Como detectar e investigar contas de usuário inativas

Em ambientes grandes, as contas de usuário nem sempre são excluídas quando os funcionários deixam uma organização. Como administrador de TI, você quer detectar e resolver estas contas de usuário obsoletas porque elas representam um risco de segurança.

Este artigo explica um método para tratar as contas de usuário obsoletas no Microsoft Entra ID.

Observação

Esse artigo se aplica somente à localização de contas de usuário inativas no Microsoft Entra ID. Ele não se aplica à localização de contas inativas no Azure AD B2C.

Pré-requisitos

• Para acessar a propriedade lastSuccessfulSignInDateTime usando o Microsoft Graph, você precisa de uma licença do Microsoft Entra ID P1 ou P2.
• Você precisa conceder ao aplicativo as seguintes permissões do Microsoft Graph:
  • AuditLog.Read.All
  • User.Read.All
• O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de atividades.
  • Para obter uma lista completa de funções, consulte Função com privilégios mínimos por tarefa.

O que são contas de usuário inativas?

Contas inativas são contas de usuário que não são mais necessárias aos membros de sua organização para ter acesso aos seus recursos. Um indicador-chave para contas inativas é que elas não foram usadas há algum tempo para entrar em seu ambiente. Como as contas inativas estão vinculadas à atividade de entrada, você pode usar o carimbo de data/hora da última vez que uma conta tentou entrar para detectar as contas inativas.

O desafio desse método é definir o que por um tempo significa para seu ambiente. Por exemplo, os usuários podem não entrar em um ambiente por um tempo, pois estão de férias. Considere todas as razões legítimas para não efetuar logon no seu ambiente. Em muitas organizações, uma janela razoável para contas de usuário inativas está entre 90 e 180 dias.

A última data de entrada fornece insights potenciais sobre a necessidade contínua de acesso aos recursos de um usuário. Ela pode ajudar a determinar se a associação de grupo ou o acesso ao aplicativo ainda é necessário ou pode ser removido. Para o gerenciamento de usuário externo, você pode determinar se um usuário externo ainda está ativo dentro do locatário ou deve ser removido.

Como localizar e investigar contas de usuário inativas

Você pode usar o Centro de administração do Microsoft Entra ou a API do Microsoft Graph para encontrar contas de usuário inativas. Embora não haja um relatório interno para contas de usuário inativas, você pode usar a data e a hora da última entrada para determinar se uma conta de usuário está inativa.

Centro de administração

Para encontrar a hora do último login de um usuário, você pode verificar sua lista de usuários no Centro de Administração do Microsoft Entra. Embora todos os usuários possam ver a lista de usuários, algumas colunas e detalhes só estão disponíveis para os usuários com as permissões apropriadas.

Localizar o último tempo de entrada para todos os usuários

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

2. Navegue até Entra ID>Usuários.

3. Selecione Gerenciar modo de exibição e , em seguida, Editar colunas.

   

4. Na lista, selecione + Adicionar coluna, selecione Última hora de entrada interativa na lista e, em seguida, selecione Salvar.

   

5. Com a coluna agora visível na lista de todos os usuários, selecione Adicionar filtro e defina um período de tempo para sua pesquisa usando as opções de filtro.

   • Selecione < = como Operador, em seguida, selecione a data para encontrar o último login antes da data selecionada.

Investigar um único usuário

Se você precisar exibir a atividade de entrada mais recente de um usuário, você pode exibir os detalhes da entrada do usuário no Microsoft Entra ID. Você também pode usar a API do Microsoft Graph descrita na seção Usuários por nome.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.

2. Navegue até Entra ID>Usuários.

3. Selecione um usuário na lista.

4. Na área Meu Feed da Visão Geral do usuário, localize o bloco Entradas .

   

A data e a hora da última entrada mostradas neste bloco podem levar até 24 horas para serem atualizadas, o que significa que a data e a hora podem não ser atuais. Se você precisar ver a atividade quase em tempo real, selecione o link Ver todas as entradas no bloco de Entradas para exibir todas as atividades de entrada para esse usuário.

