Cómo detectar e investigar cuentas de usuario inactivas

En entornos de gran tamaño, las cuentas de usuario no siempre se eliminan cuando los empleados salen de la organización. Como administrador de TI, desea detectar y resolver estas cuentas de usuario obsoletas porque representan un riesgo de seguridad.

En este artículo se explica un método para administrar las cuentas de usuario obsoletas en Microsoft Entra ID.

Nota

Este artículo solo se aplica a la búsqueda de cuentas de usuario inactivas en Microsoft Entra ID. No se aplica a buscar cuentas inactivas en Azure AD B2C.

Requisitos previos

• Para acceder a la lastSuccessfulSignInDateTime propiedad mediante Microsoft Graph, necesita una licencia P1 o P2 de Microsoft Entra ID.
• Debe conceder a la aplicación los siguientes permisos de Microsoft Graph:
  • AuditLog.Read.All
  • User.Read.All
• Lector de informes es el rol con menos privilegios necesario para acceder a los registros de actividad.
  • Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

¿Qué son las cuentas de usuario inactivas?

Las cuentas inactivas son cuentas de usuario que los miembros de la organización ya no requieren para obtener acceso a sus recursos. Un identificador clave de las cuentas inactivas es que no se han usado durante un tiempo para iniciar sesión en su entorno. Dado que las cuentas inactivas están vinculadas a la actividad de inicio de sesión, puede usar la marca de tiempo de la última vez que una cuenta ha intentado iniciar sesión para detectar cuentas inactivas.

El desafío de este método es definir qué representa por un tiempo en su entorno. Por ejemplo, es posible que los usuarios no inicien sesión en un entorno durante un tiempo, ya que están de vacaciones. Debe tener en cuenta todas las razones legítimas para no iniciar sesión en el entorno. En muchas organizaciones, una ventana razonable para las cuentas de usuario inactivas es de entre 90 y 180 días.

La última fecha de inicio de sesión proporciona información potencial sobre la necesidad continua de un usuario para acceder a los recursos. Puede ayudar a determinar si el acceso a la aplicación o la pertenencia al grupo sigue siendo necesario o se puede quitar. Para la administración de usuarios externos, puede determinar si un usuario externo todavía está activo dentro del inquilino o se debe quitar.

Búsqueda e investigación de cuentas de usuario inactivas

Puede usar el Centro de administración de Microsoft Entra o microsoft Graph API para buscar cuentas de usuario inactivas. Aunque no hay un informe integrado para las cuentas de usuario inactivas, puede usar la última fecha y hora de inicio de sesión para determinar si una cuenta de usuario está inactiva.

Centro de administración

Para buscar la última hora de inicio de sesión de un usuario, puede consultar la lista de usuarios en el Centro de administración de Microsoft Entra. Aunque todos los usuarios pueden ver la lista de usuarios, algunas columnas y detalles solo están disponibles para los usuarios con los permisos adecuados.

Buscar la última hora de inicio de sesión para todos los usuarios

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de informes.

2. Vaya a Entra ID>Usuarios.

3. Seleccione Administrar vista y, a continuación, Editar columnas.

   

4. En la lista, seleccione + Agregar columna, seleccione Última hora de inicio de sesión interactivo en la lista y, a continuación, seleccione Guardar.

   

5. Con la columna ahora visible en la lista todos los usuarios, seleccione Agregar filtro y establezca un período de tiempo para la búsqueda mediante las opciones de filtro.

   • Seleccione < = como operador y, a continuación, seleccione la fecha para buscar el último inicio de sesión antes de esa fecha seleccionada.

Investigación de un único usuario

Si necesita ver la actividad de inicio de sesión más reciente de un usuario, puede ver los detalles de inicio de sesión del usuario en Microsoft Entra ID. También puede usar La API de Microsoft Graph que se describe en la sección Usuarios por nombre.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un Lector de informes.

2. Vaya a Entra ID>Usuarios.

3. Seleccione un usuario en la lista.

4. En el área Mi fuente de la Información general del usuario, localice el icono Inicios de sesión.

   

La última fecha y hora de inicio de sesión que se muestran en este mosaico podrían tardar hasta 24 horas en actualizarse, lo que significa que es posible que la fecha y la hora no estén actualizadas. Si necesita ver la actividad casi en tiempo real, seleccione el vínculo Ver todos los inicios de sesión en el icono Inicios de sesión para ver toda la actividad de inicio de sesión para ese usuario.

