Etkin olmayan kullanıcı hesaplarını algılama ve araştırma

Büyük ortamlarda, çalışanlar kuruluş dışına çıktığında kullanıcı hesapları her zaman silinmez. BT yöneticisi olarak, bu eski kullanıcı hesaplarını algılamak ve çözmek istiyorsunuz çünkü bunlar bir güvenlik riskini temsil ediyor.

Bu makalede, Microsoft Entra Id'de eski kullanıcı hesaplarını işlemek için bir yöntem açıklanmaktadır.

Not

Bu makale yalnızca Microsoft Entra Id'de etkin olmayan kullanıcı hesaplarını bulmak için geçerlidir. Azure AD B2C'de etkin olmayan hesapları bulmak için geçerli değildir.

Önkoşullar

Özelliğine lastSignInDateTime Microsoft Graph kullanarak erişmek için:

  • Microsoft Entra Id P1 veya P2 sürüm lisansına ihtiyacınız vardır.

  • Uygulamaya aşağıdaki Microsoft Graph izinlerini vermeniz gerekir:

    • AuditLog.Read.All
    • User.Read.All

Etkin olmayan kullanıcı hesapları nedir?

Etkin olmayan hesaplar, kuruluşunuzdaki üyelerin kaynaklarınıza erişmesi için artık gerekli olmayan kullanıcı hesaplarıdır. Etkin olmayan hesapların önemli tanımlayıcılarından biri, ortamınızda oturum açmak için bir süredir kullanılmamış olmalarıdır. Etkin olmayan hesaplar oturum açma etkinliğine bağlı olduğundan, etkin olmayan hesapları algılamak için bir hesabın son oturum açmaya çalıştığındaki zaman damgasını kullanabilirsiniz.

Bu yöntemin zorluğu, bir süre için ortamınız için ne anlama geldiğini tanımlamaktır. Örneğin, kullanıcılar tatilde oldukları için bir ortamda bir süre oturum açamayabilir. Etkin olmayan kullanıcı hesapları için deltanızın ne olduğunu tanımlarken, ortamınızda oturum açmamanızın tüm meşru nedenlerini dikkate almanız gerekir. Birçok kuruluşta, etkin olmayan kullanıcı hesapları için delta 90 ile 180 gün arasındadır.

Son oturum açma işlemi, bir kullanıcının kaynaklara sürekli erişim ihtiyacıyla ilgili olası içgörüler sağlar. Grup üyeliğinin veya uygulama erişiminin hala gerekli olup olmadığını veya kaldırılıp kaldırılmadığını belirlemeye yardımcı olabilir. Dış kullanıcı yönetimi için, bir dış kullanıcının kiracı içinde hala etkin olup olmadığını veya temizlenmesi gerektiğini anlayabilirsiniz.

Microsoft Graph ile etkin olmayan kullanıcı hesaplarını algılama

Bazıları Microsoft Graph API'sinin uç noktasında bulunan beta çeşitli özellikleri değerlendirerek etkin olmayan hesapları algılayabilirsiniz. Beta uç noktalarını üretim ortamında kullanmanızı önermiyoruz, ancak denemeniz için sizi davet ediyoruz.

lastSignInDateTime Microsoft Graph API'sinin signInActivitykaynak türü tarafından kullanıma sunulan özellik. lastSignInDateTime özelliği, kullanıcının Microsoft Entra Id'de etkileşimli oturum açma girişiminde bulunduğu son denemeyi gösterir. Bu özelliği kullanarak aşağıdaki senaryolar için bir çözüm uygulayabilirsiniz:

  • Tüm kullanıcılar için son oturum açma tarihi ve saati: Bu senaryoda, tüm kullanıcıların son oturum açma tarihiyle ilgili bir rapor oluşturmanız gerekir. Tüm kullanıcıların listesini ve ilgili her kullanıcı için lastSignInDateTime değerini istiyorsunuz:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Ada göre kullanıcılar: Bu senaryoda, lastSignInDateTime değerini değerlendirmenizi sağlayan belirli bir kullanıcıyı ada göre ararsınız:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Tarihe göre kullanıcılar: Bu senaryoda, belirtilen tarihten önce lastSignInDateTime değerine sahip kullanıcıların listesini istiyorsunuz:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Son başarılı oturum açma tarihi ve saati (beta): Bu senaryo yalnızca Microsoft Graph API'sinin beta uç noktasında kullanılabilir. Belirtilen tarihten önce bir kullanıcı lastSuccessfulSignInDateTime listesi isteyebilirsiniz:

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Not

signInActivity özelliği (eq, ne, not, , gele) özelliğini destekler $filter , ancak diğer filtrelenebilir özelliklerle desteklemez. signInActivity özelliği varsayılan olarak döndürülmediğinden kullanıcıları listelerken veya $filter=signInActivity belirtmeniz $select=signInActivity gerekir.

lastSignInDateTime özelliği için dikkat edilmesi gerekenler

Aşağıdaki ayrıntılar özelliğiyle lastSignInDateTime ilgilidir.

  • lastSignInDateTime özelliği, Microsoft Graph API'sinin signInActivity kaynak türü tarafından kullanıma sunulur.

  • Özelliği Get-MgAuditLogDirectoryAudit cmdlet'i aracılığıyla kullanılamaz.

  • Her etkileşimli oturum açma girişimi, temel alınan veri deposunun güncelleştirilerek sonuçlarını alır. Genellikle, oturum açma işlemleri 6 saat içinde ilgili oturum açma raporunda gösterilir.

  • lastSignInDateTime zaman damgası oluşturmak için bir oturum açmayı denemeniz gerekir. Microsoft Entra oturum açma günlüklerine kaydedildiği sürece başarısız veya başarılı bir oturum açma girişimi lastSignInDateTime zaman damgası oluşturur. LastSignInDateTime özelliğinin değeri şu durumda boş olabilir:

    • Kullanıcının son oturum açma girişimi Nisan 2020'dan önce gerçekleşti.
    • Etkilenen kullanıcı hesabı hiçbir zaman oturum açma girişimi için kullanılmadı.
  • Son oturum açma tarihi kullanıcı nesnesiyle ilişkilendirilir. Değer, kullanıcının bir sonraki oturum açma işlemine kadar korunur. Güncelleştirme 24 saat kadar sürebilir.

Microsoft Entra yönetim merkezinde tek bir kullanıcıyı araştırma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bir kullanıcının en son oturum açma etkinliğini görüntülemeniz gerekiyorsa, kullanıcının oturum açma ayrıntılarını Microsoft Entra Id'de görüntüleyebilirsiniz. Önceki bölümde açıklanan ada göre Microsoft Graph kullanıcılarını da kullanabilirsiniz.

  1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.

  3. Listeden bir kullanıcı seçin.

  4. Kullanıcının Genel Bakış'ın Akışım alanında Oturum Açmalar kutucuğunu bulun.

    Screenshot of the user overview page with the sign-in activity tile highlighted.

Bu kutucukta gösterilen son oturum açma tarihi ve saatinin güncelleştirilmesi 24 saate kadar sürebilir; bu da tarih ve saatin güncel olmayabileceği anlamına gelir. Etkinliği neredeyse gerçek zamanlı olarak görmeniz gerekiyorsa, o kullanıcının tüm oturum açma etkinliklerini görüntülemek için Oturum açmalar kutucuğundaki Tüm oturum açma bilgilerini görüntüle bağlantısını seçin.

Sonraki adımlar