Etkin olmayan kullanıcı hesaplarını algılama ve araştırma

Büyük ortamlarda, çalışanlar kuruluş dışına çıktığında kullanıcı hesapları her zaman silinmez. BT yöneticisi olarak, bu eski kullanıcı hesaplarını algılamak ve çözmek istiyorsunuz çünkü bunlar bir güvenlik riskini temsil ediyor.

Bu makalede, Microsoft Entra Id'de eski kullanıcı hesaplarını işlemek için bir yöntem açıklanmaktadır.

Uyarı

Bu makale yalnızca Microsoft Entra Id'de etkin olmayan kullanıcı hesaplarını bulmak için geçerlidir. Azure AD B2C etkin olmayan hesapları bulmak için geçerli değildir.

Önkoşullar

• Microsoft Graph kullanarak lastSuccessfulSignInDateTime özelliğine erişmek için bir Microsoft Entra ID P1 veya P2 lisansına sahip olmanız gerekir.
• Uygulamaya aşağıdaki Microsoft Graph izinlerini vermeniz gerekir:
  • AuditLog.Read.All
  • User.Read.All
• Rapor Okuyucusu , etkinlik günlüklerine erişmek için gereken en düşük ayrıcalıklı roldür.
  • Rollerin tam listesi için bkz. Göreve göre en az ayrıcalıklı rol.

Etkin olmayan kullanıcı hesapları nedir?

Etkin olmayan hesaplar, kuruluşunuzdaki üyelerin kaynaklarınıza erişmesi için artık gerekli olmayan kullanıcı hesaplarıdır. Etkin olmayan hesapların önemli tanımlayıcılarından biri, ortamınızda oturum açmak için bir süredir kullanılmamış olmalarıdır. Etkin olmayan hesaplar oturum açma etkinliğine bağlı olduğundan, etkin olmayan hesapları algılamak için bir hesabın son oturum açmaya çalıştığındaki zaman damgasını kullanabilirsiniz.

Bu yöntemin zorluğu, "bir süre"nin ortamınız için ne anlama geldiğini tanımlamaktır. Örneğin, kullanıcılar tatilde oldukları için bir ortamda bir süre oturum açamayabilir. Ortamınızda oturum açmamanızın tüm meşru nedenlerini göz önünde bulundurmanız gerekir. Birçok kuruluşta, etkin olmayan kullanıcı hesapları için makul bir süre 90 ila 180 gündür.

Son oturum açma tarihi, bir kullanıcının kaynaklara sürekli erişim ihtiyacı hakkında olası içgörüler sağlar. Grup üyeliğinin veya uygulama erişiminin hala gerekli olup olmadığını veya kaldırılıp kaldırılmadığını belirlemeye yardımcı olabilir. Dış kullanıcı yönetimi için, bir dış kullanıcının kiracı içinde hala etkin olup olmadığını veya kaldırılması gerektiğini belirleyebilirsiniz.

Etkin olmayan kullanıcı hesaplarını bulma ve araştırma

Etkin olmayan kullanıcı hesaplarını bulmak için Microsoft Entra yönetim merkezini veya Microsoft Graph API'sini kullanabilirsiniz. Etkin olmayan kullanıcı hesapları için yerleşik bir rapor olmasa da, bir kullanıcı hesabının etkin olmadığını belirlemek için son oturum açma tarihini ve saatini kullanabilirsiniz.

Yönetim merkezi

Kullanıcının son oturum açma zamanını bulmak için Microsoft Entra yönetim merkezinde kullanıcı listenize bakabilirsiniz. Tüm kullanıcılar kullanıcı listesini görebilir ancak bazı sütunlar ve ayrıntılar yalnızca uygun izinlere sahip kullanıcılar tarafından kullanılabilir.

