Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans de grands environnements, les comptes d’utilisateur ne sont pas toujours supprimés quand les employés quittent une organisation. En tant qu’administrateur informatique, vous souhaitez détecter et résoudre ces comptes d’utilisateur obsolètes parce qu’ils constituent un risque pour la sécurité.
Cet article explique une méthode pour gérer les comptes d'utilisateurs obsolètes dans Microsoft Entra ID.
Note
Cet article s'applique uniquement à la recherche de comptes d'utilisateurs inactifs dans Microsoft Entra ID. Elle ne s’applique pas à la recherche de comptes inactifs dans Azure AD B2C.
Prerequisites
- Pour accéder à la propriété
lastSuccessfulSignInDateTime
dans Microsoft Graph, vous avez besoin d’une licence Microsoft Entra ID P1 ou P2. - Vous devez accorder à l’application les autorisations Microsoft Graph suivantes :
- AuditLog.Read.All
- User.Read.All
- Le rôle Lecteur de rapports est le rôle le moins privilégié requis pour accéder aux journaux d'activité.
- Pour obtenir la liste complète des rôles, consultez Rôles à moindres privilèges par tâche.
Que sont les comptes d’utilisateur inactifs ?
Les comptes inactifs sont des comptes d’utilisateur qui ne sont plus requis par des membres de votre organisation pour accéder à vos ressources. Un indicateur clé pour des comptes inactifs est qu’ils n’ont pas été utilisés pendant un certain temps pour se connecter à votre environnement. Dans la mesure où les comptes inactifs sont liés à l’activité de connexion, pour détecter les comptes inactifs, vous pouvez vous servir de l’horodatage de la dernière tentative de connexion d’un compte.
Le défi de cette méthode consiste à définir à quoi correspond un certain temps pour votre environnement. Par exemple, il est possible que des utilisateurs puissent ne pas se connecter à un environnement pendant un certain temps parce qu’ils sont en congés. Vous devez prendre en compte toutes les raisons légitimes de ne pas vous connecter à votre environnement. Dans de nombreuses organisations, une fenêtre raisonnable pour les comptes d’utilisateurs inactifs est comprise entre 90 et 180 jours.
La dernière date de connexion fournit des informations potentielles sur le besoin continu d’un utilisateur d’accéder aux ressources. Elle contribue à déterminer si l’appartenance au groupe ou l’accès à l’application est toujours nécessaire ou peut être supprimé. Pour la gestion des utilisateurs externes, vous pouvez déterminer si un utilisateur externe est toujours actif dans le locataire ou doit être supprimé.
Comment rechercher et examiner les comptes d’utilisateur inactifs
Vous pouvez utiliser le Centre d’administration Microsoft Entra ou l’API Microsoft Graph pour rechercher des comptes d’utilisateur inactifs. Bien qu’il n’existe pas de rapport intégré pour les comptes d’utilisateur inactifs, vous pouvez utiliser la date et l’heure de la dernière connexion pour déterminer si un compte d’utilisateur est inactif.
Pour trouver la dernière heure de connexion d’un utilisateur, vous pouvez consulter votre liste d’utilisateurs dans le Centre d’administration Microsoft Entra. Bien que tous les utilisateurs puissent voir la liste des utilisateurs, certaines colonnes et détails sont uniquement disponibles pour les utilisateurs disposant des autorisations appropriées.
Rechercher la dernière heure de connexion pour tous les utilisateurs
Veuillez vous connecter au centre d'administration Microsoft Entra avec au moins les droits de lecteur de rapports.
Accédez à Entra ID>Utilisateurs.
Sélectionnez Gérer l'affichage, puis Modifier les colonnes.
Dans la liste, sélectionnez + Ajouter une colonne, sélectionnez Dernière heure de connexion interactive dans la liste, puis sélectionnez Enregistrer.
Avec la colonne désormais visible dans la liste de tous les utilisateurs, sélectionnez Ajouter un de filtre et définissez une période de temps pour votre recherche à l’aide des options de filtre.
- Sélectionnez < = comme opérateur, puis sélectionnez la date pour trouver la dernière connexion avant la date sélectionnée.
Examiner un seul utilisateur
Si vous avez besoin d’afficher la dernière activité de connexion d’un utilisateur, vous pouvez afficher les détails de connexion de l’utilisateur dans Microsoft Entra ID. Vous pouvez également utiliser l’API Microsoft Graph décrite dans la section Utilisateurs par nom.
Veuillez vous connecter au centre d'administration Microsoft Entra avec au moins les droits de lecteur de rapports.
Accédez à Entra ID>Utilisateurs.
Sélectionnez un utilisateur depuis la liste.
Dans la zone Mon flux de la vue d’ensemble de l’utilisateur, recherchez la mosaïque Connexions.
L’affichage de la date et heure de la dernière connexion sur cette mosaïque peut prendre jusqu’à 24 heures, ce qui signifie qu’il est possible qu’il ne soit pas actuel. Si vous avez besoin de voir l’activité en quasi-temps réel, sélectionnez le lien Afficher toutes les connexions dans la mosaïque Connexions pour afficher toutes les activités de connexion de cet utilisateur.
Comment traiter les utilisateurs inactifs
Après avoir identifié les utilisateurs inactifs, commencez par poser les questions suivantes :
- L’utilisateur est-il toujours employé par l’organisation ?
- L’utilisateur a-t-il toujours besoin d’accéder aux ressources auxquelles il a accès ?
- Le compte d’utilisateur est-il toujours nécessaire pour toute autre raison ?
La façon dont vous traitez les utilisateurs inactifs dépend de votre scénario, mais le nettoyage des comptes inutilisés ou des comptes sur-privilégiés doit être votre priorité pour réduire les risques de sécurité. Les fonctionnalités et options suivantes constituent un excellent point de départ, mais notez que certaines de ces fonctionnalités peuvent nécessiter des licences supplémentaires.
- Nettoyer les comptes invités obsolètes
- Envisagez d’ajouter ou de supprimer automatiquement des utilisateurs des groupes en fonction de leurs propriétés utilisateur.
- Utilisez les révisions d’accès microsoft Entra ID Governance pour auditer l’accès de vos utilisateurs.