешний пользователь в клиенте или должен быть удален.

Поиск и изучение неактивных учетных записей пользователей

Вы можете использовать центр администрирования Microsoft Entra или API Microsoft Graph для поиска неактивных учетных записей пользователей. Хотя для неактивных учетных записей пользователей нет встроенного отчета, можно использовать дату и время последнего входа, чтобы определить, неактивна ли учетная запись пользователя.

Центр администрирования

Чтобы найти время последнего входа для пользователя, вы можете просмотреть список пользователей в Центре администрирования Microsoft Entra. Хотя все пользователи могут видеть список пользователей, некоторые столбцы и сведения доступны только пользователям с соответствующими разрешениями.

Поиск времени последнего входа для всех пользователей

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.

3. Выберите Управление представлением, а затем Изменить столбцы.

   

4. В списке выберите + Добавить столбец, выберите Время последнего интерактивного входа из списка, а затем выберите Сохранить.

   

5. Если столбец теперь отображается в списке всех пользователей, выберите Добавить фильтр и задайте интервал времени для поиска с помощью параметров фильтра.

   • Выберите < = в качестве оператора , затем выберите дату, чтобы найти последний вход перед выбранной датой.

Изучение одного пользователя

Если вам нужно просмотреть последнее действие входа для пользователя, вы можете просмотреть сведения о входе пользователя в идентификатор Microsoft Entra. Вы также можете использовать API Microsoft Graph, описанный в разделе «Пользователи по имени».

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли чтеца отчетов.

2. Перейдите в раздел Идентичность>Пользователи>Все пользователи.

3. Выберите пользователя из списка.

4. В области My Feed на странице Обзор пользователя найдите плитку Sign-ins.

   

Дата последнего входа и время, показанные на этой плитке, обновление может занять до 24 часов, что означает, что отображаемые дата и время могут не соответствовать текущим. Если вам нужно увидеть действие в практически реальном времени, выберите ссылку "Просмотреть все входы" на плитке "Входы", чтобы просмотреть все действия входа для этого пользователя.

Microsoft Graph

Неактивные учетные записи можно обнаружить, оценивая несколько свойств. Свойство lastSignInDateTime представлено типом ресурса signInActivity API Microsoft Graph . Свойство lastSignInDateTime показывает время последнего попытки пользователя выполнить интерактивную попытку входа в идентификатор Microsoft Entra.

Используя это свойство, вы можете реализовать решение для следующих сценариев:

Дата и время последнего входа для всех пользователей

Создайте отчет о дате последнего входа всех пользователей. Ответ содержит список всех пользователей и последний lastSignInDateTime для каждого соответствующего пользователя.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Дата и время последнего успешного входа

Этот запрос аналогичен добавлению даты последнего входа в список пользователей и фильтрации по определенной дате в Центре администрирования Microsoft Entra. Вы можете запросить список пользователей с lastSuccessfulSignInDateTime или lastSignInDateTimeдо указанной даты. Ответ на этот запрос предоставляет сведения о пользователе, но не предоставляет действия входа пользователя. Чтобы просмотреть эти сведения, попробуйте выполнить запрос в сценарии Пользователи по имени.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Пользователи по имени

В этом сценарии выполняется поиск определенного пользователя по имени. Ответ на этот запрос включает дату, время и идентификатор запроса для последних входов в систему.

Запрос:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Ответ.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: дата и время последней интерактивной попытки входа, включая сбои входа. В случае успешной попытки последнего входа дата и время этого свойства совпадают с lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: дата и время последней неинтерактивной попытки входа.
• lastSuccessfulSignInDateTime: дата и время последнего успешного интерактивного входа.

Примечание.

Свойство поддерживает (, , , , ), но не с другими фильтруемыми свойствами . Необходимо указать $select=signInActivity или $filter=signInActivity при перечислении пользователей, так как свойство signInActivity не возвращается по умолчанию.

Рекомендации по свойству lastSignInDateTime

Следующие сведения относятся к свойству lastSignInDateTime .

• Свойство lastSignInDateTime предоставляется тип ом ресурса signInActivityAPI Microsoft Graph.

• Свойство недоступно через командлет Get-MgAuditLogDirectoryAudit.

• Каждая интерактивная попытка входа приводит к обновлению базового хранилища данных. Как правило, входы в систему отображаются в соответствующем отчете по входам в систему в течение 6 часов.

• Чтобы создать метку времени lastSignInDateTime, необходимо выполнить вход. Неудачная или успешная попытка входа, если она зарегистрирована в журналах входа Microsoft Entra , создает отметку времени lastSignInDateTime. Значение свойства lastSignInDateTime может быть пустым, если:

  • Последняя попытка входа пользователя произошла до апреля 2020 года.
  • Затронутая учетная запись пользователя никогда не использовалась для попытки входа.

• Дата последнего входа связана с объектом пользователя. Она сохраняется до следующего входа пользователя в систему. Обновление может занять до 24 часов.

Как устранить неактивных пользователей

После идентификации неактивных пользователей начните с следующих вопросов:

• Пользователь по-прежнему используется организацией?
• Требуется ли пользователю доступ к ресурсам, к которых у него есть доступ?
• Нужна ли учетная запись пользователя по-прежнему по какой-либо другой причине?

Способ решения неактивных пользователей зависит от вашего сценария, но очистка неиспользуемых учетных записей или привилегированных учетных записей должна быть приоритетом для снижения рисков безопасности. Следующие функции и параметры являются отличным местом для начала, но обратите внимание, что для некоторых из этих функций может потребоваться дополнительное лицензирование.

• очистка устаревших гостевых учетных записей
• Рассмотрите возможность использования групп с динамическим управлением членством для автоматического добавления или удаления пользователей на основе их свойств.
  • Создание динамической группы членства
• Используйте проверки доступа microsoft Entra ID Governance для аудита доступа пользователей.
  • Общие сведения о проверках доступа
  • Рекомендации по обзору проверок доступа

Связанный контент

• Справочник по API аудита
• Справочник по API отчетов об активности входа