Comment détecter et examiner les comptes d’utilisateur inactifs

Dans de grands environnements, les comptes d’utilisateur ne sont pas toujours supprimés quand les employés quittent une organisation. En tant qu’administrateur informatique, vous souhaitez détecter et résoudre ces comptes d’utilisateur obsolètes parce qu’ils constituent un risque pour la sécurité.

Cet article explique une méthode pour gérer les comptes d'utilisateurs obsolètes dans Microsoft Entra ID.

Note

Cet article s'applique uniquement à la recherche de comptes d'utilisateurs inactifs dans Microsoft Entra ID. Elle ne s’applique pas à la recherche de comptes inactifs dans Azure AD B2C.

Prerequisites

• Pour accéder à la propriété lastSuccessfulSignInDateTime dans Microsoft Graph, vous avez besoin d’une licence Microsoft Entra ID P1 ou P2.
• Vous devez accorder à l’application les autorisations Microsoft Graph suivantes :
  • AuditLog.Read.All
  • User.Read.All
• Le rôle Lecteur de rapports est le rôle le moins privilégié requis pour accéder aux journaux d'activité.
  • Pour obtenir la liste complète des rôles, consultez Rôles à moindres privilèges par tâche.

Que sont les comptes d’utilisateur inactifs ?

Les comptes inactifs sont des comptes d’utilisateur qui ne sont plus requis par des membres de votre organisation pour accéder à vos ressources. Un indicateur clé pour des comptes inactifs est qu’ils n’ont pas été utilisés pendant un certain temps pour se connecter à votre environnement. Dans la mesure où les comptes inactifs sont liés à l’activité de connexion, pour détecter les comptes inactifs, vous pouvez vous servir de l’horodatage de la dernière tentative de connexion d’un compte.

Le défi de cette méthode consiste à définir à quoi correspond un certain temps pour votre environnement. Par exemple, il est possible que des utilisateurs puissent ne pas se connecter à un environnement pendant un certain temps parce qu’ils sont en congés. Vous devez prendre en compte toutes les raisons légitimes de ne pas vous connecter à votre environnement. Dans de nombreuses organisations, une fenêtre raisonnable pour les comptes d’utilisateurs inactifs est comprise entre 90 et 180 jours.

La dernière date de connexion fournit des informations potentielles sur le besoin continu d’un utilisateur d’accéder aux ressources. Elle contribue à déterminer si l’appartenance au groupe ou l’accès à l’application est toujours nécessaire ou peut être supprimé. Pour la gestion des utilisateurs externes, vous pouvez déterminer si un utilisateur externe est toujours actif dans le locataire ou doit être supprimé.

Comment rechercher et examiner les comptes d’utilisateur inactifs

Vous pouvez utiliser le Centre d’administration Microsoft Entra ou l’API Microsoft Graph pour rechercher des comptes d’utilisateur inactifs. Bien qu’il n’existe pas de rapport intégré pour les comptes d’utilisateur inactifs, vous pouvez utiliser la date et l’heure de la dernière connexion pour déterminer si un compte d’utilisateur est inactif.

Centre d’administration

Pour trouver la dernière heure de connexion d’un utilisateur, vous pouvez consulter votre liste d’utilisateurs dans le Centre d’administration Microsoft Entra. Bien que tous les utilisateurs puissent voir la liste des utilisateurs, certaines colonnes et détails sont uniquement disponibles pour les utilisateurs disposant des autorisations appropriées.

Rechercher la dernière heure de connexion pour tous les utilisateurs

1. Veuillez vous connecter au centre d'administration Microsoft Entra avec au moins les droits de lecteur de rapports.

2. Accédez à Entra ID>Utilisateurs.

3. Sélectionnez Gérer l'affichage, puis Modifier les colonnes.

   

4. Dans la liste, sélectionnez + Ajouter une colonne, sélectionnez Dernière heure de connexion interactive dans la liste, puis sélectionnez Enregistrer.

   

5. Avec la colonne désormais visible dans la liste de tous les utilisateurs, sélectionnez Ajouter un de filtre et définissez une période de temps pour votre recherche à l’aide des options de filtre.

   • Sélectionnez < = comme opérateur, puis sélectionnez la date pour trouver la dernière connexion avant la date sélectionnée.

Examiner un seul utilisateur

Si vous avez besoin d’afficher la dernière activité de connexion d’un utilisateur, vous pouvez afficher les détails de connexion de l’utilisateur dans Microsoft Entra ID. Vous pouvez également utiliser l’API Microsoft Graph décrite dans la section Utilisateurs par nom.

1. Veuillez vous connecter au centre d'administration Microsoft Entra avec au moins les droits de lecteur de rapports.

2. Accédez à Entra ID>Utilisateurs.

3. Sélectionnez un utilisateur depuis la liste.

4. Dans la zone Mon flux de la vue d’ensemble de l’utilisateur, recherchez la mosaïque Connexions.

   

L’affichage de la date et heure de la dernière connexion sur cette mosaïque peut prendre jusqu’à 24 heures, ce qui signifie qu’il est possible qu’il ne soit pas actuel. Si vous avez besoin de voir l’activité en quasi-temps réel, sélectionnez le lien Afficher toutes les connexions dans la mosaïque Connexions pour afficher toutes les activités de connexion de cet utilisateur.

