非アクティブなユーザー アカウントを検出して調査する方法

大規模な環境では、従業員が退職したときに、ユーザー アカウントが必ず削除されるとは限りません。 このような使用されなくなったユーザー アカウントはセキュリティ上のリスクとなるため、IT 管理者はそれらを検出して処理する必要があります。

この記事では、Microsoft Entra ID の古くなったユーザー アカウントを処理する方法について説明します。

注

この記事は、Microsoft Entra ID の非アクティブなユーザー アカウントを検出する場合にのみ適用されます。 Azure AD B2C での非アクティブなアカウントの検索には適用されません。

前提条件

• Microsoft Graph を使用して lastSuccessfulSignInDateTime プロパティにアクセスするには、Microsoft Entra ID P1 または P2 ライセンスが必要です。
• アプリに次の Microsoft Graph アクセス許可を付与する必要があります。
  • AuditLog.Read.All
  • User.Read.All
• レポート閲覧者は、アクティビティ ログにアクセスするために必要な最小特権ロールです。
  • ロールの完全な一覧については、「タスク別の最小特権ロール」を参照してください。

非アクティブなユーザーアカウントとは

非アクティブなアカウントとは、組織のメンバーがリソースにアクセスするためにもう必要としなくなったユーザー アカウントのことです。 非アクティブなアカウントの主要な識別要素の 1 つは、環境へのサインインにそれらが "しばらくの間" 使用されていないことです。 非アクティブなアカウントはサインイン アクティビティに関連付けられているため、アカウントが最後にサインインを試みた時刻のタイムスタンプを使用して、非アクティブなアカウントを検出できます。

この方法の課題は、自分の環境にとって "しばらくの間" が何を意味するかを定義することです。 たとえば、ユーザーが休暇中のために、"しばらくの間" 環境にサインインしていない可能性があります。 あなたの環境へのサインインをしないためのすべての正当な理由を検討する必要があります。 多くの組織では、非アクティブなユーザー アカウントの妥当な期間は 90 日から 180 日です。

最後のサインイン日は、リソースへのアクセスに対するユーザーの継続的なニーズに関する潜在的な分析情報を提供します。 グループ メンバーシップまたはアプリへのアクセスがまだ必要とされているか、それとも削除された可能性があるかを判断するのに役立つこともあります。 外部ユーザー管理では、外部ユーザーがまだテナント内でアクティブであるか、削除する必要があるかどうかを判断できます。

非アクティブなユーザー アカウントを検索して調査する方法

Microsoft Entra 管理センターまたは Microsoft Graph API を使用して、非アクティブなユーザー アカウントを見つけることができます。 非アクティブなユーザー アカウントの組み込みレポートはありませんが、最後のサインイン日時を使用して、ユーザー アカウントが非アクティブかどうかを判断できます。

管理センター

ユーザーの最後のサインイン時刻を見つけるには、Microsoft Entra 管理センターでユーザーの一覧を確認できます。 すべてのユーザーがユーザーの一覧を表示できますが、一部の列と詳細は、適切なアクセス許可を持つユーザーのみが使用できます。

すべてのユーザーの最後のサインイン時刻を見つける

1. Microsoft Entra 管理センターにレポート閲覧者以上としてサインインします。

2. Entra ID>Users に移動します。

3. [ビューの管理] を選択し、次に [列の編集] を選択します。

   

4. 一覧で [+ 列の追加] を選択し、[前回の対話型サインイン時間] を選んでから [保存] を選択します。

   

5. 列が[すべてのユーザー] リストに表示されたら、フィルターの追加 を選択して、フィルターオプションで検索の期間を設定します。

   • 演算子として <[=] を選んで日付を選択すると、その日付よりも前のログインした日付を確認できます。

1 人のユーザーを調査する

あるユーザーの最新のサインイン アクティビティを確認する必要がある場合は、Microsoft Entra ID でユーザーのサインインの詳細を確認できます。 「 名前別のユーザー」セクションで説明されている Microsoft Graph API を使用することもできます。

1. Microsoft Entra 管理センターにレポート閲覧者以上としてサインインします。

2. Entra ID>Users に移動します。

3. 一覧からユーザーを選択します。

4. ユーザーの [概要] の [マイ フィード] 領域で、[サインイン] タイルを見つけます。

   

このタイルに表示される最終サインイン日時は、更新されるまでに最大 24 時間かかる場合があります。つまり、この日時は最新のものではない可能性があります。 ほぼリアルタイムでアクティビティを確認する必要がある場合は、[サインイン] タイルの[See all sign-ins] (すべてのサインインを表示する) リンクを選択して、そのユーザーのすべてのサインイン アクティビティを表示します。