Tüm kullanıcılar için son oturum açma zamanını bulma

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

2. Entra ID>Users konumuna gidin.

3. Görünümü yönet'i ve ardından Sütunları düzenle'yi seçin.

   

4. Listeden + Sütun ekle'yi seçin, listeden Son etkileşimli oturum açma zamanı'nı ve ardından Kaydet'i seçin.

   

5. Sütun artık tüm kullanıcılar listesinde görünür durumda olduğu için Filtre ekle'yi seçin ve filtre seçeneklerini kullanarak aramanız için bir zaman dilimi ayarlayın.

   • < = olarak İşleç seçeneğini seçin, ardından seçilen tarihten önceki son oturum açma tarihini bulmak için bir tarih seçin.

Tek bir kullanıcıyı araştırma

Bir kullanıcının en son oturum açma etkinliğini görüntülemeniz gerekiyorsa, kullanıcının oturum açma ayrıntılarını Microsoft Entra Id'de görüntüleyebilirsiniz. Ada göre kullanıcılar bölümünde açıklanan Microsoft Graph API'sini de kullanabilirsiniz.

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

2. Entra ID>Users konumuna gidin.

3. Listeden bir kullanıcı seçin.

4. Kullanıcının Genel Bakış'ın Akışım alanında Oturum Açmalar kutucuğunu bulun.

   

Bu kutucukta gösterilen son oturum açma tarihi ve saatinin güncelleştirilmesi 24 saate kadar sürebilir; bu da tarih ve saatin güncel olmayabileceği anlamına gelir. Etkinliği neredeyse gerçek zamanlı olarak görmeniz gerekiyorsa, o kullanıcının tüm oturum açma etkinliklerini görüntülemek için Oturum açmalar kutucuğundaki Tüm oturum açma bilgilerini görüntüle bağlantısını seçin.

Microsoft Graph

Birkaç özelliği değerlendirerek etkin olmayan hesapları algılayabilirsiniz. lastSignInDateTime özelliğisignInActivity kaynak türü tarafından kullanıma sunulur. lastSignInDateTime özelliği, kullanıcının Microsoft Entra Id'de etkileşimli oturum açma girişiminde bulunduğu son denemeyi gösterir.

Bu özelliği kullanarak aşağıdaki senaryolar için bir çözüm uygulayabilirsiniz:

Tüm kullanıcılar için son oturum açma tarihi ve saati

Tüm kullanıcıların son oturum açma tarihinin raporunu oluşturun. Yanıt, tüm kullanıcıların listesini ve her ilgili kullanıcı için son lastSignInDateTime'yi verir.

• https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

Son başarılı oturum açma tarihi ve saati

Bu sorgu, kullanıcı listesine son oturum açma tarihini eklemeye ve Microsoft Entra yönetim merkezinde belirli bir tarihe göre filtrelemeye benzer. Belirtilen tarihe sahip lastSuccessfulSignInDateTime veya lastSignInDateTimeöncesinde bir kullanıcı listesi isteyebilirsiniz. Bu sorgunun yanıtı kullanıcının ayrıntılarını sağlar, ancak kullanıcının oturum açma etkinliğini sağlamaz. Bu ayrıntıları görmek için Kullanıcılar ada göre senaryosunda sorguyu deneyin.

• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2024-06-01T00:00:00Z
• https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2024-06-01T00:00:00Z

Ada göre kullanıcılar

Bu senaryoda, belirli bir kullanıcıyı ada göre ararsınız. Bu sorgunun yanıtı, son oturum açma işlemlerinin tarih, saat ve istek kimliğini içerir.

