Como: Gerir contas de utilizadores inativas em Azure AD

Em grandes ambientes, as contas de utilizador nem sempre são eliminadas quando os colaboradores deixam uma organização. Como administrador de TI, pretende detetar e lidar com estas contas de utilizador obsoletas porque representam um risco de segurança.

Este artigo explica um método para lidar com contas de utilizador obsoletas em Azure AD.

Importante

As APIs ao abrigo da /beta versão no Microsoft Graph estão sujeitas a alterações. A utilização destas APIs em aplicações de produção não é suportada. Para determinar se uma API está disponível em v1.0, utilize o seletor de versão .

O que são contas de utilizador inativas?

As contas inativas são contas de utilizador que já não são exigidas pelos membros da sua organização para terem acesso aos seus recursos. Um dos principais identificadores para contas inativas é que não são usados há algum tempo para se inscreverem no seu ambiente. Como as contas inativas estão ligadas à atividade de inscrição, pode utilizar o tempotando do último sinal que foi bem sucedido para detetá-las.

O desafio deste método é definir o que durante algum tempo significa no caso do seu ambiente. Por exemplo, os utilizadores podem não se inscrever num ambiente por um tempo, porque estão de férias. Ao definir qual é o seu delta para contas de utilizador inativas, precisa de ter em conta todas as razões legítimas para não iniciar sessão no seu ambiente. Em muitas organizações, o delta das contas de utilizadores inativas está entre 90 e 180 dias.

O último sing-in bem sucedido fornece potenciais informações sobre a necessidade contínua de acesso de um utilizador aos recursos. Pode ajudar a determinar se a adesão ao grupo ou o acesso a apps ainda são necessários ou podem ser removidos. Para a gestão externa do utilizador, pode entender se um utilizador externo ainda está ativo dentro do arrendatário ou deve ser limpo.

Como detetar contas de utilizadores inativas

Deteta contas inativas avaliando a última propriedadeSignInDateTime exposta pelo tipo de recurso signInActivity da Microsoft Graph API. A última propriedade DoignInDateTime mostra a última vez que um utilizador fez um sucesso de insusição interativa para Azure AD. Utilizando este imóvel, pode implementar uma solução para os seguintes cenários:

  • Utilizadores pelo nome: Neste cenário, procura um utilizador específico pelo nome, o que lhe permite avaliar o último SignInDateTime: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Utilizadores por data: Neste cenário, solicita uma lista de utilizadores com um último SignInDateTime antes de uma data especificada: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Nota

Pode haver a necessidade de gerar um relatório do último sinal na data de todos os utilizadores, se assim puder utilizar o seguinte cenário. Última s nota na data e hora para todos os utilizadores: Neste cenário, solicita uma lista de todos os utilizadores e a última última Hora do Sinal para cada respetivo utilizador: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

O que tem de saber

Esta secção lista o que precisa de saber sobre a última propriedade DoignInDateTime.

Como posso aceder a esta propriedade?

A última propriedadeSignInDateTime é exposta pelo tipo de recurso signInActivity da Microsoft Graph API.

Nota

O tipo de recurso signInActivity está disponível apenas no ponto final do Microsoft Graph beta e ainda não é suportado em ambientes GCC High do governo dos EUA.

A última propriedade DoignInDateTime está disponível através do Get-AzureAdUser cmdlet?

N.º

Que edição do Azure AD preciso para aceder à propriedade?

Para aceder a esta propriedade, precisa de uma edição Azure Ative Directory Premium.

Que permissão preciso para ler a propriedade?

Para ler este imóvel, você precisa conceder os seguintes direitos:

  • AuditLog.Read.All
  • Diretório.Ler.Tudo

Quando é que o Azure AD atualiza a propriedade?

Cada sindução interativa que foi bem sucedida resulta numa atualização da loja de dados subjacente. Normalmente, as inscrições bem sucedidas aparecem no relatório de inscrição relacionado dentro de 10 minutos.

O que significa um valor de propriedade em branco?

Para gerar uma última marca de tempo do TheignInDateTime, precisa de um sinal de sposição bem-sucedido. Como a última propriedadeSignInDateTime é uma nova funcionalidade, o valor da última propriedade SignInDateTime pode ficar em branco se:

  • A última sdecisão bem sucedida de um utilizador ocorreu antes de abril de 2020.
  • A conta de utilizador afetada nunca foi utilizada para uma sins insusição bem sucedida.

Por quanto tempo a última inscrição é mantida?

A última data de inscrição está associada ao objeto do utilizador. O valor é mantido até ao próximo início de sedutor do utilizador.

Passos seguintes