Microsoft Graph

複数のプロパティを評価することで、非アクティブなアカウントを検出できます。 lastSignInDateTime プロパティは、signInActivity の リソースの種類によって公開されます。 lastSignInDateTime プロパティは、ユーザーが Microsoft Entra ID で対話型サインインを最後に試行した時刻を示します。

このプロパティを使用すると、次のシナリオの解決策を実行できます。

すべてのユーザーの最終サインイン日時

"すべてのユーザーの最後のサインイン日付のレポートを生成します。 応答には、すべてのユーザーの一覧と、それぞれのユーザーの最後の lastSignInDateTime が表示されます。

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

サインインが最後に成功した日時

このクエリは、ユーザー一覧に最後のサインイン日を追加し、Microsoft Entra 管理センターで特定の日付でフィルター処理するのと似ています。 指定の日付lastSuccessfulSignInDateTimeまたはlastSignInDateTimeそれより前にサインインしたユーザーの一覧を要求できます。 このクエリの応答はユーザーの詳細を提供しますが、ユーザーのサインイン アクティビティは提供しません。 これらの詳細を表示するには、Users by name シナリオでクエリを試してください。

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

名前別のユーザー

このシナリオでは、特定のユーザーを名前で検索します。 このクエリの応答には、最後のサインインの日付、時刻、および要求 ID が含まれます。

要求:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

応答:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: サインインエラーを含む、最後の対話型サインイン試行の日時。 最後のサインイン試行が成功した場合、このプロパティの日時は lastSuccessfulSignInDateTimeと同じです。
• lastNonInteractiveSignInDateTime: 最後の非対話型サインイン試行の日時。
• lastSuccessfulSignInDateTime: 最後に成功した対話型サインインの日時。

注

signInActivity プロパティは $filter (eq、ne、not、ge、le) をサポートしていますが、"他のフィルター可能なプロパティと一緒に使用することはできません"。 ユーザーを一覧表示する際に、$select=signInActivity または $filter=signInActivity を指定する必要があります。signInActivity プロパティが既定で返されないためです。

lastSignInDateTime プロパティに関する考慮事項

以下の詳細は、lastSignInDateTime プロパティに関連するものです。

• lastSignInDateTime プロパティは、Microsoft Graph API の signInActivity リソースの種類によって公開されます。

• このプロパティは、Get-AzureAdUser コマンドレットでは使用できません。

• 対話型サインインが試行されるたびに、基になるデータ ストアが更新されます。 通常、サインインは、6 時間以内に関連するサインイン レポートに表示されます。

• lastSignInDateTimeタイムスタンプを生成するには、サインインを試みる必要があります。 Microsoft Entra サインイン ログに記録されている限り、サインイン試行が失敗したか成功した場合は、lastSignInDateTimeタイムスタンプが生成されます。 次の場合、 lastSignInDateTime プロパティの値が空白になる可能性があります。

  • ユーザーが最後に試行したサインインが、2020 年 4 月より前に行われた。
  • 影響を受けるユーザー アカウントが、サインインに使用されたことがない。

• 前回のサインインの日付は、ユーザー オブジェクトに関連付けられます。 この値は、ユーザーの次回のサインインまで保持されます。 更新には最大 24 時間かかる場合があります。

非アクティブなユーザーに対処する方法

非アクティブなユーザーを特定したら、まず次の質問をします。

• ユーザーは組織でまだ雇用されていますか?
• ユーザーは引き続きアクセス権を持つリソースにアクセスする必要がありますか?
• 他の理由でユーザー アカウントは引き続き必要ですか?

非アクティブなユーザーに対処する方法はシナリオによって異なりますが、セキュリティ リスクを軽減するには、未使用のアカウントまたは過剰な特権を持つアカウントのクリーンアップを優先する必要があります。 次の機能とオプションは開始するのに最適な場所ですが、これらの機能の一部には追加のライセンスが必要な場合があることに注意してください。

• 古いゲスト アカウントをクリーンアップする
• 動的メンバーシップ グループは、ユーザー プロパティに基づいてグループに対してユーザーを自動的に追加または削除することを検討してください。
  • 動的メンバーシップ グループを作成する
• Microsoft Entra ID ガバナンス アクセス レビューを使用して、ユーザーのアクセスを監査します。
  • アクセス レビューとは
  • アクセス レビューの推奨事項を確認する

関連するコンテンツ

• 監査 API リファレンス
• サインイン アクティビティ レポート API リファレンス