Nasıl yapılır: Azure AD'de etkin olmayan kullanıcı hesaplarını yönetme

Büyük ortamlarda, çalışanlar kuruluştan ayrıldığında kullanıcı hesapları her zaman silinmez. BT yöneticisi olarak, bu eski kullanıcı hesaplarını algılamak ve işlemek istiyorsunuz çünkü bunlar bir güvenlik riskini temsil ediyor.

Bu makalede, Azure AD'de eski kullanıcı hesaplarını işlemek için bir yöntem açıklanmaktadır.

Önemli

Microsoft Graph'taki sürümün /beta altındaki API'ler değiştirilebilir. Bu API'lerin üretim uygulamalarında kullanımı desteklenmez. Bir API'nin v1.0'da kullanılabilir olup olmadığını belirlemek için Sürüm seçiciyi kullanın.

Etkin olmayan kullanıcı hesapları nedir?

Etkin olmayan hesaplar, kuruluşunuzun üyelerinin kaynaklarınıza erişmesi için artık gerekli olmayan kullanıcı hesaplarıdır. Etkin olmayan hesapların önemli tanımlayıcılarından biri, ortamınızda oturum açmak için bir süredir kullanılmamış olmalarıdır. Etkin olmayan hesaplar oturum açma etkinliğine bağlı olduğundan, bunları algılamak için başarılı olan son oturum açma işleminin zaman damgasını kullanabilirsiniz.

Bu yöntemin zorluğu, ortamınız söz konusu olduğunda bir süre için ne anlama geldiğini tanımlamaktır. Örneğin, kullanıcılar tatilde oldukları için bir süre ortamda oturum açamayabilir. Etkin olmayan kullanıcı hesapları için deltanızın ne olduğunu tanımlarken, ortamınızda oturum açmamanızın tüm meşru nedenlerini dikkate almanız gerekir. Birçok kuruluşta etkin olmayan kullanıcı hesapları için delta 90 ile 180 gündür.

Son başarılı oturum açma işlemi, kullanıcının kaynaklara erişmeye devam etmesiyle ilgili olası içgörüler sağlar. Grup üyeliğinin veya uygulama erişiminin hala gerekli olup olmadığını veya kaldırılıp kaldırılmadığını belirlemeye yardımcı olabilir. Dış kullanıcı yönetimi için, bir dış kullanıcının kiracı içinde hala etkin olup olmadığını veya temizlenmesi gerektiğini anlayabilirsiniz.

Etkin olmayan kullanıcı hesaplarını algılama

Microsoft Graph API'sinin signInActivity kaynak türü tarafından kullanıma sunulan lastSignInDateTime özelliğini değerlendirerek etkin olmayan hesapları algılarsınız. lastSignInDateTime özelliği, kullanıcının Azure AD'de başarılı bir etkileşimli oturum açma işlemini en son ne zaman yaptığını gösterir. Bu özelliği kullanarak aşağıdaki senaryolar için bir çözüm uygulayabilirsiniz:

  • Ada göre kullanıcılar: Bu senaryoda, lastSignInDateTime değerini değerlendirmenizi sağlayan belirli bir kullanıcıyı ada göre ararsınız: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Tarihe göre kullanıcılar: Bu senaryoda, belirtilen tarihten önce lastSignInDateTime değerine sahip kullanıcıların listesini istiyorsunuz: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Not

Aşağıdaki senaryoyu kullanıyorsanız, tüm kullanıcıların son oturum açma tarihiyle ilgili bir rapor oluşturmanız gerekebilir. Tüm Kullanıcılar için Son Oturum Açma Tarihi ve Saati: Bu senaryoda, tüm kullanıcıların listesini ve ilgili her kullanıcı için lastSignInDateTime değerini istiyorsunuz: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Bilmeniz gerekenler

Bu bölümde lastSignInDateTime özelliği hakkında bilmeniz gerekenler listelenir.

Bu özelliğe nasıl erişebilirim?

lastSignInDateTime özelliği, Microsoft Graph API'sininsignInActivity kaynak türü tarafından kullanıma sunulur.

Not

signInActivity kaynak türü yalnızca Microsoft Graph beta uç noktasında kullanılabilir ve henüz US Government GCC High ortamlarında desteklenmez.

lastSignInDateTime özelliği Get-AzureAdUser cmdlet'i aracılığıyla kullanılabilir mi?

Hayır.

Özelliğe erişmek için hangi Azure AD sürümüne ihtiyacım var?

Bu özelliğe erişmek için bir Azure Active Directory Premium sürümü gerekir.

Özelliği okumak için hangi izne ihtiyacım var?

Bu özelliği okumak için aşağıdaki hakları vermeniz gerekir:

  • AuditLog.Read.All
  • Directory.Read.All

Azure AD özelliği ne zaman güncelleştirir?

Başarılı olan her etkileşimli oturum açma işleminin sonucunda temel alınan veri deposu güncelleştirildi. Genellikle başarılı oturum açma işlemleri 10 dakika içinde ilgili oturum açma raporunda gösterilir.

Boş özellik değeri ne anlama gelir?

lastSignInDateTime zaman damgası oluşturmak için başarılı bir oturum açmanız gerekir. lastSignInDateTime özelliği yeni bir özellik olduğundan, lastSignInDateTime özelliğinin değeri şu durumda boş olabilir:

  • Kullanıcının son başarılı oturum açması Nisan 2020'dan önce gerçekleşti.
  • Etkilenen kullanıcı hesabı hiçbir zaman başarılı bir oturum açma için kullanılmadı.

Son oturum açma işlemi ne kadar süreyle korunur?

Son oturum açma tarihi kullanıcı nesnesiyle ilişkilendirilir. Değer, kullanıcının bir sonraki oturum açmasına kadar korunur.

Sonraki adımlar