So erkennen und untersuchen Sie inaktive Benutzerkonten

In umfangreichen Umgebungen werden Benutzerkonten nicht immer gelöscht, wenn Mitarbeiter*innen eine Organisation verlassen. Als IT-Administrator*in sollten Sie diese veralteten Benutzerkonten erkennen und behandeln, da sie ein Sicherheitsrisiko darstellen.

In diesem Artikel wird ein Verfahren zum Umgang mit veralteten Benutzerkonten in Microsoft Entra ID beschrieben.

Hinweis

Dieser Artikel bezieht sich nur auf das Auffinden inaktiver Benutzerkonten in Microsoft Entra ID. Die Regelung betrifft nicht die Suche nach inaktiven Konten in Azure AD B2C.

Voraussetzungen

• Für den Zugriff auf die lastSuccessfulSignInDateTime Eigenschaft mit Microsoft Graph benötigen Sie eine Microsoft Entra ID P1- oder P2-Lizenz.
• Sie müssen der App die folgenden Microsoft Graph-Berechtigungen erteilen:
  • AuditLog.Read.All
  • User.Read.All
• Der Berichtsleser ist die am wenigsten privilegierte Rolle, die für den Zugriff auf die Aktivitätsprotokolle erforderlich ist.
  • Eine vollständige Liste der Rollen finden Sie unter "Rolle mit den geringsten Rechten nach Aufgabe".

Was sind inaktive Benutzerkonten?

Bei inaktiven Konten handelt es sich um Benutzerkonten, die von Mitgliedern Ihrer Organisation nicht mehr benötigt werden, um auf Ressourcen zuzugreifen. Ein Hauptmerkmal für inaktive Konten besteht darin, dass sie seit einer Weile nicht mehr zum Anmelden bei Ihrer Umgebung verwendet wurden. Da inaktive Konten an die Anmeldeaktivität gebunden sind, können Sie den Zeitstempel des letzten Anmeldeversuchs eines Kontos verwenden, um inaktive Konten zu erkennen.

Die Herausforderung dieser Methode besteht darin, zu definieren, was für eine Weile für Ihre Umgebung bedeutet. Benutzer können sich beispielsweise für eine Weile nicht bei einer Umgebung anmelden, da sie im Urlaub sind. Sie müssen alle legitimen Gründe für die Anmeldung bei Ihrer Umgebung berücksichtigen. In vielen Organisationen liegt ein angemessenes Fenster für inaktive Benutzerkonten zwischen 90 und 180 Tagen.

Das letzte Anmeldedatum bietet potenzielle Einblicke in die fortbestehende Notwendigkeit eines Benutzers, auf Ressourcen zuzugreifen. Diese Erkenntnisse sind hilfreich bei der Ermittlung, ob die Gruppenmitgliedschaft oder der App-Zugriff noch benötigt wird oder entfernt werden kann. Bei der verwaltung externer Benutzer können Sie ermitteln, ob ein externer Benutzer weiterhin innerhalb des Mandanten aktiv ist oder entfernt werden soll.

So suchen und untersuchen Sie inaktive Benutzerkonten

Sie können das Microsoft Entra Admin Center oder die Microsoft Graph-API verwenden, um inaktive Benutzerkonten zu finden. Obwohl es keinen integrierten Bericht für inaktive Benutzerkonten gibt, können Sie das datum und die Uhrzeit der letzten Anmeldung verwenden, um zu ermitteln, ob ein Benutzerkonto inaktiv ist.

Admin Center

Um die letzte Anmeldezeit für einen Benutzer zu finden, können Sie ihre Benutzerliste im Microsoft Entra Admin Center anzeigen. Während alle Benutzer die Liste der Benutzer sehen können, sind einige Spalten und Details nur für Benutzer mit den entsprechenden Berechtigungen verfügbar.

Suchen der letzten Anmeldezeit für alle Benutzer

1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie "Ansicht verwalten" und dann "Spalten bearbeiten" aus.

   

4. Wählen Sie in der Liste +Spalte hinzufügen, wählen Sie "Letzte interaktive Anmeldezeit " aus der Liste aus, und wählen Sie dann " Speichern" aus.

   

5. Wenn die Spalte jetzt in der Liste "Alle Benutzer" sichtbar ist, wählen Sie "Filter hinzufügen" aus, und legen Sie einen Zeitrahmen für Ihre Suche mithilfe der Filteroptionen fest.

   • Wählen Sie < = als Operator aus, und wählen Sie dann das Datum aus, um die letzte Anmeldung vor diesem ausgewählten Datum zu finden.

Untersuchen eines einzelnen Benutzers

Wenn Sie die aktuelle Anmeldeaktivität für einen Benutzer anzeigen müssen, können Sie die Anmeldedetails des Benutzers in Microsoft Entra ID anzeigen. Sie können auch die im Abschnitt "Benutzer nach Name" beschriebene Microsoft Graph-API verwenden.

1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra-ID-Benutzern>.

3. Wählen Sie einen Benutzer aus der Liste aus.

4. Suchen Sie im Bereich "Mein Feed" der Übersicht des Benutzers die Kachel " Anmeldungen" .

   

Es kann bis zu 24 Stunden dauern, bis das Datum und die Uhrzeit der letzten Anmeldung auf dieser Kachel aktualisiert werden. Das bedeutet, dass das Datum und die Uhrzeit möglicherweise nicht aktuell sind. Wenn Sie die Aktivität in nahezu Echtzeit anzeigen müssen, wählen Sie den Link "Alle Anmeldungen anzeigen " auf der Kachel " Anmeldungen anzeigen" aus, um alle Anmeldeaktivitäten für diesen Benutzer anzuzeigen.