İstek:

GET `https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity`

Yanıt:

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,signInActivity)",
    "value": [
        {
            "displayName": "Stine Romund",
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "signInActivity": {
                "lastSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600",
                "lastNonInteractiveSignInDateTime": "2024-12-10T17:38:11Z",
                "lastNonInteractiveSignInRequestId": "94c369e6-249e-4595-bb86-495ea9a81e00",
                "lastSuccessfulSignInDateTime": "2024-12-10T17:38:26Z",
                "lastSuccessfulSignInRequestId": "20a94b1b-ade2-4f4e-9c55-609f7cd97600"
            }
        }
    ]
}

• lastSignInDateTime: Oturum açma hataları dahil olmak üzere son etkileşimli oturum açma girişiminin tarih ve saati. Son oturum açma girişiminin başarılı olması durumunda, bu özelliğin tarih ve saati lastSuccessfulSignInDateTimeile aynıdır.
• lastNonInteractiveSignInDateTime: Etkileşimli olmayan son oturum açma girişiminin tarih ve saati.
• lastSuccessfulSignInDateTime: Son başarılı etkileşimli oturum açma işleminin tarihi ve saati.

Uyarı

signInActivity özelliği $filter (eq, ne, not, ge, le) özelliğini destekler , ancak diğer filtrelenebilir özelliklerle birlikte çalışmaz. signInActivity özelliği varsayılan olarak döndürülmediğinden $select=signInActivity veya $filter=signInActivity belirtmelisiniz.

lastSignInDateTime özelliği için dikkat edilmesi gerekenler

Aşağıda belirtilen ayrıntılar lastSignInDateTime özelliğiyle ilgilidir.

• lastSignInDateTime özelliği, Microsoft Graph API'sininsignInActivity kaynak türü tarafından kullanıma sunulur.

• özelliği Get-MgAuditLogDirectoryAudit cmdlet'i aracılığıyla kullanılamaz.

• Her etkileşimli oturum açma girişimi, temel alınan veri deposunun güncellenmesine neden olur. Genellikle, oturum açma işlemleri 6 saat içinde ilgili oturum açma raporunda gösterilir.

• lastSignInDateTime zaman damgası oluşturmak için oturum açmayı denemeniz gerekir. Microsoft Entra oturum açma günlüklerine kaydedildiği sürece başarısız veya başarılı bir oturum açma girişimi lastSignInDateTime zaman damgası oluşturur. aşağıdakilerde lastSignInDateTime özelliğinin değeri boş olabilir:

  • Kullanıcının son oturum açma girişimi Nisan 2020'dan önce gerçekleşti.
  • Etkilenen kullanıcı hesabı hiçbir zaman oturum açma girişimi için kullanılmadı.

• Son oturum açma tarihi kullanıcı nesnesiyle ilişkilendirilir. Değer, kullanıcının bir sonraki oturum açma işlemine kadar korunur. Güncelleştirme 24 saat kadar sürebilir.

Etkin olmayan kullanıcılarla nasıl başa çıkılır?

Etkin olmayan kullanıcıları tanımladıktan sonra aşağıdaki soruları sorarak başlayın:

• Kullanıcı hala kuruluş tarafından mı çalışıyor?
• Kullanıcının erişim sahibi olduğu kaynaklara erişmesi gerekiyor mu?
• Kullanıcı hesabı başka bir nedenden dolayı hala gerekli mi?

Etkin olmayan kullanıcılarla nasıl ilgilendiğiniz senaryonuza bağlıdır, ancak güvenlik risklerini azaltmak için önceliğiniz kullanılmayan hesapları veya fazla ayrıcalıklı hesapları temizlemek olmalıdır. Aşağıdaki özellikler ve seçenekler başlamak için harika bir yerdir, ancak bu özelliklerden bazılarının ek lisanslama gerektirebileceğini unutmayın.

• Eski konuk hesaplarını temizleme
• Kullanıcı özelliklerine göre kullanıcıları otomatik olarak eklemek veya gruplardan kaldırmak için dinamik üyelik grubunu göz önünde bulundurun.
  • Dinamik üyelik grubu oluşturma
• Kullanıcılarınızın erişimini denetlemek için Microsoft Entra ID İdaresi erişim gözden geçirmelerini kullanın.
  • Erişim gözden geçirmeleri nedir?
  • Erişim incelemeleri için önerileri değerlendirin

İlgili içerik

• Denetim API referansı
• Oturum açma etkinlik raporu API başvurusu