Come rilevare e analizzare gli account utente inattivi
In ambienti di grandi dimensioni, gli account utente non vengono sempre eliminati quando i dipendenti lasciano un'organizzazione. Gli amministratori IT vogliono rilevare e risolvere questi account utente obsoleti perché rappresentano un rischio per la sicurezza.
Questo articolo illustra un metodo per gestire gli account utente obsoleti in Microsoft Entra ID.
Nota
Questo articolo si applica solo alla ricerca di account utente inattivi in Microsoft Entra ID. Non si applica alla ricerca di account inattivi in Azure AD B2C.
Prerequisiti
Per accedere alla lastSignInDateTime proprietà tramite Microsoft Graph:
È necessaria una licenza microsoft Entra ID P1 o P2 Edition.
È necessario concedere all'app le autorizzazioni di Microsoft Graph seguenti:
- AuditLog.Read.All
- User.Read.All
Che cosa sono gli account utente inattivi?
Gli account inattivi sono account utente che non sono più necessari dai membri dell'organizzazione per ottenere l'accesso alle risorse. Un identificatore di chiave per gli account inattivi è che non sono stati usati per un po' di tempo per accedere all'ambiente. Poiché gli account inattivi sono associati all'attività di accesso, è possibile usare il timestamp dell'ultima volta che un account ha tentato di accedere per rilevare gli account inattivi.
La sfida di questo metodo consiste nel definire cosa significa per un po' per l'ambiente in uso. Ad esempio, gli utenti potrebbero non accedere a un ambiente per un periodo di tempo, perché sono in vacanza. Quando si definisce il delta per gli account utente inattivi, è necessario considerare tutti i motivi legittimi per non accedere all'ambiente. In molte organizzazioni, il delta per gli account utente inattivi è compreso tra 90 e 180 giorni.
L'ultimo accesso fornisce potenziali informazioni dettagliate sulla necessità continua di un utente di accedere alle risorse. Può essere utile per determinare se l'appartenenza al gruppo o l'accesso all'app è ancora necessario o può essere rimosso. Per la gestione degli utenti esterni, è possibile capire se un utente esterno è ancora attivo nel tenant o se deve essere eliminato.
Rilevare gli account utente inattivi con Microsoft Graph
È possibile rilevare gli account inattivi valutando diverse proprietà, alcune delle quali disponibili nell'endpoint dell'API beta Microsoft Graph. Non è consigliabile usare gli endpoint beta nell'ambiente di produzione, ma invitarvi a provarli.
Proprietà lastSignInDateTime esposta dal signInActivity tipo di risorsa dell'API Microsoft Graph. La proprietà lastSignInDateTime mostra l'ultima volta che un utente ha tentato di eseguire un tentativo di accesso interattivo in Microsoft Entra ID. Usando questa proprietà, è possibile implementare una soluzione per gli scenari seguenti:
Data e ora dell'ultimo accesso per tutti gli utenti: in questo scenario è necessario generare un report dell'ultima data di accesso di tutti gli utenti. È necessario richiedere un elenco di tutti gli utenti e l'ultimo lastSignInDateTime per ogni rispettivo utente:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Utenti per nome: in questo scenario si cerca un utente specifico per nome, che consente di valutare lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Utenti per data: in questo scenario, è necessario richiedere un elenco di utenti con un valore lastSignInDateTime prima di una data specificata:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Ultima data e ora di accesso riuscito (beta): questo scenario è disponibile solo nell'endpoint dell'API
betaMicrosoft Graph. È possibile richiedere un elenco di utenti con unalastSuccessfulSignInDateTimedata precedente a una data specificata:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Nota
La signInActivity proprietà supporta $filter (eq, ne, not, ge, ) lema non con altre proprietà filtrabili. È necessario specificare $select=signInActivity o $filter=signInActivity durante l'elenco degli utenti, perché la proprietà signInActivity non viene restituita per impostazione predefinita.
Considerazioni per la proprietà lastSignInDateTime
I dettagli seguenti sono correlati alla lastSignInDateTime proprietà .
La proprietà lastSignInDateTime viene esposta dal tipo di risorsa signInActivity dell'API Microsoft Graph.
La proprietà non è disponibile tramite il cmdlet Get-MgAuditLogDirectoryAudit.
Ogni tentativo di accesso interattivo comporta un aggiornamento dell'archivio dati sottostante. In genere, gli accessi vengono visualizzati nel report di accesso correlato entro 6 ore.
Per generare un timestamp lastSignInDateTime, è necessario tentare un accesso. Un tentativo di accesso non riuscito o riuscito, purché venga registrato nei log di accesso di Microsoft Entra, genera un timestamp lastSignInDateTime. Il valore della proprietà lastSignInDateTime potrebbe essere vuoto se:
- L'ultimo tentativo di accesso di un utente è avvenuto prima di aprile 2020.
- L'account utente interessato non è mai stato usato per un tentativo di accesso.
L'ultima data di accesso è associata all'oggetto utente. Il valore viene mantenuto fino al successivo accesso dell'utente. L'aggiornamento potrebbe richiedere fino a 24 ore.
Come analizzare un singolo utente nell'interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Se è necessario visualizzare l'attività di accesso più recente per un utente, è possibile visualizzare i dettagli di accesso dell'utente in Microsoft Entra ID. È anche possibile usare lo scenario degli utenti di Microsoft Graph in base al nome descritto nella sezione precedente.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
Passare a Identità>Utenti>Tutti gli utenti.
Selezionare un utente dall'elenco.
Nell'area Feed personale della panoramica dell'utente individuare il riquadro Accessi .
La data e l'ora dell'ultimo accesso visualizzate in questo riquadro potrebbero richiedere fino a 24 ore per l'aggiornamento, il che significa che la data e l'ora potrebbero non essere aggiornate. Se è necessario visualizzare l'attività quasi in tempo reale, selezionare il collegamento Visualizza tutti gli accessi nel riquadro Accessi per visualizzare tutte le attività di accesso per l'utente.