Så här identifierar och undersöker du inaktiva användarkonton

I stora miljöer tas användarkonton inte alltid bort när anställda lämnar en organisation. Som IT-administratör vill du identifiera och lösa dessa föråldrade användarkonton eftersom de utgör en säkerhetsrisk.

I den här artikeln beskrivs en metod för att hantera föråldrade användarkonton i Microsoft Entra-ID.

Kommentar

Den här artikeln gäller endast för att hitta inaktiva användarkonton i Microsoft Entra-ID. Det gäller inte för att hitta inaktiva konton i Azure AD B2C.

Förutsättningar

Så här kommer du åt lastSignInDateTime egenskapen med hjälp av Microsoft Graph:

• Du behöver en Microsoft Entra ID P1- eller P2-licens.

• Du måste bevilja appen följande Microsoft Graph-behörigheter:

  • AuditLog.Read.All
  • User.Read.All

• Rapportläsare är den minst privilegierade roll som krävs för att komma åt aktivitetsloggarna.

  • En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Vad är inaktiva användarkonton?

Inaktiva konton är användarkonton som inte längre krävs av medlemmar i din organisation för att få åtkomst till dina resurser. En viktig identifierare för inaktiva konton är att de inte har använts på ett tag för att logga in i din miljö. Eftersom inaktiva konton är kopplade till inloggningsaktiviteten kan du använda tidsstämpeln för senaste gången ett konto försökte logga in för att identifiera inaktiva konton.

Utmaningen med den här metoden är att definiera vad en stund betyder för din miljö. Användare kanske till exempel inte loggar in i en miljö på ett tag, eftersom de är på semester. Du måste överväga alla legitima skäl för att inte logga in i din miljö. I många organisationer är ett rimligt fönster för inaktiva användarkonton mellan 90 och 180 dagar.

Det senaste inloggningsdatumet ger potentiella insikter om en användares fortsatta behov av åtkomst till resurser. Det kan hjälpa dig att avgöra om gruppmedlemskap eller appåtkomst fortfarande behövs eller kan tas bort. För hantering av externa användare kan du avgöra om en extern användare fortfarande är aktiv i klientorganisationen eller om den ska tas bort.

Så här hittar du inaktiva användarkonton

Du kan använda administrationscentret för Microsoft Entra eller Microsoft Graph API för att hitta inaktiva användarkonton. Även om det inte finns någon inbyggd rapport för inaktiva användarkonton kan du använda datum och tid för senaste inloggning för att avgöra om ett användarkonto är inaktivt.

Administratörscenter

Om du vill hitta den senaste inloggningstiden för en användare kan du titta på användarlistan i administrationscentret för Microsoft Entra. Alla användare kan se listan över användare, men vissa kolumner och information är endast tillgängliga för användare med rätt behörighet.

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

2. Gå till Identitet>Användare>Alla användare.

3. Välj Hantera vy och sedan Redigera kolumner.

   

4. I listan väljer du + Lägg till kolumn, väljer Senaste interaktiva inloggningstid i listan och väljer sedan Spara.

   

5. Med kolumnen nu synlig i listan alla användare väljer du Lägg till filter och anger en tidsram för sökningen med hjälp av filteralternativen.

   • Välj < = som Operatoroch välj sedan datumet för att hitta den senaste inloggningen innan det valda datumet.

Microsoft Graph

Du kan identifiera inaktiva konton genom att utvärdera flera egenskaper. Egenskapen lastSignInDateTime som exponeras av signInActivity resurstypen för Microsoft Graph-API:et. Egenskapen lastSignInDateTime visar den senaste gången en användare försökte göra ett interaktivt inloggningsförsök i Microsoft Entra-ID. Med den här egenskapen kan du implementera en lösning för följande scenarier:

Datum och tid för senaste inloggning för alla användare

Generera en rapport över det senaste inloggningsdatumet för alla användare. Svaret innehåller en lista över alla användare och den sista lastSignInDateTime för varje användare.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Senaste lyckade inloggningsdatum och -tid

Den här frågan liknar att lägga till det senaste inloggningsdatumet i användarlistan och filtrera efter ett specifikt datum i administrationscentret för Microsoft Entra. Du kan begära en lista över användare med en lastSuccessfulSignInDateTime eller lastSignInDateTimeinnan ett angivet datum. Svaret för den här frågan innehåller användarens information, men anger inte användarnas inloggningsaktivitet. Om du vill se den här informationen kan du prova frågan i scenariot Användare efter namn.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Användare efter namn

I det här scenariot söker du efter en specifik användare efter namn. Svaret för den här frågan innehåller datum, tid och begärande-ID för deras senaste inloggningar.

Begäran:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Svar:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Datum och tid för det senaste interaktiva inloggningsförsöket, inklusive inloggningsfel. Om det senaste inloggningsförsöket lyckades blir datum och tid för den här egenskapen samma som lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: Datum och tid för det senaste icke-interaktiva inloggningsförsöket.
• lastSuccessfulSignInDateTime: Datum och tid för den senaste lyckade interaktiva inloggningen.

Kommentar

Egenskapen signInActivity stöder $filter (eq, ne, not, ge, le) men inte med andra filterbara egenskaper. Du måste ange $select=signInActivity eller $filter=signInActivity när du listar användare eftersom egenskapen signInActivity inte returneras som standard.

Överväganden för egenskapen lastSignInDateTime

Följande information gäller egenskapen lastSignInDateTime .

• Egenskapen lastSignInDateTime exponeras av resurstypen signInActivity i Microsoft Graph API.

• Egenskapen är inte tillgänglig via cmdleten Get-MgAuditLogDirectoryAudit.

• Varje interaktivt inloggningsförsök resulterar i en uppdatering av det underliggande datalagret. Vanligtvis visas inloggningar i den relaterade inloggningsrapporten inom 6 timmar.

• Om du vill generera en lastSignInDateTime-tidsstämpel måste du försöka logga in. Antingen ett misslyckat eller lyckat inloggningsförsök, så länge det registreras i Microsoft Entra-inloggningsloggarna, genererar en lastSignInDateTime-tidsstämpel. Värdet för egenskapen lastSignInDateTime kan vara tomt om:

  • Det senaste inloggningsförsöket för en användare ägde rum före april 2020.
  • Det berörda användarkontot användes aldrig för ett inloggningsförsök.

• Det senaste inloggningsdatumet är associerat med användarobjektet. Värdet behålls till nästa inloggning för användaren. Det kan ta upp till 24 timmar att uppdatera.

Så här undersöker du en enskild användare i administrationscentret för Microsoft Entra

Om du behöver visa den senaste inloggningsaktiviteten för en användare kan du visa användarens inloggningsinformation i Microsoft Entra-ID. Du kan också använda Microsoft Graph-användare efter namn som beskrivs i föregående avsnitt.

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

2. Gå till Identitet>Användare>Alla användare.

3. Välj en användare i listan.

4. I området Min feed i användarens översikt letar du upp panelen Inloggningar.

   

Det kan ta upp till 24 timmar att uppdatera senaste inloggningsdatum och tid som visas på den här panelen, vilket innebär att datum och tid kanske inte är aktuella. Om du behöver se aktiviteten i nära realtid väljer du länken Visa alla inloggningar på panelen Inloggningar för att visa all inloggningsaktivitet för användaren.

Relaterat innehåll

• Hämta data med hjälp av Microsoft Entra-rapporterings-API:et med certifikat
• Granska API-referens
• Api-referens för inloggningsaktivitetsrapport