Så här identifierar och undersöker du inaktiva användarkonton

I stora miljöer tas användarkonton inte alltid bort när anställda lämnar en organisation. Som IT-administratör vill du identifiera och lösa dessa föråldrade användarkonton eftersom de utgör en säkerhetsrisk.

I den här artikeln beskrivs en metod för att hantera föråldrade användarkonton i Microsoft Entra-ID.

Kommentar

Den här artikeln gäller endast för att hitta inaktiva användarkonton i Microsoft Entra-ID. Det gäller inte för att hitta inaktiva konton i Azure AD B2C-.

Förutsättningar

• För att få åtkomst till egenskapen lastSuccessfulSignInDateTime med Microsoft Graph behöver du en Microsoft Entra ID P1- eller P2-licens.
• Du måste bevilja appen följande Microsoft Graph-behörigheter:
  • AuditLog.Read.All
  • User.Read.All
• Rapportläsare är den minst privilegierade roll som krävs för att komma åt aktivitetsloggarna.
  • En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Vad är inaktiva användarkonton?

Inaktiva konton är användarkonton som inte längre krävs av medlemmar i din organisation för att få åtkomst till dina resurser. En viktig identifierare för inaktiva konton är att de inte har använts på ett tag för att logga in i din miljö. Eftersom inaktiva konton är kopplade till inloggningsaktiviteten kan du använda tidsstämpeln för senaste gången ett konto försökte logga in för att identifiera inaktiva konton.

Utmaningen med den här metoden är att definiera vad en stund betyder för din miljö. Användare kanske till exempel inte loggar in i en miljö på ett tag, eftersom de är på semester. Du måste överväga alla legitima skäl för att inte logga in i din miljö. I många organisationer är ett rimligt fönster för inaktiva användarkonton mellan 90 och 180 dagar.

Det senaste inloggningsdatumet ger potentiella insikter om en användares fortsatta behov av åtkomst till resurser. Det kan hjälpa dig att avgöra om gruppmedlemskap eller appåtkomst fortfarande behövs eller kan tas bort. För hantering av externa användare kan du avgöra om en extern användare fortfarande är aktiv i klientorganisationen eller om den ska tas bort.

Så här hittar och undersöker du inaktiva användarkonton

Du kan använda administrationscentret för Microsoft Entra eller Microsoft Graph API för att hitta inaktiva användarkonton. Även om det inte finns någon inbyggd rapport för inaktiva användarkonton kan du använda datum och tid för senaste inloggning för att avgöra om ett användarkonto är inaktivt.

Administratörscenter

Om du vill hitta den senaste inloggningstiden för en användare kan du titta på användarlistan i administrationscentret för Microsoft Entra. Alla användare kan se listan över användare, men vissa kolumner och information är endast tillgängliga för användare med rätt behörighet.

Hitta den senaste inloggningstiden för alla användare

1. Logga in på Microsoft Entra administratörscenter som minst Rapportläsare.

2. Gå till Identitet>Användare>Alla användare.

3. Välj Hantera vy och sedan Redigera kolumner.

   

4. I listan väljer du + Lägg till kolumn, väljer Senaste interaktiva inloggningstid i listan och väljer sedan Spara.

   

5. Med kolumnen nu synlig i listan alla användare väljer du Lägg till filter och anger en tidsram för sökningen med hjälp av filteralternativen.

   • Välj < = som Operatoroch välj sedan datumet för att hitta den senaste inloggningen innan det valda datumet.

Undersöka en enskild användare

Om du behöver visa den senaste inloggningsaktiviteten för en användare kan du visa användarens inloggningsinformation i Microsoft Entra-ID. Du kan också använda Microsoft Graph API som beskrivs i avsnittet Användare efter namn.

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.

2. Gå till Identitet>Användare>Alla användare.

3. Välj en användare i listan.

4. I området Min feed i användarens översikt letar du upp panelen Inloggningar.

   

Det kan ta upp till 24 timmar att uppdatera senaste inloggningsdatum och tid som visas på den här panelen, vilket innebär att datum och tid kanske inte är aktuella. Om du behöver se aktiviteten i nära realtid väljer du länken Visa alla inloggningar på panelen Inloggningar för att visa all inloggningsaktivitet för användaren.

