Cara mendeteksi dan menyelidiki akun pengguna yang tidak aktif

Di lingkungan besar, akun pengguna tidak selalu dihapus saat karyawan meninggalkan organisasi. Sebagai administrator TI, Anda ingin mendeteksi dan menyelesaikan akun pengguna usang ini karena mewakili risiko keamanan.

Artikel ini menjelaskan metode untuk menangani akun pengguna usang di ID Microsoft Entra.

Prasyarat

Untuk mengakses lastSignInDateTime properti menggunakan Microsoft Graph:

• Anda memerlukan lisensi edisi Microsoft Entra ID P1 atau P2.

• Anda perlu memberikan izin Microsoft Graph berikut kepada aplikasi:

  • AuditLog.Read.All
  • Pengguna.Baca.Semua

Apa itu akun pengguna yang tidak aktif?

Akun yang tidak aktif adalah akun pengguna yang tidak diperlukan lagi oleh anggota organisasi Anda untuk mendapatkan akses ke sumber daya Anda. Salah satu pengidentifikasi kunci untuk akun yang tidak aktif adalah bahwa mereka belum digunakan untuk sementara waktu untuk masuk ke lingkungan Anda. Karena akun yang tidak aktif terkait dengan aktivitas masuk, Anda dapat menggunakan tanda waktu terakhir kali akun mencoba masuk untuk mendeteksi akun yang tidak aktif.

Tantangan dari metode ini adalah menentukan apa untuk sementara waktu bagi lingkungan Anda. Misalnya, pengguna mungkin tidak masuk ke lingkungan untuk sementara waktu, karena mereka sedang berlibur. Saat menentukan apa delta Anda untuk akun pengguna yang tidak aktif, Anda perlu memperhitungkan semua alasan yang sah untuk tidak masuk ke lingkungan Anda. Di banyak organisasi, delta untuk akun pengguna tidak aktif adalah antara 90 dan 180 hari.

Rincian masuk terakhir memberikan wawasan potensial tentang kebutuhan pengguna yang berkelanjutan untuk akses ke sumber daya. Ini dapat membantu menentukan apakah keanggotaan grup atau akses aplikasi masih diperlukan atau dapat dihapus. Untuk manajemen pengguna eksternal, Anda dapat memahami apakah pengguna eksternal masih aktif dalam penyewa atau harus dibersihkan.

Mendeteksi akun pengguna yang tidak aktif dengan Microsoft Graph

Anda dapat mendeteksi akun yang tidak aktif dengan mengevaluasi beberapa properti, beberapa di antaranya tersedia di beta titik akhir Microsoft Graph API. Kami tidak merekomendasikan penggunaan titik akhir beta dalam produksi, tetapi mengundang Anda untuk mencobanya.

Properti lastSignInDateTime yang diekspos oleh signInActivity jenis sumber daya Microsoft Graph API. Properti lastSignInDateTime menunjukkan terakhir kali pengguna mencoba melakukan upaya masuk interaktif di ID Microsoft Entra. Dengan menggunakan properti ini, Anda dapat mengimplementasikan solusi untuk skenario berikut:

• Tanggal dan waktu masuk terakhir untuk semua pengguna: Dalam skenario ini, Anda perlu membuat laporan tanggal masuk terakhir semua pengguna. Anda meminta daftar semua pengguna, dan lastSignInDateTime terakhir untuk setiap pengguna masing-masing:

  • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity

• Pengguna berdasarkan nama: Dalam skenario ini, Anda mencari pengguna tertentu berdasarkan nama, yang memungkinkan Anda mengevaluasi lastSignInDateTime:

  • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity

• Pengguna berdasarkan tanggal: Dalam skenario ini, Anda meminta daftar pengguna dengan lastSignInDateTime sebelum tanggal yang ditentukan:

  • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

• Tanggal dan waktu masuk (beta) terakhir yang berhasil: Skenario ini hanya tersedia di beta titik akhir Microsoft Graph API. Anda dapat meminta daftar pengguna dengan lastSuccessfulSignInDateTime sebelum tanggal tertentu:

  • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Pertimbangan untuk properti lastSignInDateTime

Detail berikut berkaitan dengan lastSignInDateTime properti .

• Properti lastSignInDateTime diekspos oleh jenis sumber daya signInActivity dari Microsoft Graph API.

• Properti tidak tersedia melalui cmdlet Get-MgAuditLogDirectoryAudit.

• Setiap upaya masuk interaktif menghasilkan pembaruan penyimpanan data yang mendasar. Biasanya, rincian masuk muncul dalam laporan masuk terkait dalam waktu 6 jam.

• Untuk menghasilkan tanda waktu lastSignInDateTime, Anda harus mencoba masuk. Upaya masuk yang gagal atau berhasil, selama dicatat dalam log masuk Microsoft Entra, menghasilkan tanda waktu lastSignInDateTime. Nilai properti lastSignInDateTime mungkin kosong jika:

  • Upaya masuk terakhir pengguna terjadi sebelum April 2020.
  • Akun pengguna yang terpengaruh tidak pernah digunakan untuk upaya masuk.

• Tanggal masuk terakhir dikaitkan dengan objek pengguna. Nilai dipertahankan hingga pengguna masuk berikutnya. Mungkin perlu waktu hingga 24 jam untuk diperbarui.

Cara menyelidiki satu pengguna di pusat admin Microsoft Entra

Jika Anda perlu melihat aktivitas masuk terbaru untuk pengguna, Anda dapat melihat detail masuk pengguna di ID Microsoft Entra. Anda juga dapat menggunakan skenario pengguna Microsoft Graph berdasarkan nama yang dijelaskan di bagian sebelumnya.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.

2. Telusuri ke Pengguna>Identitas>Semua pengguna.

3. Pilih pengguna dari daftar.

4. Di area Umpan Saya dari Gambaran Umum pengguna, temukan petak peta Masuk.

   

Tanggal dan waktu masuk terakhir yang ditunjukkan pada petak peta ini mungkin memerlukan waktu hingga 24 jam untuk diperbarui, yang berarti tanggal dan waktu mungkin tidak terkini. Jika Anda perlu melihat aktivitas mendekati real time, pilih tautan Lihat semua rincian masuk pada petak peta Masuk untuk melihat semua aktivitas masuk untuk pengguna tersebut.

Langkah berikutnya

• Mendapatkan data menggunakan API pelaporan Microsoft Entra dengan sertifikat
• Referensi API Audit
• Referensi API laporan aktivitas masuk