Så här identifierar och undersöker du inaktiva användarkonton
I stora miljöer tas användarkonton inte alltid bort när anställda lämnar en organisation. Som IT-administratör vill du identifiera och lösa dessa föråldrade användarkonton eftersom de utgör en säkerhetsrisk.
I den här artikeln beskrivs en metod för att hantera föråldrade användarkonton i Microsoft Entra-ID.
Kommentar
Den här artikeln gäller endast för att hitta inaktiva användarkonton i Microsoft Entra-ID. Det gäller inte för att hitta inaktiva konton i Azure AD B2C.
Förutsättningar
Så här kommer du åt lastSignInDateTime
egenskapen med hjälp av Microsoft Graph:
Du behöver en Microsoft Entra ID P1- eller P2-licens.
Du måste bevilja appen följande Microsoft Graph-behörigheter:
- AuditLog.Read.All
- User.Read.All
Rapportläsare är den minst privilegierade roll som krävs för att komma åt aktivitetsloggarna.
- En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.
Vad är inaktiva användarkonton?
Inaktiva konton är användarkonton som inte längre krävs av medlemmar i din organisation för att få åtkomst till dina resurser. En viktig identifierare för inaktiva konton är att de inte har använts på ett tag för att logga in i din miljö. Eftersom inaktiva konton är kopplade till inloggningsaktiviteten kan du använda tidsstämpeln för senaste gången ett konto försökte logga in för att identifiera inaktiva konton.
Utmaningen med den här metoden är att definiera vad en stund betyder för din miljö. Användare kanske till exempel inte loggar in i en miljö på ett tag, eftersom de är på semester. När du definierar vad ditt delta för inaktiva användarkonton är måste du ta hänsyn till alla legitima skäl för att inte logga in i din miljö. I många organisationer är deltat för inaktiva användarkonton mellan 90 och 180 dagar.
Den senaste inloggningen ger potentiella insikter om en användares fortsatta behov av åtkomst till resurser. Det kan hjälpa dig att avgöra om gruppmedlemskap eller appåtkomst fortfarande behövs eller kan tas bort. För extern användarhantering kan du förstå om en extern användare fortfarande är aktiv i klientorganisationen eller bör rensas.
Identifiera inaktiva användarkonton med Microsoft Graph
Du kan identifiera inaktiva konton genom att utvärdera flera egenskaper, varav några är tillgängliga på beta
slutpunkten för Microsoft Graph-API:et. Vi rekommenderar inte att du använder betaslutpunkterna i produktion, men bjuder in dig att prova dem.
Egenskapen lastSignInDateTime
som exponeras av signInActivity
resurstypen för Microsoft Graph-API:et. Egenskapen lastSignInDateTime visar den senaste gången en användare försökte göra ett interaktivt inloggningsförsök i Microsoft Entra-ID. Med den här egenskapen kan du implementera en lösning för följande scenarier:
Datum och tid för senaste inloggning för alla användare: I det här scenariot måste du generera en rapport om det senaste inloggningsdatumet för alla användare. Du begär en lista över alla användare och den senaste lastSignInDateTime för varje respektive användare:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Användare efter namn: I det här scenariot söker du efter en specifik användare efter namn, vilket gör att du kan utvärdera lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Användare efter datum: I det här scenariot begär du en lista över användare med lastSignInDateTime före ett angivet datum:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Senaste lyckade inloggningsdatum och -tid (beta): Det här scenariot är endast tillgängligt på
beta
slutpunkten för Microsoft Graph-API:et. Du kan begära en lista över användare med ettlastSuccessfulSignInDateTime
före ett angivet datum:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Kommentar
Egenskapen signInActivity
stöder $filter
(eq
, ne
, not
, ge
, le
) men inte med andra filterbara egenskaper. Du måste ange $select=signInActivity
eller $filter=signInActivity
när du listar användare eftersom egenskapen signInActivity inte returneras som standard.
Överväganden för egenskapen lastSignInDateTime
Följande information gäller egenskapen lastSignInDateTime
.
Egenskapen lastSignInDateTime exponeras av resurstypen signInActivity i Microsoft Graph API.
Egenskapen är inte tillgänglig via cmdleten Get-MgAuditLogDirectoryAudit.
Varje interaktivt inloggningsförsök resulterar i en uppdatering av det underliggande datalagret. Vanligtvis visas inloggningar i den relaterade inloggningsrapporten inom 6 timmar.
Om du vill generera en lastSignInDateTime-tidsstämpel måste du försöka logga in. Antingen ett misslyckat eller lyckat inloggningsförsök, så länge det registreras i Microsoft Entra-inloggningsloggarna, genererar en lastSignInDateTime-tidsstämpel. Värdet för egenskapen lastSignInDateTime kan vara tomt om:
- Det senaste inloggningsförsöket för en användare ägde rum före april 2020.
- Det berörda användarkontot användes aldrig för ett inloggningsförsök.
Det senaste inloggningsdatumet är associerat med användarobjektet. Värdet behålls till nästa inloggning för användaren. Det kan ta upp till 24 timmar att uppdatera.
Så här undersöker du en enskild användare i administrationscentret för Microsoft Entra
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Om du behöver visa den senaste inloggningsaktiviteten för en användare kan du visa användarens inloggningsinformation i Microsoft Entra-ID. Du kan också använda Microsoft Graph-användare efter namn som beskrivs i föregående avsnitt.
Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
Gå till Identitet>Användare>Alla användare.
Välj en användare i listan.
I området Min feed i användarens översikt letar du upp panelen Inloggningar.
Det kan ta upp till 24 timmar att uppdatera senaste inloggningsdatum och tid som visas på den här panelen, vilket innebär att datum och tid kanske inte är aktuella. Om du behöver se aktiviteten i nära realtid väljer du länken Visa alla inloggningar på panelen Inloggningar för att visa all inloggningsaktivitet för användaren.