Inactieve gebruikersaccounts detecteren en onderzoeken

In grote omgevingen worden gebruikersaccounts niet altijd verwijderd wanneer werknemers een organisatie verlaten. Als IT-beheerder wilt u deze verouderde gebruikersaccounts detecteren en oplossen omdat ze een beveiligingsrisico vormen.

In dit artikel wordt een methode uitgelegd voor het afhandelen van verouderde gebruikersaccounts in Microsoft Entra-id.

Notitie

Dit artikel is alleen van toepassing op het vinden van inactieve gebruikersaccounts in Microsoft Entra-id. Het is niet van toepassing op het vinden van inactieve accounts in Azure AD B2C.

Vereisten

• Voor toegang tot de lastSuccessfulSignInDateTime eigenschap met Microsoft Graph hebt u een Microsoft Entra ID P1- of P2-licentie nodig.
• U moet de app de volgende Microsoft Graph-machtigingen verlenen:
  • Controlelogboek.Lezen.Alles
  • User.Read.All (Gebruiker.Lees.Alles)
• Rapportenlezer is de minst bevoorrechte rol die is vereist voor toegang tot de activiteitenlogboeken.
  • Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.

Wat zijn inactieve gebruikersaccounts?

Inactieve accounts zijn gebruikersaccounts die niet meer nodig zijn voor leden van uw organisatie om toegang te krijgen tot uw resources. Een belangrijk kenmerk van inactieve accounts is dat ze al een tijdje niet zijn gebruikt om in te loggen in uw omgeving. Omdat inactieve accounts zijn gekoppeld aan de aanmeldingsactiviteit, kunt u de tijdstempel gebruiken van de laatste keer dat een account zich heeft geprobeerd aan te melden om inactieve accounts te detecteren.

De uitdaging van deze methode is om te definiëren wat een tijdje betekent voor uw omgeving. Gebruikers kunnen zich bijvoorbeeld een tijdje niet aanmelden bij een omgeving, omdat ze op vakantie zijn. U moet rekening houden met alle legitieme redenen om u niet aan te melden bij uw omgeving. In veel organisaties is een redelijk venster voor inactieve gebruikersaccounts tussen 90 en 180 dagen.

De laatste aanmeldingsdatum biedt mogelijk inzicht in de voortdurende behoefte van een gebruiker aan toegang tot resources. Het kan nuttig zijn om te bepalen of groepslidmaatschap of app-toegang nog steeds nodig is, of kan worden verwijderd. Voor extern gebruikersbeheer kunt u bepalen of een externe gebruiker nog actief is in de tenant of moet worden verwijderd.

Inactieve gebruikersaccounts zoeken en onderzoeken

U kunt het Microsoft Entra-beheercentrum of de Microsoft Graph API gebruiken om inactieve gebruikersaccounts te vinden. Hoewel er geen ingebouwd rapport is voor inactieve gebruikersaccounts, kunt u de laatste aanmeldingsdatum en -tijd gebruiken om te bepalen of een gebruikersaccount inactief is.

Beheercentrum

Als u de laatste aanmeldingstijd voor een gebruiker wilt vinden, kunt u uw gebruikerslijst bekijken in het Microsoft Entra-beheercentrum. Hoewel alle gebruikers de lijst met gebruikers kunnen zien, zijn sommige kolommen en details alleen beschikbaar voor gebruikers met de juiste machtigingen.

De laatste aanmeldingstijd voor alle gebruikers zoeken

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

2. Blader naar Entra ID>Gebruikers.

3. Selecteer De weergave Beheren en vervolgens Kolommen bewerken.

   

4. Selecteer + Kolom toevoegen in de lijst, selecteer laatste interactieve aanmeldingstijd in de lijst en selecteer Opslaan.

   

5. Als de kolom nu zichtbaar is in de lijst met alle gebruikers, selecteert u Filter toevoegen en stelt u een tijdsbestek in voor uw zoekopdracht met behulp van de filteropties.

   • Selecteer < = als operator, en selecteer vervolgens de datum om de laatste aanmelding vóór die geselecteerde datum te vinden.

Eén gebruiker onderzoeken

Als u de meest recente aanmeldingsactiviteit voor een gebruiker wilt bekijken, kunt u de aanmeldingsgegevens van de gebruiker bekijken in Microsoft Entra-id. U kunt ook de Microsoft Graph API gebruiken die wordt beschreven in de sectie Gebruikers op naam.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.

2. Blader naar Entra ID>Gebruikers.

3. Selecteer een gebruiker uit de lijst.

4. In het Mijn feed onderdeel van het gebruikersoverzicht, zoek de tegel Aanmeldingen.

   

Het kan tot 24 uur duren voordat de datum en tijd van de laatste aanmelding op deze tegel zijn bijgewerkt. Dit betekent dat de datum en tijd mogelijk niet actueel zijn. Als u de activiteit bijna in realtime wilt zien, selecteert u de koppeling Alle aanmeldingen weergeven op de tegel Aanmeldingen om alle aanmeldingsactiviteiten voor die gebruiker weer te geven.