Microsoft Graph

Vous pouvez détecter les comptes inactifs en évaluant plusieurs propriétés. La lastSignInDateTime propriété est exposée par le signInActivity type de ressource de l’API Microsoft Graph. La lastSignInDateTime propriété indique la dernière fois qu’un utilisateur a tenté d’effectuer une tentative de connexion interactive dans l’ID Microsoft Entra.

À l’aide de cette propriété, vous pouvez implémenter une solution pour les scénarios suivants :

Date et heure de la dernière connexion pour tous les utilisateurs

Générez un rapport de la date de dernière connexion de tous les utilisateurs . La réponse fournit une liste de tous les utilisateurs et le dernier lastSignInDateTime pour chaque utilisateur respectif.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Date et heure de la dernière connexion réussie

Cette requête est similaire à l’ajout de la dernière date de connexion à la liste des utilisateurs et au filtrage par une date spécifique dans le Centre d’administration Microsoft Entra. Vous pouvez demander une liste d’utilisateurs avec lastSuccessfulSignInDateTime ou lastSignInDateTimeavant une date spécifiée. La réponse de cette requête fournit les détails de l’utilisateur, mais ne fournit pas l’activité de connexion de l’utilisateur. Pour afficher ces détails, essayez la requête dans le scénario Utilisateurs par nom.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Utilisateurs par nom

Dans ce scénario, vous recherchez un utilisateur spécifique par nom. La réponse de cette requête inclut la date, l’heure et l’ID de demande pour leurs dernières connexions.

Requête :

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Réponse :

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: date et heure de la dernière tentative de connexion interactive, y compris les échecs de connexion. Dans le cas où la dernière tentative de connexion a réussi, la date et l'heure de cette propriété sont identiques à celles de la lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: date et heure de la dernière tentative de connexion non interactive.
• lastSuccessfulSignInDateTime: date et heure de la dernière connexion interactive réussie.

Note

La propriété signInActivity prend en charge $filter (eq, ne, not, ge, le), mais pas avec d’autres propriétés filtrables. Vous devez spécifier $select=signInActivity ou $filter=signInActivity lors de la génération de la liste des utilisateurs, car la propriété signInActivity n’est pas retournée par défaut.

Considérations relatives à la propriété lastSignInDateTime

Les détails suivants concernent la propriété lastSignInDateTime.

• La lastSignInDateTime propriété est exposée par le type de ressource signInActivity de l’API Microsoft Graph.

• La propriété n’est pas disponible via la cmdlet Get-MgAuditLogDirectoryAudit.

• Chaque connexion interactive essayée aboutit à une mise à jour du magasin de données sous-jacent. En général, les connexions s’affichent dans le rapport de connexion associé dans un délai de 6 heures.

• Pour générer un timestamp lastSignInDateTime, vous devez tenter une connexion. Une tentative de connexion ayant échoué ou réussie, tant qu’elle est enregistrée dans les journaux de connexion Microsoft Entra, génère un lastSignInDateTime horodatage. La valeur de la lastSignInDateTime propriété peut être vide si :

  • La dernière tentative de connexion d’un utilisateur a eu lieu avant avril 2020.
  • Le compte d’utilisateur concerné n’a jamais été utilisé pour une tentative de connexion.

• La date de la dernière connexion est associée à l’objet utilisateur. La valeur est conservée jusqu’à la connexion suivante de l’utilisateur. La mise à jour peut prendre jusqu'à 24 heures.

Comment traiter les utilisateurs inactifs

Après avoir identifié les utilisateurs inactifs, commencez par poser les questions suivantes :

• L’utilisateur est-il toujours employé par l’organisation ?
• L’utilisateur a-t-il toujours besoin d’accéder aux ressources auxquelles il a accès ?
• Le compte d’utilisateur est-il toujours nécessaire pour toute autre raison ?

La façon dont vous traitez les utilisateurs inactifs dépend de votre scénario, mais le nettoyage des comptes inutilisés ou des comptes sur-privilégiés doit être votre priorité pour réduire les risques de sécurité. Les fonctionnalités et options suivantes constituent un excellent point de départ, mais notez que certaines de ces fonctionnalités peuvent nécessiter des licences supplémentaires.

• Nettoyer les comptes invités obsolètes
• Envisagez d’ajouter ou de supprimer automatiquement des utilisateurs des groupes en fonction de leurs propriétés utilisateur.
  • Créer un groupe d’appartenances dynamique
• Utilisez les révisions d’accès microsoft Entra ID Governance pour auditer l’accès de vos utilisateurs.
  • Que sont les révisions d’accès ?
  • Passer en revue les recommandations pour les révisions d’accès

Contenu associé

• Informations de référence sur l’API d’audit
• Informations de référence sur l’API de création de rapports relatifs à l’activité de connexion