Instrucciones: Administración de cuentas de usuario inactivas en Azure AD

En entornos de gran tamaño, las cuentas de usuario no siempre se eliminan cuando los empleados salen de la organización. Como administrador de TI, quiere detectar y administrar estas cuentas de usuario obsoletas porque representan un riesgo para la seguridad.

En este artículo se explica un método para administrar las cuentas de usuario obsoletas en Azure AD.

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite su uso en aplicaciones de producción. Para determinar si una API está disponible en v1.0, use el selector Versión.

¿Qué son las cuentas de usuario inactivas?

Las cuentas inactivas son cuentas de usuario que los miembros de su organización ya no necesitan para obtener acceso a los recursos. Un identificador clave para las cuentas inactivas es que no se han usado durante un tiempo para iniciar sesión en su entorno. Dado que las cuentas inactivas están vinculadas a la actividad de inicio de sesión, puede usar la marca de tiempo del último inicio de sesión que se ha realizado correctamente para detectarlas.

El reto de este método es definir qué significa durante un tiempo en el caso de su entorno. Por ejemplo, es posible que los usuarios no inicien sesión en un entorno durante un tiempo, ya que están en vacaciones. Al definir el diferencial de las cuentas de usuario inactivas, debe tener en cuenta todos los motivos legítimos para no iniciar sesión en su entorno. En muchas organizaciones, el diferencial de las cuentas de usuario inactivas se encuentra entre 90 y 180 días.

El último inicio de sesión correcto ofrece información potencial sobre la necesidad continuada del usuario de obtener acceso a los recursos. Puede ayudar a determinar si el acceso a la aplicación o la pertenencia al grupo sigue siendo necesario o se puede quitar. Para la administración de usuarios externos, puede saber si un usuario externo sigue activo en el inquilino o si debe limpiarse.

Cómo detectar cuentas de usuario inactivas

Las cuentas inactivas se detectan mediante la evaluación de la propiedad lastSignInDateTime expuesta por el tipo de recurso signInActivity de Microsoft Graph API. La propiedad lastSignInDateTime muestra la última vez que un usuario inició sesión de forma interactiva y correcta en Azure AD. Con esta propiedad, puede implementar una solución para los escenarios siguientes:

  • Usuarios por nombre: en este escenario, busca un usuario específico por nombre, lo que le permite evaluar el valor de lastSignInDateTime: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Usuarios por fecha: En este escenario, solicita una lista de usuarios con un valor de lastSignInDateTime anterior a una fecha especificada: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Nota:

Puede que sea necesario generar un informe de la última fecha de inicio de sesión de todos los usuarios, en caso de que pueda usar el siguiente escenario. Fecha y hora del último inicio de sesión para todos los usuarios: en este escenario, se solicita una lista de todos los usuarios y el último lastSignInDateTime para cada usuario respectivo: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Lo que necesita saber

En esta sección se enumera lo que necesita saber sobre la propiedad lastSignInDateTime.

¿Cómo se puede acceder a esta propiedad?

La propiedad lastSignInDateTime se expone por el tipo de recurso signInActivity de Microsoft Graph API.

Nota:

El tipo de recurso signInActivity solo está disponible en el punto de conexión beta de Microsoft Graph y aún no se admite en los entornos GCC High de la Administración Pública de Estados Unidos.

¿La propiedad lastSignInDateTime está disponible a través del cmdlet Get-AzureAdUser?

No.

¿Qué edición de Azure AD debo tener para acceder a la propiedad?

Para acceder a esta propiedad, necesita una edición de Azure Active Directory Prémium.

¿Qué permisos necesito para leer la propiedad?

Para leerla, debe conceder los siguientes derechos:

  • AuditLog.Read.All
  • Directory.Read.All

¿Cuándo actualiza Azure AD la propiedad?

Cada inicio de sesión interactivo que se haya realizado correctamente genera una actualización del almacén de datos subyacente. Normalmente, los inicios de sesión correctos se muestran en el informe de inicio de sesión relacionado en un plazo de 10 minutos.

¿Qué significa un valor de propiedad en blanco?

Para generar la marca de tiempo de lastSignInDateTime, se necesita un inicio de sesión correcto. Como la propiedad lastSignInDateTime es una característica nueva, su valor puede estar en blanco si:

  • El último inicio de sesión correcto de un usuario tuvo lugar antes de abril de 2020.
  • La cuenta de usuario afectada nunca se usó para un inicio de sesión correcto.

¿Durante cuánto tiempo se conserva el último inicio de sesión?

La fecha del último inicio de sesión está asociada al objeto de usuario. El valor se conserva hasta el siguiente inicio de sesión del usuario.

Pasos siguientes