Microsoft Graph

U kunt inactieve accounts detecteren door verschillende eigenschappen te evalueren. De lastSignInDateTime eigenschap wordt weergegeven door het signInActivity resourcetype van de Microsoft Graph API. De lastSignInDateTime eigenschap toont de laatste keer dat een gebruiker heeft geprobeerd een interactieve aanmeldingspoging uit te voeren in Microsoft Entra ID.

Met deze eigenschap kunt u een oplossing implementeren voor de volgende scenario's:

Datum en tijd van laatste aanmelding voor alle gebruikers

Genereer een rapport van de laatste aanmeldingsdatum van alle gebruikers. Het antwoord bevat een lijst met alle gebruikers en de laatste lastSignInDateTime voor elke respectieve gebruiker.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Laatste geslaagde aanmeldingsdatum en -tijd

Deze query is vergelijkbaar met het toevoegen van de laatste aanmeldingsdatum aan de gebruikerslijst en het filteren op een specifieke datum in het Microsoft Entra-beheercentrum. U kunt een lijst met gebruikers met een lastSuccessfulSignInDateTime of lastSignInDateTimevóór een opgegeven datum aanvragen. Het antwoord voor deze query bevat de details van de gebruiker, maar biedt de aanmeldingsactiviteit van de gebruiker niet. Als u deze details wilt zien, probeert u de query in het scenario Gebruikers op naam .

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Gebruikers op naam

In dit scenario zoekt u naar een specifieke gebruiker op naam. Het antwoord voor deze query bevat de datum, tijd en aanvraag-id voor hun laatste aanmeldingen.

Aanvraag:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Antwoord:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: de datum en tijd van de laatste interactieve aanmeldingspoging, inclusief aanmeldingsfouten. In het geval dat de laatste aanmeldingspoging is geslaagd, zijn de datum en tijd van deze eigenschap hetzelfde als de lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: de datum en tijd van de laatste niet-interactieve aanmeldingspoging.
• lastSuccessfulSignInDateTime: de datum en tijd van de laatste geslaagde interactieve aanmelding.

Notitie

De signInActivity eigenschap ondersteunt $filter (eq, ne, not, ge, ) lemaar niet met andere filterbare eigenschappen. U moet $select=signInActivity of $filter=signInActivity specificeren terwijl u gebruikers vermeldt, omdat de eigenschap signInActivity standaard niet wordt geretourneerd.

Overwegingen voor de eigenschap lastSignInDateTime

De volgende details hebben betrekking op de lastSignInDateTime eigenschap.

• De lastSignInDateTime eigenschap wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API.

• De eigenschap is niet beschikbaar via de cmdlet Get-MgAuditLogDirectoryAudit.

• Elke interactieve aanmeldingspoging resulteert in een update van het onderliggende gegevensarchief. Aanmeldingen worden doorgaans binnen 6 uur weergegeven in het gerelateerde aanmeldingsrapport.

• Als u een lastSignInDateTime tijdstempel wilt genereren, moet u een aanmelding proberen. Een mislukte of geslaagde aanmeldingspoging, zolang deze is vastgelegd in de aanmeldingslogboeken van Microsoft Entra, genereert een lastSignInDateTime tijdstempel. De waarde van de lastSignInDateTime eigenschap is mogelijk leeg als:

  • De laatste poging tot aanmelding van een gebruiker vond plaats vóór april 2020.
  • Het betrokken gebruikersaccount is nooit gebruikt voor een aanmeldingspoging.

• De laatste aanmeldingsdatum is gekoppeld aan het gebruikersobject. De waarde wordt bewaard tot de volgende aanmelding van de gebruiker. Het kan tot 24 uur duren voordat deze is bijgewerkt.

Inactieve gebruikers aanpakken

Nadat u inactieve gebruikers hebt geïdentificeerd, begint u met het stellen van de volgende vragen:

• Werkt de gebruiker nog steeds in dienst van de organisatie?
• Heeft de gebruiker nog steeds toegang nodig tot de resources waar hij toegang toe heeft?
• Is het gebruikersaccount nog steeds nodig om een andere reden?

Hoe u inactieve gebruikers adresseert, is afhankelijk van uw scenario, maar het opschonen van ongebruikte accounts of accounts met overprivilegiatie moet uw prioriteit zijn om beveiligingsrisico's te verminderen. De volgende functies en opties zijn een uitstekende plek om te beginnen, maar houd er rekening mee dat voor sommige van deze functies mogelijk extra licenties nodig zijn.

• Verouderde gastaccounts opschonen
• Overweeg dynamische lidmaatschapsgroep om gebruikers automatisch toe te voegen aan of te verwijderen uit groepen op basis van hun gebruikerseigenschappen.
  • Een dynamische lidmaatschapsgroep maken
• Gebruik Microsoft Entra ID Governance-toegangsbeoordelingen om de toegang van uw gebruikers te controleren.
  • Wat zijn toegangsbeoordelingen?
  • Aanbevelingen voor toegangsbeoordelingen bekijken

Gerelateerde inhoud

• Naslaginformatie over Audit-API
• Naslaginformatie over aanmeldingsactiviteitenrapport-API