Procedure: Inactieve gebruikersaccounts beheren in Azure AD

In grote omgevingen worden gebruikersaccounts niet altijd verwijderd wanneer werknemers een organisatie verlaten. Als IT-beheerder wilt u deze verouderde gebruikersaccounts detecteren en afhandelen omdat ze een beveiligingsrisico vormen.

In dit artikel wordt een methode uitgelegd voor het afhandelen van verouderde gebruikersaccounts in Azure AD.

Belangrijk

API's onder de /beta versie in Microsoft Graph kunnen worden gewijzigd. Het gebruik van deze API's in productie-apps wordt niet ondersteund. Gebruik de versieselector om te bepalen of een API beschikbaar is in v1.0.

Wat zijn inactieve gebruikersaccounts?

Inactieve accounts zijn gebruikersaccounts die niet meer zijn vereist door leden van uw organisatie om toegang te krijgen tot uw resources. Een sleutel-id voor inactieve accounts is dat ze al een tijdje niet zijn gebruikt om u aan te melden bij uw omgeving. Omdat inactieve accounts zijn gekoppeld aan de aanmeldingsactiviteit, kunt u de tijdstempel van de laatste aanmelding gebruiken die is geslaagd om ze te detecteren.

De uitdaging van deze methode is om te definiëren wat een tijdje betekent in het geval van uw omgeving. Gebruikers kunnen zich bijvoorbeeld een tijdje niet aanmelden bij een omgeving, omdat ze op vakantie zijn. Wanneer u definieert wat uw delta is voor inactieve gebruikersaccounts, moet u rekening houden met alle legitieme redenen om u niet aan te melden bij uw omgeving. In veel organisaties is de delta voor inactieve gebruikersaccounts tussen 90 en 180 dagen.

De laatste geslaagde aanmelding biedt potentiële inzichten in de voortdurende behoefte aan toegang tot resources van een gebruiker. Het kan helpen bij het bepalen of groepslidmaatschap of app-toegang nog steeds nodig is of kan worden verwijderd. Voor extern gebruikersbeheer kunt u zien of een externe gebruiker nog actief is in de tenant of moet worden opgeschoond.

Inactieve gebruikersaccounts detecteren

U detecteert inactieve accounts door de eigenschap lastSignInDateTime te evalueren die wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API. De eigenschap lastSignInDateTime toont de laatste keer dat een gebruiker een geslaagde interactieve aanmelding bij Azure AD heeft uitgevoerd. Met deze eigenschap kunt u een oplossing implementeren voor de volgende scenario's:

  • Gebruikers op naam: In dit scenario zoekt u naar een specifieke gebruiker op naam, waarmee u de lastSignInDateTime kunt evalueren: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Gebruikers op datum: In dit scenario vraagt u een lijst met gebruikers aan met een lastSignInDateTime vóór een opgegeven datum: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Notitie

Mogelijk is het nodig om een rapport te genereren van de laatste aanmeldingsdatum van alle gebruikers, als u het volgende scenario kunt gebruiken. Datum en tijd van laatste aanmelding voor alle gebruikers: in dit scenario vraagt u een lijst aan met alle gebruikers en de laatste lastSignInDateTime voor elke desbetreffende gebruiker: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Wat u dient te weten

In deze sectie wordt beschreven wat u moet weten over de eigenschap lastSignInDateTime.

Hoe krijg ik toegang tot deze eigenschap?

De eigenschap lastSignInDateTime wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API.

Notitie

Het resourcetype signInActivity is alleen beschikbaar op het Microsoft Graph-eindpunt beta en wordt nog niet ondersteund in GCC High-omgevingen van de Amerikaanse overheid.

Is de eigenschap lastSignInDateTime beschikbaar via de cmdlet Get-AzureAdUser?

Nee.

Welke editie van Azure AD heb ik nodig om toegang te krijgen tot de eigenschap?

Voor toegang tot deze eigenschap hebt u een Azure Active Directory Premium-editie nodig.

Welke machtiging heb ik nodig om de eigenschap te lezen?

Als u deze eigenschap wilt lezen, moet u de volgende rechten verlenen:

  • AuditLog.Read.All
  • Directory.Read.All

Wanneer werkt Azure AD de eigenschap bij?

Elke interactieve aanmelding die succesvol is, resulteert in een update van het onderliggende gegevensarchief. Geslaagde aanmeldingen worden doorgaans binnen tien minuten weergegeven in het gerelateerde aanmeldingsrapport.

Wat betekent een lege eigenschapswaarde?

Als u een tijdstempel lastSignInDateTime wilt genereren, hebt u een geslaagde aanmelding nodig. Omdat de eigenschap lastSignInDateTime een nieuwe functie is, kan de waarde van de eigenschap lastSignInDateTime leeg zijn als:

  • De laatste geslaagde aanmelding van een gebruiker vond plaats vóór april 2020.
  • Het betrokken gebruikersaccount is nooit gebruikt voor een geslaagde aanmelding.

Hoe lang blijft de laatste aanmelding behouden?

De laatste aanmeldingsdatum is gekoppeld aan het gebruikersobject. De waarde blijft behouden tot de volgende aanmelding van de gebruiker.

Volgende stappen