Come rilevare gli account utente inattivi

Negli ambienti di grandi dimensioni, gli account utente non vengono sempre eliminati quando i dipendenti lasciano un'organizzazione. Per gli amministratori IT è importante rilevare e gestire questi account utente obsoleti perché rappresentano un rischio per la sicurezza.

Questo articolo illustra un metodo per gestire gli account utente obsoleti in Microsoft Entra ID.

Nota

Questo articolo si applica solo alla ricerca di account utente inattivi in Microsoft Entra ID. Non si applica alla ricerca di account inattivi in Azure AD B2C.

Prerequisiti

• Per accedere alla proprietà lastSuccessfulSignInDateTime tramite Microsoft Graph, è necessaria una licenza microsoft Entra ID P1 o P2.
• È necessario concedere all'app le autorizzazioni di Microsoft Graph seguenti:
  • AuditLog.Read.All
  • Utente.Leggi.Tutto
• Il ruolo di Lettore report è quello con i privilegi minimi necessari per accedere ai registri delle attività.
  • Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Che cosa sono gli account utente inattivi?

Gli account inattivi sono account utente che non sono più necessari per i membri dell'organizzazione per ottenere l'accesso alle risorse. Un elemento chiave per gli account inattivi è che non vengono utilizzati per un po' di tempo per accedere al tuo ambiente. Poiché gli account inattivi sono associati all'attività di accesso, è possibile usare il timestamp dell'ultima volta che un account ha tentato di accedere per rilevare gli account inattivi.

La sfida di questo metodo consiste nel definire cosa significa, nel proprio ambiente, per un po'. Ad esempio, gli utenti potrebbero non accedere a un ambiente per un periodo di tempo, perché sono in vacanza. È necessario considerare tutti i propri motivi legittimi per non accedere all'ambiente. In molte organizzazioni, una finestra ragionevole per gli account utente inattivi è compresa tra 90 e 180 giorni.

L'ultima data di accesso offre potenziali informazioni dettagliate sulla necessità continua di un utente di accedere alle risorse. Può essere utile per determinare se l'appartenenza al gruppo o l'accesso all'app è ancora necessario o può essere rimosso. Per la gestione degli utenti esterni, è possibile determinare se un utente esterno è ancora attivo all'interno del tenant o deve essere rimosso.

Come trovare e analizzare gli account utente inattivi

È possibile usare l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph per trovare account utente inattivi. Anche se non esiste un report predefinito per gli account utente inattivi, è possibile usare la data e l'ora dell'ultimo accesso per determinare se un account utente è inattivo.

Interfaccia di amministrazione

Per trovare l'ultima ora di accesso per un utente, è possibile esaminare l'elenco degli utenti nell'interfaccia di amministrazione di Microsoft Entra. Anche se tutti gli utenti possono visualizzare l'elenco degli utenti, alcune colonne e dettagli sono disponibili solo per gli utenti con le autorizzazioni appropriate.

Trovare l'ora dell'ultimo accesso per tutti gli utenti

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di report.

2. Passare a Entra ID>Utenti.

3. Selezionare Gestisci visualizzazione e quindi Modifica colonne.

   

4. Nell'elenco selezionare + Aggiungi colonna, selezionare Ora ultimo accesso interattivo nell'elenco e quindi selezionare Salva.

   

5. Con la colonna ora visibile nell'elenco tutti gli utenti, selezionare Aggiungi filtro e impostare un intervallo di tempo per la ricerca usando le opzioni di filtro.

   • Selezionare < = come Operatore, quindi selezionare la data per trovare l'ultimo accesso prima della data selezionata.

Analizzare un singolo utente

Se è necessario visualizzare l'attività di accesso più recente per un utente, è possibile visualizzare i dettagli di accesso dell'utente in Microsoft Entra ID. È anche possibile usare l'API Microsoft Graph descritta nella sezione Utenti per nome.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di report.

2. Passare a Entra ID>Utenti.

3. Selezionare un utente dall'elenco.

4. Nell'area Il mio Feed della panoramica dell'utente, individuare il riquadro Accesso.

   

La data e l'ora dell'ultimo accesso visualizzate in questo riquadro potrebbero richiedere fino a 24 ore per l'aggiornamento, il che significa che la data e l'ora potrebbero non essere aggiornate. Se è necessario visualizzare l'attività quasi in tempo reale, selezionare il collegamento Visualizza tutti gli accessi nel riquadro Accessi per visualizzare tutte le attività di accesso per l'utente.

