Instrukcje: zarządzanie nieaktywne konta użytkowników w usłudze Azure AD

W dużych środowiskach konta użytkowników nie zawsze są usuwane, gdy pracownicy opuszczają organizację. Jako administrator IT chcesz wykrywać i obsługiwać te przestarzałe konta użytkowników, ponieważ stanowią zagrożenie bezpieczeństwa.

W tym artykule opisano metodę obsługi przestarzałych kont użytkowników w usłudze Azure AD.

Ważne

Interfejsy API w /beta wersji w programie Microsoft Graph mogą ulec zmianie. Te interfejsy API nie są obsługiwane w zastosowaniach produkcyjnych. Aby określić, czy interfejs API jest dostępny w wersji 1.0, użyj selektora wersji .

Co to są nieaktywne konta użytkowników?

Nieaktywne konta to konta użytkowników, które nie są już wymagane przez członków organizacji w celu uzyskania dostępu do zasobów. Jednym z identyfikatorów kluczy dla nieaktywnych kont jest to, że nie były używane przez pewien czas do logowania się do środowiska. Ponieważ nieaktywne konta są powiązane z działaniem logowania, możesz użyć znacznika czasu ostatniego logowania, który zakończył się pomyślnie, aby je wykryć.

Wyzwaniem tej metody jest zdefiniowanie tego, co oznacza na chwilę w przypadku środowiska. Na przykład użytkownicy mogą nie logować się do środowiska przez jakiś czas, ponieważ są na wakacjach. Podczas definiowania różnicy dla nieaktywnych kont użytkowników należy uwzględnić wszystkie uzasadnione przyczyny braku logowania do środowiska. W wielu organizacjach różnica dla nieaktywnych kont użytkowników wynosi od 90 do 180 dni.

Ostatnie pomyślne logowanie zapewnia potencjalny wgląd w ciągłe zapotrzebowanie użytkownika na dostęp do zasobów. Może pomóc w ustaleniu, czy członkostwo w grupie lub dostęp do aplikacji jest nadal potrzebne lub można je usunąć. W przypadku zarządzania użytkownikami zewnętrznymi możesz sprawdzić, czy użytkownik zewnętrzny jest nadal aktywny w dzierżawie lub powinien zostać wyczyszczony.

Jak wykrywać nieaktywne konta użytkowników

Konta nieaktywne są wykrywane przez ocenę właściwości lastSignInDateTime uwidocznionej przez typ zasobu signInActivity interfejsu API programu Microsoft Graph . Właściwość lastSignInDateTime pokazuje ostatni raz, kiedy użytkownik dokonał pomyślnego interaktywnego logowania do usługi Azure AD. Korzystając z tej właściwości, można zaimplementować rozwiązanie dla następujących scenariuszy:

  • Użytkownicy według nazwy: w tym scenariuszu wyszukujesz określonego użytkownika według nazwy, co umożliwia ocenę lastSignInDateTime: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Użytkownicy według daty: W tym scenariuszu żądasz listy użytkowników z lastSignInDateTime przed określoną datą: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Uwaga

Może być konieczne wygenerowanie raportu z ostatniej daty logowania wszystkich użytkowników, jeśli tak, możesz użyć następującego scenariusza. Data i godzina ostatniego logowania dla wszystkich użytkowników: w tym scenariuszu zażądasz listy wszystkich użytkowników i ostatniego ostatniego elementuSignInDateTime dla każdego odpowiedniego użytkownika: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Co musisz wiedzieć

W tej sekcji przedstawiono informacje o właściwości lastSignInDateTime.

Jak uzyskać dostęp do tej właściwości?

Właściwość lastSignInDateTime jest uwidoczniona przez typ zasobu signInActivityinterfejsu API programu Microsoft Graph.

Uwaga

Typ zasobu signInActivity jest dostępny tylko w punkcie końcowym programu Microsoft Graph beta i nie jest jeszcze obsługiwany w środowiskach GCC High dla instytucji rządowych USA.

Czy właściwość lastSignInDateTime jest dostępna za pomocą polecenia cmdlet Get-AzureAdUser?

Nie.

Jaką wersję usługi Azure AD muszę uzyskać dostęp do właściwości?

Aby uzyskać dostęp do tej właściwości, potrzebujesz wersji Premium usługi Azure Active Directory.

Jakie uprawnienia muszę odczytać właściwość?

Aby odczytać tę właściwość, musisz przyznać następujące prawa:

  • AuditLog.Read.All
  • Directory.Read.All

Kiedy usługa Azure AD aktualizuje właściwość?

Każde interaktywne logowanie, które zakończyło się pomyślnie, powoduje aktualizację bazowego magazynu danych. Zazwyczaj pomyślne logowania są wyświetlane w powiązanym raporcie logowania w ciągu 10 minut.

Co oznacza pusta wartość właściwości?

Aby wygenerować znacznik czasu lastSignInDateTime, potrzebne jest pomyślne zalogowanie. Ponieważ właściwość lastSignInDateTime jest nową funkcją, wartość właściwości lastSignInDateTime może być pusta, jeśli:

  • Ostatnie pomyślne logowanie użytkownika miało miejsce przed kwietniem 2020 r.
  • Konto użytkownika, którego dotyczy problem, nigdy nie było używane do pomyślnego logowania.

Jak długo trwa zachowywanie ostatniego logowania?

Data ostatniego logowania jest skojarzona z obiektem użytkownika. Wartość jest zachowywana do następnego logowania użytkownika.

Następne kroki