Inaktív felhasználói fiókok észlelése és vizsgálata
Nagy környezetekben a felhasználói fiókok nem mindig törlődnek, amikor az alkalmazottak elhagyják a szervezetet. Rendszergazdaként érdemes észlelni és feloldani ezeket az elavult felhasználói fiókokat, mert azok biztonsági kockázatot jelentenek.
Ez a cikk az elavult felhasználói fiókok Microsoft Entra-azonosítóban való kezelésére szolgál.
Feljegyzés
Ez a cikk csak az inaktív felhasználói fiókok Microsoft Entra-azonosítóban való keresésére vonatkozik. Nem vonatkozik az inaktív fiókok keresésére az Azure AD B2C-ben.
Előfeltételek
A tulajdonság elérése a lastSignInDateTime
Microsoft Graph használatával:
Microsoft Entra ID P1 vagy P2 kiadású licencre van szüksége.
Az alkalmazásnak a következő Microsoft Graph-engedélyeket kell megadnia:
- AuditLog.Read.All
- User.Read.All
Mik azok az inaktív felhasználói fiókok?
Az inaktív fiókok olyan felhasználói fiókok, amelyeket a szervezet tagjai már nem igényelnek az erőforrásokhoz való hozzáféréshez. Az inaktív fiókok egyik kulcsazonosítója, hogy egy ideje nem használták őket a környezetbe való bejelentkezéshez. Mivel az inaktív fiókok a bejelentkezési tevékenységhez vannak kötve, használhatja annak az időbélyegnek az időbélyegét, amikor egy fiók utoljára próbált bejelentkezni az inaktív fiókok észlelésére.
Ennek a módszernek az a feladata, hogy meghatározza, mit jelent egy ideig a környezet számára. Előfordulhat például, hogy a felhasználók egy ideig nem jelentkeznek be egy környezetbe, mert szabadságon vannak. Az inaktív felhasználói fiókok változásának meghatározásakor figyelembe kell vennie a környezetbe való bejelentkezés minden jogos indokát. Számos szervezetben az inaktív felhasználói fiókok eltérése 90 és 180 nap között van.
Az utolsó bejelentkezés potenciális betekintést nyújt a felhasználó erőforrásaihoz való folyamatos hozzáférés iránti igényébe. Segíthet annak meghatározásában, hogy szükség van-e csoporttagságra vagy alkalmazáshozzáférésre, vagy eltávolítható-e. A külső felhasználók kezelése esetén megtudhatja, hogy egy külső felhasználó továbbra is aktív-e a bérlőn belül, vagy törölni kell őket.
Inaktív felhasználói fiókok észlelése a Microsoft Graph használatával
Az inaktív fiókokat több tulajdonság kiértékelésével is észlelheti, amelyek közül néhány elérhető a beta
Microsoft Graph API végpontján. Nem javasoljuk, hogy éles környezetben használja a bétavégpontokat, de próbálja ki őket.
A lastSignInDateTime
Microsoft Graph API erőforrástípusa által signInActivity
közzétett tulajdonság. A lastSignInDateTime tulajdonság azt mutatja, hogy a felhasználó utoljára próbált meg interaktív bejelentkezési kísérletet tenni a Microsoft Entra-azonosítóban. A tulajdonság használatával a következő forgatókönyvekhez valósíthat meg megoldást:
Az összes felhasználó utolsó bejelentkezési dátuma és ideje: Ebben a forgatókönyvben az összes felhasználó utolsó bejelentkezési dátumáról kell jelentést készítenie. Az összes felhasználó és az utolsóSignInDateTime listáját kell kérnie minden egyes felhasználóhoz:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Felhasználók név szerint: Ebben a forgatókönyvben név alapján keres egy adott felhasználót, amely lehetővé teszi a lastSignInDateTime kiértékelését:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Felhasználók dátum szerint: Ebben az esetben a megadott dátum előtt a lastSignInDateTime-tal rendelkező felhasználók listáját kell kérnie:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Utolsó sikeres bejelentkezés dátuma és ideje (bétaverzió):Ez a forgatókönyv csak a
beta
Microsoft Graph API végpontján érhető el. A megadott dátum előtti felhasználóklastSuccessfulSignInDateTime
listáját kérheti le:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Feljegyzés
A signInActivity
tulajdonság támogatja $filter
(eq
, , ne
not
, ge
, ), le
de más szűrhető tulajdonságokkal nem. Meg kell adnia $select=signInActivity
vagy $filter=signInActivity
listáznia kell a felhasználókat, mivel a signInActivity tulajdonság alapértelmezés szerint nem lesz visszaadva.
A lastSignInDateTime tulajdonság szempontjai
A következő részletek a lastSignInDateTime
tulajdonságra vonatkoznak.
A lastSignInDateTime tulajdonságot a Microsoft Graph API signInActivity erőforrástípusa teszi közzé.
A tulajdonság nem érhető el a Get-MgAuditLogDirectoryAudit parancsmagon keresztül.
Minden interaktív bejelentkezési kísérlet a mögöttes adattár frissítését eredményezi. A bejelentkezések általában 6 órán belül megjelennek a kapcsolódó bejelentkezési jelentésben.
A lastSignInDateTime időbélyeg létrehozásához meg kell kísérelnie a bejelentkezést. Sikertelen vagy sikeres bejelentkezési kísérlet esetén, ha az a Microsoft Entra bejelentkezési naplóiban van rögzítve, létrehoz egy lastSignInDateTime időbélyeget. A lastSignInDateTime tulajdonság értéke üres lehet, ha:
- A felhasználó utolsó bejelentkezési kísérlete 2020 áprilisa előtt történt.
- Az érintett felhasználói fiókot soha nem használták bejelentkezési kísérlethez.
Az utolsó bejelentkezési dátum a felhasználói objektumhoz van társítva. Az érték megmarad a felhasználó következő bejelentkezéséig. A frissítés akár 24 órát is igénybe vehet.
Egyetlen felhasználó vizsgálata a Microsoft Entra felügyeleti központban
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha meg kell tekintenie egy felhasználó legújabb bejelentkezési tevékenységét, megtekintheti a felhasználó bejelentkezési adatait a Microsoft Entra-azonosítóban. A Microsoft Graph-felhasználókat az előző szakaszban ismertetett névforgatókönyv szerint is használhatja.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
Válasszon egy felhasználót a listából.
A felhasználói áttekintés Saját hírcsatorna területén keresse meg a Bejelentkezések csempét.
A csempe utolsó bejelentkezési dátuma és időpontja akár 24 órát is igénybe vehet, ami azt jelenti, hogy a dátum és az idő nem aktuális. Ha közel valós időben kell látnia a tevékenységet, a Bejelentkezések csempén az Összes bejelentkezés megjelenítése hivatkozásra kattintva megtekintheti az adott felhasználó összes bejelentkezési tevékenységét.