Microsoft Graph

Você pode detectar contas inativas avaliando várias propriedades. A lastSignInDateTime propriedade é exposta pelo signInActivity tipo de recurso da API do Microsoft Graph. A lastSignInDateTime propriedade mostra a última vez que um usuário tentou fazer uma tentativa de entrada interativa no Microsoft Entra ID.

Use essa propriedade para implementar uma solução para os seguintes cenários:

Data e hora da última entrada para todos os usuários

Gere um relatório da última data de entrada de todos os usuários. A resposta fornece uma lista de todos os usuários e a última lastSignInDateTime para cada usuário respectivo.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Data e hora da última entrada bem-sucedida

Essa consulta é semelhante a adicionar a última data de entrada à lista de usuários e filtrar por uma data específica no Centro de administração do Microsoft Entra. Você pode solicitar uma lista de usuários com uma lastSuccessfulSignInDateTime ou lastSignInDateTimeantes de uma data especificada. A resposta para essa consulta fornece os detalhes do usuário, mas não fornece a atividade de entrada do usuário. Para ver esses detalhes, experimente a consulta no cenário Usuários por nome .

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Usuários por nome

Nesse cenário, você pesquisa um usuário específico por nome. A resposta dessa consulta inclui a data, a hora e a ID da solicitação para os últimos acessos deles.

Solicitação:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Resposta:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: A data e a hora da última tentativa de login interativa, incluindo falhas de login. No caso em que a última tentativa de entrada foi bem-sucedida, a data e a hora dessa propriedade são iguais à lastSuccessfulSignInDateTime.
• lastNonInteractiveSignInDateTime: a data e a hora da última tentativa de entrada não interativa.
• lastSuccessfulSignInDateTime: A data e hora da última entrada interativa bem-sucedida.

Observação

A propriedade signInActivity suporta $filter (eq, ne, not, ge, le) mas não com nenhuma outra propriedade filtrável. Você deve especificar $select=signInActivity ou $filter=signInActivity ao listar usuários, pois a propriedade signInActivity não é retornada por padrão.

Considerações sobre a propriedade lastSignInDateTime

Os seguintes detalhes dizem respeito à propriedade lastSignInDateTime.

• A propriedade lastSignInDateTime é exposta pelo tipo de recurso signInActivity da API do Microsoft Graph.

• A propriedade não está disponível por meio do cmdlet Get-MgAuditLogDirectoryAudit.

• Cada tentativa de entrada interativa resulta em uma atualização do armazenamento de dados subjacente. Normalmente, as entradas são mostradas no relatório de entrada relacionado dentro de 6 horas.

• Para gerar um carimbo de data/hora lastSignInDateTime, você deve tentar uma credencial. Uma tentativa de entrada malsucedida ou bem-sucedida, desde que esteja registrada nos logs de entrada do Microsoft Entra, gera um carimbo de data/hora lastSignInDateTime. O valor da lastSignInDateTime propriedade poderá estar em branco se:

  • A última tentativa de entrada de um usuário ocorreu antes de abril de 2020.
  • A conta de usuário afetada nunca foi usada para uma tentativa de entrada.

• A data da última entrada está associada ao objeto do usuário. O valor é retido até a próxima entrada do usuário. Pode levar até 24 horas para ser atualizado.

Como abordar usuários inativos

Depois de identificar usuários inativos, comece fazendo as seguintes perguntas:

• O usuário ainda é empregado pela organização?
• O usuário ainda precisa de acesso aos recursos aos quais tem acesso?
• A conta de usuário ainda é necessária por algum outro motivo?

Como você lida com usuários inativos depende do seu cenário, mas limpar contas não usadas ou contas com privilégios excessivos deve ser sua prioridade para reduzir os riscos de segurança. Os recursos e opções a seguir são um ótimo lugar para começar, mas observe que alguns desses recursos podem exigir licenciamento adicional.

• Limpar contas de convidado obsoletas
• Considere o grupo de associação dinâmica para adicionar ou remover automaticamente usuários de grupos com base em suas propriedades de usuário.
  • Criar um grupo de associação dinâmica
• Utilize as revisões de acesso do Microsoft Entra ID Governance para auditar o acesso dos usuários.
  • O que são revisões de acesso?
  • Examinar as recomendações para revisões de acesso

Conteúdo relacionado

• Referência da API de auditoria
• Referência da API de relatório de atividade de login