Inactieve gebruikersaccounts detecteren en onderzoeken
In grote omgevingen worden gebruikersaccounts niet altijd verwijderd wanneer werknemers een organisatie verlaten. Als IT-beheerder wilt u deze verouderde gebruikersaccounts detecteren en oplossen omdat ze een beveiligingsrisico vormen.
In dit artikel wordt een methode uitgelegd voor het afhandelen van verouderde gebruikersaccounts in Microsoft Entra-id.
Notitie
Dit artikel is alleen van toepassing op het vinden van inactieve gebruikersaccounts in Microsoft Entra-id. Het is niet van toepassing op het vinden van inactieve accounts in Azure AD B2C.
Vereisten
Ga als volgende te werk om toegang te krijgen tot de lastSignInDateTime
eigenschap met Behulp van Microsoft Graph:
U hebt een Licentie voor Microsoft Entra ID P1 of P2 nodig.
U moet de app de volgende Microsoft Graph-machtigingen verlenen:
- AuditLog.Read.All
- User.Read.All
Rapportenlezer is de minst bevoorrechte rol die is vereist voor toegang tot de activiteitenlogboeken.
- Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.
Wat zijn inactieve gebruikersaccounts?
Inactieve accounts zijn gebruikersaccounts die niet meer nodig zijn voor leden van uw organisatie om toegang te krijgen tot uw resources. Een sleutel-id voor inactieve accounts is dat ze al een tijdje niet zijn gebruikt om u aan te melden bij uw omgeving. Omdat inactieve accounts zijn gekoppeld aan de aanmeldingsactiviteit, kunt u de tijdstempel gebruiken van de laatste keer dat een account zich heeft geprobeerd aan te melden om inactieve accounts te detecteren.
De uitdaging van deze methode is om te definiëren wat een tijdje betekent voor uw omgeving. Gebruikers kunnen zich bijvoorbeeld een tijdje niet aanmelden bij een omgeving, omdat ze op vakantie zijn. Wanneer u definieert wat uw delta is voor inactieve gebruikersaccounts, moet u rekening houden met alle legitieme redenen om u niet aan te melden bij uw omgeving. In veel organisaties is de delta voor inactieve gebruikersaccounts tussen 90 en 180 dagen.
De laatste aanmelding biedt mogelijk inzicht in de voortdurende behoefte van een gebruiker aan toegang tot resources. Het kan nuttig zijn om te bepalen of groepslidmaatschap of app-toegang nog steeds nodig is, of kan worden verwijderd. Voor het externe gebruikersbeheer kunt u zien of een externe gebruiker nog actief is binnen de tenant of moet worden opgeschoond.
Inactieve gebruikersaccounts detecteren met Microsoft Graph
U kunt inactieve accounts detecteren door verschillende eigenschappen te evalueren, waarvan sommige beschikbaar zijn op het beta
eindpunt van de Microsoft Graph API. We raden u niet aan de bèta-eindpunten in productie te gebruiken, maar nodigen u uit om ze uit te proberen.
De lastSignInDateTime
eigenschap die wordt weergegeven door het signInActivity
resourcetype van de Microsoft Graph API. In de eigenschap lastSignInDateTime ziet u de laatste keer dat een gebruiker een interactieve aanmeldingspoging heeft uitgevoerd in Microsoft Entra ID. Met deze eigenschap kunt u een oplossing implementeren voor de volgende scenario's:
Datum en tijd van laatste aanmelding voor alle gebruikers: in dit scenario moet u een rapport genereren van de laatste aanmeldingsdatum van alle gebruikers. U vraagt een lijst aan met alle gebruikers en de laatste lastSignInDateTime voor elke respectieve gebruiker:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Gebruikers op naam: In dit scenario zoekt u naar een specifieke gebruiker op naam, waarmee u de lastSignInDateTime kunt evalueren:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Gebruikers op datum: In dit scenario vraagt u een lijst met gebruikers aan met een lastSignInDateTime vóór een opgegeven datum:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Laatste geslaagde aanmeldingsdatum en -tijd (bèta): dit scenario is alleen beschikbaar op het
beta
eindpunt van de Microsoft Graph API. U kunt een lijst met gebruikers met een voor eenlastSuccessfulSignInDateTime
opgegeven datum aanvragen:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Notitie
De signInActivity
eigenschap ondersteunt $filter
(eq
, ne
, not
, ge
, ) le
maar niet met andere filterbare eigenschappen. U moet gebruikers opgeven $select=signInActivity
of $filter=signInActivity
vermelden, omdat de eigenschap signInActivity niet standaard wordt geretourneerd.
Overwegingen voor de eigenschap lastSignInDateTime
De volgende details hebben betrekking op de lastSignInDateTime
eigenschap.
De eigenschap lastSignInDateTime wordt weergegeven door het resourcetype signInActivity van de Microsoft Graph API.
De eigenschap is niet beschikbaar via de cmdlet Get-MgAuditLogDirectoryAudit.
Elke interactieve aanmeldingspoging resulteert in een update van het onderliggende gegevensarchief. Aanmeldingen worden doorgaans binnen 6 uur weergegeven in het gerelateerde aanmeldingsrapport.
Als u een lastSignInDateTime-tijdstempel wilt genereren, moet u een aanmelding proberen. Een mislukte of geslaagde aanmeldingspoging, zolang deze is vastgelegd in de aanmeldingslogboeken van Microsoft Entra, genereert een tijdstempel lastSignInDateTime. De waarde van de eigenschap lastSignInDateTime is mogelijk leeg als:
- De laatste poging tot aanmelding van een gebruiker vond plaats vóór april 2020.
- Het betrokken gebruikersaccount is nooit gebruikt voor een aanmeldingspoging.
De laatste aanmeldingsdatum is gekoppeld aan het gebruikersobject. De waarde wordt bewaard tot de volgende aanmelding van de gebruiker. Het kan tot 24 uur duren voordat deze is bijgewerkt.
Eén gebruiker onderzoeken in het Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Als u de meest recente aanmeldingsactiviteit voor een gebruiker wilt bekijken, kunt u de aanmeldingsgegevens van de gebruiker bekijken in Microsoft Entra-id. U kunt de Microsoft Graph-gebruikers ook gebruiken op naamscenario dat in de vorige sectie is beschreven.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer een gebruiker uit de lijst.
Zoek in het gebied Mijn feed van het overzicht van de gebruiker de tegel Aanmeldingen .
Het kan tot 24 uur duren voordat de datum en tijd van de laatste aanmelding op deze tegel zijn bijgewerkt. Dit betekent dat de datum en tijd mogelijk niet actueel zijn. Als u de activiteit bijna in realtime wilt zien, selecteert u de koppeling Alle aanmeldingen weergeven op de tegel Aanmeldingen om alle aanmeldingsactiviteiten voor die gebruiker weer te geven.