Microsoft Graph

Sie können inaktive Konten erkennen, indem Sie mehrere Eigenschaften auswerten. Die lastSignInDateTime Eigenschaft wird vom signInActivity Ressourcentyp der Microsoft Graph-API verfügbar gemacht. Die lastSignInDateTime Eigenschaft zeigt das letzte Mal an, wenn ein Benutzer versucht hat, einen interaktiven Anmeldeversuch in der Microsoft Entra-ID vorzunehmen.

Mit dieser Eigenschaft können Sie eine Lösung für die folgenden Szenarien implementieren:

Datum und Uhrzeit der letzten Anmeldung für alle Benutzer

Generieren Sie einen Bericht des letzten Anmeldedatums aller Benutzer. Die Antwort enthält eine Liste aller Benutzer und die letzte lastSignInDateTime für jeden jeweiligen Benutzer.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Datum und Uhrzeit der letzten erfolgreichen Anmeldung

Diese Abfrage ähnelt dem Hinzufügen des letzten Anmeldedatums zur Benutzerliste und dem Filtern nach einem bestimmten Datum im Microsoft Entra Admin Center. Sie können eine Liste von Benutzern mit einem lastSuccessfulSignInDateTime oder lastSignInDateTimevor einem bestimmten Datum anfordern. Die Antwort für diese Abfrage stellt die Details des Benutzers bereit, stellt aber nicht die Anmeldeaktivität des Benutzers bereit. Um diese Details anzuzeigen, probieren Sie die Abfrage im Szenario "Benutzer nach Namen " aus.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Benutzer nach Name

In diesem Szenario suchen Sie nach einem bestimmten Benutzer anhand des Namens. Die Antwort für diese Abfrage enthält Datum, Uhrzeit und Anforderungs-ID für ihre letzten Anmeldungen.

Anforderung:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Antwort:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Das Datum und die Uhrzeit des letzten interaktiven Anmeldeversuchs, einschließlich Anmeldefehlern. In dem Fall, in dem der letzte Anmeldeversuch erfolgreich war, sind das Datum und die Uhrzeit dieser Eigenschaft identisch mit dem lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: Das Datum und die Uhrzeit des letzten nicht interaktiven Anmeldeversuchs.
• lastSuccessfulSignInDateTime: Das Datum und die Uhrzeit der letzten erfolgreichen interaktiven Anmeldung.

Hinweis

Die signInActivity Eigenschaft unterstützt $filter (eq, ne, not, ge, ), leaber nicht mit anderen filterbaren Eigenschaften. Sie müssen entweder $select=signInActivity oder $filter=signInActivity angeben, wenn Sie Benutzer auflisten, da die signInActivity-Eigenschaft nicht standardmäßig zurückgegeben wird.

Überlegungen für die Eigenschaft lastSignInDateTime

Die folgenden Details beziehen sich auf die lastSignInDateTime-Eigenschaft.

• Die lastSignInDateTime Eigenschaft wird vom signInActivity-Ressourcentyp der Microsoft Graph-API verfügbar gemacht.

• Die Eigenschaft ist nicht über das Cmdlet Get-MgAuditLogDirectoryAudit verfügbar.

• Jeder interaktive Anmeldeversuch führt zu einem Update des zugrunde liegenden Datenspeichers. Normalerweise werden Anmeldungen innerhalb von 6 Stunden im zugehörigen Anmeldebericht angezeigt.

• Um einen lastSignInDateTime Zeitstempel zu generieren, müssen Sie eine Anmeldung versuchen. Entweder ein fehlgeschlagener oder erfolgreicher Anmeldeversuch, sofern er in den Microsoft Entra-Anmeldeprotokollen aufgezeichnet wird, generiert einen lastSignInDateTime Zeitstempel. Der Wert der lastSignInDateTime Eigenschaft ist möglicherweise leer, wenn:

  • Der letzte Anmeldeversuch eines Benutzers erfolgte vor April 2020.
  • Das betroffene Benutzerkonto wurde niemals für einen Anmeldeversuch verwendet.

• Das Datum der letzten Anmeldung ist dem Benutzerobjekt zugeordnet. Der Wert wird bis zur nächsten Anmeldung des Benutzers beibehalten. Die Aktualisierung kann bis zu 24 Stunden dauern.

So adressieren Sie inaktive Benutzer

Beginnen Sie nach dem Identifizieren inaktiver Benutzer mit den folgenden Fragen:

• Ist der Benutzer noch von der Organisation beschäftigt?
• Benötigt der Benutzer weiterhin Zugriff auf die Ressourcen, auf die er Zugriff hat?
• Ist das Benutzerkonto aus irgendeinem anderen Grund noch erforderlich?

Wie Sie inaktive Benutzer adressieren, hängt von Ihrem Szenario ab, aber das Bereinigen nicht verwendeter Konten oder überprivilegierter Konten sollte Ihre Priorität sein, um Sicherheitsrisiken zu verringern. Die folgenden Features und Optionen sind ein guter Ausgangspunkt, beachten Sie jedoch, dass einige dieser Features möglicherweise zusätzliche Lizenzierung erfordern.

• Bereinigen veralteter Gastkonten
• Erwägen Sie die dynamische Mitgliedschaftsgruppe, um Benutzer basierend auf ihren Benutzereigenschaften automatisch hinzuzufügen oder aus Gruppen zu entfernen.
  • Erstellen einer dynamischen Mitgliedschaftsgruppe
• Verwenden Sie Microsoft Entra ID Governance-Zugriffsüberprüfungen, um den Zugriff Ihrer Benutzer zu überwachen.
  • Was sind Zugriffsüberprüfungen?
  • Überprüfen von Empfehlungen für Zugriffsüberprüfungen

Zugehöriger Inhalt

• Überwachungs-API-Referenz
• API-Referenz zum Anmeldeaktivitätsbericht