Het beheer van inactieve gebruikersaccounts in Azure AD

In grote omgevingen worden gebruikersaccounts niet altijd verwijderd wanneer werknemers een organisatie verlaten. Als IT-beheerder wilt u deze verouderde gebruikersaccounts detecteren en afhandelen omdat ze een beveiligingsrisico vormen.

In dit artikel wordt een methode uitgelegd voor het afhandelen van verouderde gebruikersaccounts in Azure AD.

Belangrijk

API's in de /beta versie in Microsoft Graph zijn onderhevig aan wijzigingen. Het gebruik van deze API's in productie-apps wordt niet ondersteund. Gebruik de Versiekiezer om te bepalen of een API beschikbaar is in v1.0.

Wat zijn inactieve gebruikersaccounts?

Inactieve accounts zijn gebruikersaccounts die niet meer vereist zijn door leden van uw organisatie om toegang te krijgen tot uw resources. Eén sleutel-id voor inactieve accounts is dat ze al een tijdje niet zijn gebruikt om u aan te melden bij uw omgeving. Omdat inactieve accounts zijn gekoppeld aan de aanmeldingsactiviteit, kunt u de tijdstempel van de laatste aanmelding gebruiken die is geslaagd om deze te detecteren.

De uitdaging van deze methode is om te definiëren wat een tijdje betekent in het kader van uw omgeving. Zo kunnen gebruikers zich bijvoorbeeld een tijdje niet aanmelden bij een omgeving omdat ze op vakantie zijn. Wanneer u definieert wat uw delta is voor inactieve gebruikersaccounts, moet u rekening houden met alle legitieme redenen om u niet aan te melden bij uw omgeving. In veel organisaties is de delta voor inactieve gebruikersaccounts tussen 90 en 180 dagen.

De laatste geslaagde aanmelding biedt mogelijk inzicht in de voortdurende behoefte van toegang tot resources van een gebruiker. Het kan nuttig zijn om te bepalen of groepslidmaatschap of app-toegang nog steeds nodig is, of kan worden verwijderd. Voor het externe gebruikersbeheer kunt u zien of een externe gebruiker nog actief is binnen de tenant of moet worden opgeschoond.

Inactieve gebruikersaccounts detecteren

U detecteert inactieve accounts door de eigenschap lastSignInDateTime te evalueren die wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API. De eigenschap lastSignInDateTime geeft de laatste keer weer dat een gebruiker een geslaagde interactieve aanmelding bij Azure AD heeft gemaakt. Met deze eigenschap kunt u een oplossing implementeren voor de volgende scenario's:

  • Gebruikers op naam: in dit scenario zoekt u een specifieke gebruiker op naam, waarmee u de lastSignInDateTime kunt evalueren: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Gebruikers op datum: in dit scenario vraagt u een lijst met gebruikers aan met een lastSignInDateTime vóór een specifieke datum: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Notitie

Mogelijk moet u een rapport genereren van de laatste aanmeldingsdatum van alle gebruikers, als u het volgende scenario kunt gebruiken. Datum en tijdstip van de laatste aanmelding voor alle gebruikers: in dit scenario vraagt u een lijst aan met alle gebruikers en de laatste lastSignInDateTime voor elke betreffende gebruiker: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Wat u dient te weten

In deze sectie vindt u informatie over de eigenschap lastSignInDateTime.

Hoe krijg ik toegang tot deze eigenschap?

De eigenschap lastSignInDateTime wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API.

Notitie

Het resourcetype signInActivity is alleen beschikbaar op het Microsoft Graph beta eindpunt en wordt nog niet ondersteund in GCC High-omgevingen van de Amerikaanse overheid.

Is de eigenschap lastSignInDateTime beschikbaar via de cmdlet Get-AzureAdUser?

Nee.

Welke editie van Azure AD heb ik nodig om toegang te krijgen tot de eigenschap?

Voor toegang tot deze eigenschap hebt u een Azure Active Directory Premium-editie nodig.

Welke machtiging heb ik nodig om de eigenschap te lezen?

Als u deze eigenschap wilt lezen, moet u de volgende rechten verlenen:

  • AuditLog.Read.All
  • Directory.Read.All

Wanneer werkt Azure AD de eigenschap bij?

Elke interactieve aanmelding die is geslaagd, resulteert in een update van het onderliggende gegevensarchief. Normaal gesproken worden geslaagde aanmeldingen binnen tien minuten weergegeven in het gerelateerde aanmeldingsrapport.

Wat betekent een lege eigenschapswaarde?

Als u een tijdstempel van lastSignInDateTime wilt genereren, hebt u een geslaagde aanmelding nodig. Omdat de eigenschap lastSignInDateTime een nieuwe functie is, kan de waarde van de eigenschap lastSignInDateTime leeg zijn als:

  • de laatste geslaagde aanmelding van een gebruiker plaatsvond vóór april 2020.
  • het betrokken gebruikersaccount nooit is gebruikt voor een geslaagde aanmelding.

Hoe lang blijft de laatste aanmelding behouden?

De laatste aanmeldingsdatum is gekoppeld aan het gebruikersobject. De waarde wordt bewaard tot de volgende aanmelding van de gebruiker.

Volgende stappen