Microsoft Graph

Puede detectar cuentas inactivas mediante la evaluación de varias propiedades. La lastSignInDateTime propiedad se expone mediante el signInActivity tipo de recurso de Microsoft Graph API. La lastSignInDateTime propiedad muestra la última vez que un usuario intentó realizar un intento de inicio de sesión interactivo en Microsoft Entra ID.

Con esta propiedad, puede implementar una solución para los escenarios siguientes:

Última fecha y hora de inicio de sesión para todos los usuarios

Genere un informe de la última fecha de inicio de sesión de todos los usuarios. La respuesta proporciona una lista de todos los usuarios y la última lastSignInDateTime para cada usuario respectivo.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Última fecha y hora de inicio de sesión exitosa

Esta consulta es similar a agregar la última fecha de inicio de sesión a la lista de usuarios y filtrar por una fecha específica en el Centro de administración de Microsoft Entra. Puede solicitar una lista de usuarios con un lastSuccessfulSignInDateTime o lastSignInDateTimeantes de una fecha especificada. La respuesta de esta consulta proporciona los detalles del usuario, pero no proporciona la actividad de inicio de sesión del usuario. Para ver esos detalles, pruebe la consulta en el escenario Usuarios por nombre .

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Usuarios por nombre

En este escenario, buscas a un usuario específico por nombre. La respuesta para esta consulta incluye la fecha, la hora y el id. de solicitud para sus últimos inicios de sesión.

Solicitud:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Respuesta:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: la fecha y hora del último intento de inicio de sesión interactivo, incluidos los errores de inicio de sesión. En caso de que el último intento de inicio de sesión se haya realizado correctamente, la fecha y hora de esta propiedad será la misma quelastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: fecha y hora del último intento de inicio de sesión no interactivo.
• lastSuccessfulSignInDateTime: la fecha y hora del último inicio de sesión interactivo correcto.

Nota

La signInActivity propiedad admite $filter (eq, ne, not, ge, ) lepero no con ninguna otra propiedad filtrable. Debe especificar $select=signInActivity o $filter=signInActivity al enumerar usuarios, ya que la propiedad signInActivity no se devuelve de forma predeterminada.

Consideraciones para la propiedad lastSignInDateTime

Los siguientes detalles se relacionan con la propiedad lastSignInDateTime.

• La lastSignInDateTime propiedad se expone mediante el tipo de recurso signInActivity de Microsoft Graph API.

• La propiedad no está disponible a través del cmdlet Get-MgAuditLogDirectoryAudit.

• Cada intento de inicio de sesión interactivo genera una actualización del almacén de datos subyacente. Por lo general, los inicios de sesión se muestran en el informe de inicio de sesión relacionado en un plazo de 6 horas.

• Para generar una marca de tiempo lastSignInDateTime, debe intentar iniciar sesión. Un intento de inicio de sesión exitoso o fallido, siempre que esté registrado en los registros de inicio de sesión de Microsoft Entra, genera una lastSignInDateTime marca de tiempo. El valor de la lastSignInDateTime propiedad puede estar en blanco si:

  • El último intento de inicio de sesión de un usuario ha tenido lugar antes de abril de 2020.
  • La cuenta de usuario afectada nunca se ha usado para un intento de inicio de sesión.

• La fecha del último inicio de sesión está asociada al objeto de usuario. El valor se conserva hasta el siguiente inicio de sesión del usuario. Puede tardar hasta 24 horas en actualizarse.

Cómo abordar usuarios inactivos

Después de identificar a los usuarios inactivos, empiece por formular las siguientes preguntas:

• ¿El usuario sigue siendo empleado por la organización?
• ¿El usuario sigue necesitando acceso a los recursos a los que tiene acceso?
• ¿La cuenta de usuario sigue siendo necesaria por cualquier otro motivo?

La forma de abordar los usuarios inactivos depende de su escenario, pero la limpieza de cuentas no usadas o cuentas con privilegios excesivos debe ser su prioridad para reducir los riesgos de seguridad. Las siguientes características y opciones son un excelente lugar para empezar, pero tenga en cuenta que algunas de estas características pueden requerir licencias adicionales.

• Limpieza de cuentas de invitado obsoletas
• Considere la posibilidad de que el grupo de pertenencia dinámica agregue o quite automáticamente usuarios de grupos en función de sus propiedades de usuario.
  • Creación de un grupo de pertenencia dinámica
• Use las revisiones de acceso de gobernanza de Microsoft Entra ID para auditar el acceso de los usuarios.
  • ¿Qué son las revisiones de acceso?
  • Revisión de las recomendaciones para las revisiones de acceso

Contenido relacionado

• Referencia de la API de auditoría
• Referencia de la API de generación de informes de actividad de inicio de sesión