Microsoft Graph

Du kan identifiera inaktiva konton genom att utvärdera flera egenskaper. Egenskapen lastSignInDateTime exponeras av resurstypen signInActivity för Microsoft Graph API. Egenskapen lastSignInDateTime visar senaste gången en användare försökte göra ett interaktivt inloggningsförsök i Microsoft Entra-ID.

Med den här egenskapen kan du implementera en lösning för följande scenarier:

Datum och tid för senaste inloggning för alla användare

Generera en rapport över det senaste inloggningsdatumet för alla användare. Svaret innehåller en lista över alla användare och den sista lastSignInDateTime för varje respektive användare.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Senaste lyckade inloggningsdatum och -tid

Den här frågan liknar att lägga till det senaste inloggningsdatumet i användarlistan och filtrera efter ett specifikt datum i administrationscentret för Microsoft Entra. Du kan begära en lista över användare med en lastSuccessfulSignInDateTime eller lastSignInDateTimeinnan ett angivet datum. Svaret för den här frågan innehåller användarens information, men anger inte användarens inloggningsaktivitet. Om du vill se den här informationen kan du prova frågan i scenariot Användare efter namn.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Användare efter namn

I det här scenariot söker du efter en specifik användare efter namn. Svaret för den här frågan innehåller datum, tid och begärande-ID för deras senaste inloggningar.

Begäran:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Svar:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Datum och tid för det senaste interaktiva inloggningsförsöket, inklusive inloggningsfel. Om det senaste inloggningsförsöket lyckades är datum och tid för den här egenskapen samma som lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: Datum och tid för det senaste icke-interaktiva inloggningsförsöket.
• lastSuccessfulSignInDateTime: Datum och tid för den senaste lyckade interaktiva inloggningen.

Kommentar

Egenskapen signInActivity stöder $filter (eq, ne, not, ge, le) men inte med andra filterbara egenskaper. Du måste ange $select=signInActivity eller $filter=signInActivity när användare, eftersom egenskapen signInActivity inte returneras som standard.

Överväganden för egenskapen lastSignInDateTime

Följande information gäller egenskapen lastSignInDateTime .

• lastSignInDateTime-egenskapen exponeras av signInActivity-resurstypen för Microsoft Graph API.

• Egenskapen är inte tillgänglig via cmdleten Get-MgAuditLogDirectoryAudit.

• Varje interaktivt inloggningsförsök resulterar i en uppdatering av det underliggande datalagret. Vanligtvis visas inloggningar i den relaterade inloggningsrapporten inom 6 timmar.

• Om du vill generera en lastSignInDateTime tidsstämpel måste du försöka logga in. Oavsett om det är ett misslyckat eller lyckat inloggningsförsök, så länge det registreras i Microsoft Entra-inloggningsloggar, genereras en lastSignInDateTime tidsstämpel. Värdet för egenskapen lastSignInDateTime kan vara tomt om:

  • Det senaste inloggningsförsöket för en användare ägde rum före april 2020.
  • Det berörda användarkontot användes aldrig för ett inloggningsförsök.

• Det senaste inloggningsdatumet är associerat med användarobjektet. Värdet behålls till nästa inloggning för användaren. Det kan ta upp till 24 timmar att uppdatera.

Så här adresserar du inaktiva användare

När du har identifierat inaktiva användare börjar du med att ställa följande frågor:

• Är användaren fortfarande anställd av organisationen?
• Behöver användaren fortfarande åtkomst till de resurser som de har åtkomst till?
• Behövs användarkontot fortfarande av någon annan anledning?

Hur du hanterar inaktiva användare beror på ditt scenario, men att rensa oanvända konton eller överprivilegierade konton bör vara din prioritet för att minska säkerhetsriskerna. Följande funktioner och alternativ är ett bra ställe att börja på, men observera att vissa av dessa funktioner kan kräva ytterligare licensiering.

• Rensa inaktuella gästkonton
• Överväg att dynamisk medlemskapsgrupp automatiskt lägger till eller tar bort användare från grupper baserat på deras användaregenskaper.
  • Skapa en dynamisk medlemskapsgrupp
• Använd åtkomstgranskningar för Styrning av Microsoft Entra-ID för att granska användarnas åtkomst.
  • Vad är åtkomstgranskningar?
  • Granska rekommendationer för åtkomstgranskningar

Relaterat innehåll

• Audit API-referens
• Api-referens för inloggningsaktivitetsrapport