Cómo detectar e investigar cuentas de usuario inactivas

En entornos de gran tamaño, las cuentas de usuario no siempre se eliminan cuando los empleados salen de la organización. Como administrador de TI, desea detectar y resolver estas cuentas de usuario obsoletas porque representan un riesgo de seguridad.

En este artículo se explica un método para administrar las cuentas de usuario obsoletas en Microsoft Entra ID.

Oharra

Este artículo solo se aplica a la búsqueda de cuentas de usuario inactivas en Microsoft Entra ID. No se aplica a la búsqueda de cuentas inactivas en Azure AD B2C.

Requisitos previos

Para acceder a la propiedad lastSignInDateTime mediante Microsoft Graph:

  • Necesita una licencia de Microsoft Entra ID P1 o P2.

  • Debes conceder a la app los siguientes permisos de Microsoft Graph:

    • AuditLog.Read.All
    • User.Read.All
  • Lector de informes es el rol con menos privilegios necesario para acceder a los registros de actividad.

¿Qué son las cuentas de usuario inactivas?

Las cuentas inactivas son cuentas de usuario que los miembros de la organización ya no requieren para obtener acceso a sus recursos. Un identificador clave para las cuentas inactivas es que no se han usado por un tiempo para iniciar sesión en su entorno. Dado que las cuentas inactivas están vinculadas a la actividad de inicio de sesión, puede usar la marca de tiempo de la última vez que una cuenta ha intentado iniciar sesión para detectar cuentas inactivas.

El desafío de este método es definir qué significa por un tiempo para su entorno. Por ejemplo, es posible que los usuarios no inicien sesión en el entorno por un tiempo, ya que están de vacaciones. Al definir el diferencial de las cuentas de usuario inactivas, debe tener en cuenta todos los motivos legítimos para no iniciar sesión en su entorno. En muchas organizaciones, el diferencial de las cuentas de usuario inactivas se encuentra entre 90 y 180 días.

El último inicio de sesión ofrece información potencial sobre la necesidad continua del usuario de obtener acceso a los recursos. Puede ayudar a determinar si el acceso a la aplicación o la pertenencia al grupo sigue siendo necesario o se puede quitar. Para la administración de usuarios externos, puede saber si un usuario externo sigue activo en el inquilino o si debe limpiarse.

Detección de cuentas de usuario inactivas con Microsoft Graph

Puede detectar cuentas inactivas mediante la evaluación de varias propiedades, algunas de las cuales están disponibles en el punto de conexión de beta de la API de Microsoft Graph. No se recomienda usar los puntos de conexión de versión beta en producción, pero le invitamos a probarlos.

La propiedad lastSignInDateTime expuesta por el tipo de recurso signInActivity de la API de Microsoft Graph. La propiedad lastSignInDateTime muestra la última vez que un usuario ha intentado realizar un inicio de sesión interactivo en Microsoft Entra ID. Con esta propiedad, puede implementar una solución para los escenarios siguientes:

  • Fecha y hora del último inicio de sesión para todos los usuarios: En este escenario, debe generar un informe de la última fecha de inicio de sesión de todos los usuarios. Se solicita una lista de todos los usuarios y el último lastSignInDateTime para cada usuario respectivo:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Usuarios por nombre: en este escenario, busca un usuario específico por nombre, lo que le permite evaluar el valor de lastSignInDateTime:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Usuarios por fecha: En este escenario, solicita una lista de usuarios con un valor de lastSignInDateTime anterior a una fecha especificada:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Última fecha y hora de inicio de sesión correctos (beta): este escenario solo está disponible en el punto de conexión de beta de la API de Microsoft Graph. Puede solicitar una lista de usuarios con un lastSuccessfulSignInDateTime antes de una fecha especificada:

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Oharra

La propiedad signInActivity admite $filter (eq, ne, not, ge, le) pero no con otras propiedades filtrables. Deberá especificar $select=signInActivity o $filter=signInActivity mientras liste usuarios, ya que la propiedad signInActivity no se devolverá de forma predeterminada.

Consideraciones para la propiedad lastSignInDateTime

Los siguientes detalles se relacionan con la propiedad lastSignInDateTime.

  • La propiedad lastSignInDateTime se expone por el tipo de recurso signInActivity de Microsoft Graph API.

  • La propiedad no está disponible mediante el cmdlet Get-MgAuditLogDirectoryAudit.

  • Cada intento de inicio de sesión interactivo genera una actualización del almacén de datos subyacente. Por lo general, los inicios de sesión se muestran en el informe de inicio de sesión relacionado en un plazo de 6 horas.

  • Para generar una marca de tiempo lastSignInDateTime, debe intentar iniciar sesión. Un intento de inicio de sesión exitoso o con errores, siempre que se registre en los registros de inicio de sesión de Microsoft Entra, generará una marca de tiempo lastSignInDateTime. El valor de la propiedad lastSignInDateTime puede estar en blanco si:

    • El último intento de inicio de sesión de un usuario ha tenido lugar antes de abril de 2020.
    • La cuenta de usuario afectada nunca se ha usado para un intento de inicio de sesión.
  • La fecha del último inicio de sesión está asociada al objeto de usuario. El valor se conserva hasta el siguiente inicio de sesión del usuario. Puede tardar hasta 24 horas en actualizarse.

Cómo investigar un único usuario en el Centro de administración de Microsoft Entra

Argibidea

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Si necesita ver la actividad de inicio de sesión más reciente de un usuario, puede ver los detalles de inicio de sesión del usuario en Microsoft Entra ID. También puede usar el escenario de usuarios por nombre de Microsoft Graph descrito en la sección anterior.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.

  2. Vaya aIdentidad>Usuarios>Todos los usuarios.

  3. Seleccione un usuario en la lista.

  4. En el área Mi fuente de la Información general del usuario, localice el mosaico Inicios de sesión.

    Captura de pantalla de la página de información general del usuario con el mosaico de actividad de inicio de sesión resaltado.

La última fecha y hora de inicio de sesión que se muestran en este mosaico podrían tardar hasta 24 horas en actualizarse, lo que significa que es posible que la fecha y la hora no estén actualizadas. Si necesita ver la actividad casi en tiempo real, seleccione el vínculo Ver todos los inicios de sesión en el mosaico Inicios de sesión para ver toda la actividad de inicio de sesión de ese usuario.