Inaktív felhasználói fiókok észlelése és vizsgálata

Nagy környezetekben a felhasználói fiókok nem mindig törlődnek, amikor az alkalmazottak elhagyják a szervezetet. Rendszergazdaként érdemes észlelni és feloldani ezeket az elavult felhasználói fiókokat, mert azok biztonsági kockázatot jelentenek.

Ez a cikk az elavult felhasználói fiókok Microsoft Entra-azonosítóban való kezelésére szolgál.

Előfeltételek

A tulajdonság elérése a lastSignInDateTime Microsoft Graph használatával:

• Microsoft Entra ID P1 vagy P2 kiadású licencre van szüksége.

• Az alkalmazásnak a következő Microsoft Graph-engedélyeket kell megadnia:

  • AuditLog.Read.All
  • User.Read.All

Mik azok az inaktív felhasználói fiókok?

Az inaktív fiókok olyan felhasználói fiókok, amelyeket a szervezet tagjai már nem igényelnek az erőforrásokhoz való hozzáféréshez. Az inaktív fiókok egyik kulcsazonosítója, hogy egy ideje nem használták őket a környezetbe való bejelentkezéshez. Mivel az inaktív fiókok a bejelentkezési tevékenységhez vannak kötve, használhatja annak az időbélyegnek az időbélyegét, amikor egy fiók utoljára próbált bejelentkezni az inaktív fiókok észlelésére.

Ennek a módszernek az a feladata, hogy meghatározza, mit jelent egy ideig a környezet számára. Előfordulhat például, hogy a felhasználók egy ideig nem jelentkeznek be egy környezetbe, mert szabadságon vannak. Az inaktív felhasználói fiókok változásának meghatározásakor figyelembe kell vennie a környezetbe való bejelentkezés minden jogos indokát. Számos szervezetben az inaktív felhasználói fiókok eltérése 90 és 180 nap között van.

Az utolsó bejelentkezés potenciális betekintést nyújt a felhasználó erőforrásaihoz való folyamatos hozzáférés iránti igényébe. Segíthet annak meghatározásában, hogy szükség van-e csoporttagságra vagy alkalmazáshozzáférésre, vagy eltávolítható-e. A külső felhasználók kezelése esetén megtudhatja, hogy egy külső felhasználó továbbra is aktív-e a bérlőn belül, vagy törölni kell őket.

Inaktív felhasználói fiókok észlelése a Microsoft Graph használatával

Az inaktív fiókokat több tulajdonság kiértékelésével is észlelheti, amelyek közül néhány elérhető a beta Microsoft Graph API végpontján. Nem javasoljuk, hogy éles környezetben használja a bétavégpontokat, de próbálja ki őket.

A lastSignInDateTime Microsoft Graph API erőforrástípusa által signInActivity közzétett tulajdonság. A lastSignInDateTime tulajdonság azt mutatja, hogy a felhasználó utoljára próbált meg interaktív bejelentkezési kísérletet tenni a Microsoft Entra-azonosítóban. A tulajdonság használatával a következő forgatókönyvekhez valósíthat meg megoldást:

• Az összes felhasználó utolsó bejelentkezési dátuma és ideje: Ebben a forgatókönyvben az összes felhasználó utolsó bejelentkezési dátumáról kell jelentést készítenie. Az összes felhasználó és az utolsóSignInDateTime listáját kell kérnie minden egyes felhasználóhoz:

  • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

• Felhasználók név szerint: Ebben a forgatókönyvben név alapján keres egy adott felhasználót, amely lehetővé teszi a lastSignInDateTime kiértékelését:

  • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity

• Felhasználók dátum szerint: Ebben az esetben a megadott dátum előtt a lastSignInDateTime-tal rendelkező felhasználók listáját kell kérnie:

  • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

• Utolsó sikeres bejelentkezés dátuma és ideje (bétaverzió):Ez a forgatókönyv csak a beta Microsoft Graph API végpontján érhető el. A megadott dátum előtti felhasználók lastSuccessfulSignInDateTime listáját kérheti le:

  • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

A lastSignInDateTime tulajdonság szempontjai

A következő részletek a lastSignInDateTime tulajdonságra vonatkoznak.

• A lastSignInDateTime tulajdonságot a Microsoft Graph API signInActivity erőforrástípusa teszi közzé.

• A tulajdonság nem érhető el a Get-MgAuditLogDirectoryAudit parancsmagon keresztül.

• Minden interaktív bejelentkezési kísérlet a mögöttes adattár frissítését eredményezi. A bejelentkezések általában 6 órán belül megjelennek a kapcsolódó bejelentkezési jelentésben.

• A lastSignInDateTime időbélyeg létrehozásához meg kell kísérelnie a bejelentkezést. Sikertelen vagy sikeres bejelentkezési kísérlet esetén, ha az a Microsoft Entra bejelentkezési naplóiban van rögzítve, létrehoz egy lastSignInDateTime időbélyeget. A lastSignInDateTime tulajdonság értéke üres lehet, ha:

  • A felhasználó utolsó bejelentkezési kísérlete 2020 áprilisa előtt történt.
  • Az érintett felhasználói fiókot soha nem használták bejelentkezési kísérlethez.

• Az utolsó bejelentkezési dátum a felhasználói objektumhoz van társítva. Az érték megmarad a felhasználó következő bejelentkezéséig. A frissítés akár 24 órát is igénybe vehet.

Egyetlen felhasználó vizsgálata a Microsoft Entra felügyeleti központban

Ha meg kell tekintenie egy felhasználó legújabb bejelentkezési tevékenységét, megtekintheti a felhasználó bejelentkezési adatait a Microsoft Entra-azonosítóban. A Microsoft Graph-felhasználókat az előző szakaszban ismertetett névforgatókönyv szerint is használhatja.

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.

2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.

3. Válasszon egy felhasználót a listából.

4. A felhasználói áttekintés Saját hírcsatorna területén keresse meg a Bejelentkezések csempét.

   

A csempe utolsó bejelentkezési dátuma és időpontja akár 24 órát is igénybe vehet, ami azt jelenti, hogy a dátum és az idő nem aktuális. Ha közel valós időben kell látnia a tevékenységet, a Bejelentkezések csempén az Összes bejelentkezés megjelenítése hivatkozásra kattintva megtekintheti az adott felhasználó összes bejelentkezési tevékenységét.

Következő lépések

• Adatok lekérése a Microsoft Entra reporting API-val tanúsítványok használatával
• Api-referencia naplózása
• Bejelentkezési tevékenység jelentés API-referenciája