Microsoft Graph

È possibile rilevare gli account inattivi valutando diverse proprietà. La proprietà lastSignInDateTime viene esposta dal tipo di risorsa signInActivity dell'API Microsoft Graph . La proprietà lastSignInDateTime mostra l'ultima volta che un utente ha tentato di eseguire un tentativo di accesso interattivo in Microsoft Entra ID.

Usando questa proprietà, è possibile implementare una soluzione per gli scenari seguenti:

Data e ora dell'ultimo accesso per tutti gli utenti

Generare un report dell'ultima data di accesso di tutti gli utenti . La risposta fornisce un elenco di tutti gli utenti e l'ultimo lastSignInDateTime per ogni rispettivo utente.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Data e ora dell'ultimo accesso riuscito

Questa query è simile all'aggiunta dell'ultima data di accesso all'elenco utenti e al filtro in base a una data specifica nell'interfaccia di amministrazione di Microsoft Entra. È possibile richiedere un elenco di utenti con un lastSuccessfulSignInDateTime o lastSignInDateTimeprima di una data specificata. La risposta per questa query fornisce i dettagli dell'utente, ma non fornisce l'attività di accesso dell'utente. Per visualizzare questi dettagli, provare la query nello scenario Utenti per nome .

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Utenti per nome

In questo scenario si cerca un utente specifico in base al nome. La risposta per questa query include la data, l'ora e l'ID richiesta per gli ultimi accessi.

Richiesta:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Risposta:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: data e ora dell'ultimo tentativo di accesso interattivo, inclusi gli errori di accesso. Nel caso in cui l'ultimo tentativo di accesso sia riuscito, la data e l'ora di questa proprietà sono uguali a quella di lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: data e ora dell'ultimo tentativo di accesso non interattivo.
• lastSuccessfulSignInDateTime: data e ora dell'ultimo accesso interattivo riuscito.

Nota

La signInActivity proprietà supporta $filter (eq, ne, not, ge, ) lema non con altre proprietà filtrabili. È necessario specificare $select=signInActivity o $filter=signInActivity durante l'inserzione degli utenti, perché la proprietà signInActivity non viene restituita per impostazione predefinita.

Considerazioni per la proprietà lastSignInDateTime

I dettagli seguenti sono correlati alla lastSignInDateTime proprietà.

• La lastSignInDateTime proprietà viene esposta dal tipo di risorsa signInActivitydell'API Microsoft Graph.

• La proprietà non è disponibile tramite il cmdlet Get-MgAuditLogDirectoryAudit.

• Ogni accesso interattivo che ha avuto esito positivo comporta un aggiornamento dell'archivio dati sottostante. In genere, gli accessi con esito positivo vengono visualizzati nel rispettivo report di accesso entro 6 ore.

• Per generare un timestamp lastSignInDateTime, è necessario tentare un accesso. Sia un tentativo di accesso non riuscito sia uno riuscito, purché registrato nei log di accesso di Microsoft Entra , genera un timestamp lastSignInDateTime. Il valore della proprietà lastSignInDateTime potrebbe essere vuoto se:

  • L'ultimo tentativo di accesso di un utente è avvenuto prima di aprile 2020.
  • L'account utente interessato non è mai stato usato per un accesso riuscito.

• L'ultima data di accesso è associata all'oggetto utente. Il valore viene mantenuto fino al successivo accesso dell'utente. L'aggiornamento potrebbe richiedere fino a 24 ore.

Come gestire gli utenti inattivi

Dopo aver identificato gli utenti inattivi, iniziare ponendo le domande seguenti:

• L'utente è ancora impiegato dall'organizzazione?
• L'utente deve comunque accedere alle risorse a cui ha accesso?
• L'account utente è ancora necessario per qualsiasi altro motivo?

Il modo in cui affrontare gli utenti inattivi dipende dal tuo scenario, ma la pulizia degli account inutilizzati o degli account con privilegi eccessivi deve essere la tua priorità per ridurre i rischi per la sicurezza. Le funzionalità e le opzioni seguenti sono un ottimo punto di partenza, ma si noti che alcune di queste funzionalità potrebbero richiedere licenze aggiuntive.

• Elimina gli account guest obsoleti
• Prendere in considerazione il gruppo di appartenenze dinamiche per aggiungere o rimuovere automaticamente utenti da gruppi in base alle proprietà utente.
  • Creare un gruppo di appartenenze dinamiche
• Usare le verifiche di accesso alla governance di Microsoft Entra ID per controllare l'accesso degli utenti.
  • Che cosa sono le verifiche di accesso?
  • Esaminare le raccomandazioni per le verifiche di accesso

Contenuto correlato

• Informazioni di riferimento sulle API di controllo
• Documentazione dell'API sul rapporto delle attività di accesso