Postupy: Správa neaktivních uživatelských účtů v Azure AD

Ve velkých prostředích nebudou uživatelské účty vždycky odstraněny, když zaměstnanci odejdou z organizace. Jako správce IT chcete zjistit a zpracovat tyto zastaralé uživatelské účty, protože představují bezpečnostní riziko.

Tento článek vysvětluje způsob zpracování zastaralých uživatelských účtů ve službě Azure AD.

Důležité

rozhraní api ve /beta verzi Microsoft Graph se mohou změnit. Použití těchto rozhraní API v produkčních aplikacích není podporováno. Chcete-li zjistit, zda je rozhraní API k dispozici v 1.0, použijte selektor verzí .

Co jsou neaktivní uživatelské účty?

Neaktivní účty jsou uživatelské účty, které už členové vaší organizace nevyžadují k získání přístupu k vašim prostředkům. Jeden identifikátor klíče pro neaktivní účty znamená, že se při přihlášení k vašemu prostředí zatím nepoužívaly. Vzhledem k tomu, že neaktivní účty jsou svázané s aktivitou přihlašování, můžete použít časové razítko posledního přihlášení, které bylo úspěšně rozpoznáno.

Výzvou k této metodě je definování toho, co pro chvíli znamená v případě vašeho prostředí. Například uživatelé se nemusí k prostředí během chvilky přihlašovat, protože jsou na dovolené. Při definování rozdílů pro neaktivní uživatelské účty musíte zvážit všechny oprávněné důvody, proč se přihlašujete k vašemu prostředí. V mnoha organizacích je rozdíl mezi neaktivními uživatelskými účty mezi 90 a 180 dny.

Poslední úspěšné přihlášení nabízí potenciálním přehledům, které uživatel potřebuje k přístupu k prostředkům. Může pomáhat s určením, jestli je členství ve skupině nebo aplikace stále potřeba, nebo odebrat. Pro správu externích uživatelů můžete pochopit, jestli je externí uživatel pořád aktivní v rámci tenanta, nebo by se měl vyčistit.

Zjišťování neaktivních uživatelských účtů

Neaktivní účty zjistíte tak, že vyhodnocujete vlastnost lastSignInDateTime zveřejněnou typem prostředku signInActivity rozhraní API pro Microsoft Graph . Vlastnost lastSignInDateTime zobrazuje čas, kdy uživatel naposledy úspěšně provedl úspěšné interaktivní přihlášení ke službě Azure AD. Pomocí této vlastnosti můžete implementovat řešení pro následující scénáře:

  • Uživatelé podle jména: v tomto scénáři vyhledáte konkrétního uživatele podle názvu, který vám umožní vyhodnotit lastSignInDateTime: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • Uživatelé podle data: v tomto scénáři si vyžádáte seznam uživatelů s lastSignInDateTime před zadaným datem: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Poznámka

Je možné, že budete muset vygenerovat sestavu posledního přihlašovacího data všech uživatelů, pokud ano, můžete použít následující scénář. Datum a čas posledního přihlášení pro všechny uživatele: v tomto scénáři si vyžádáte seznam všech uživatelů a poslední lastSignInDateTime pro každého příslušného uživatele: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity

Co je potřeba vědět

V této části jsou uvedeny informace o tom, co potřebujete znát o vlastnosti lastSignInDateTime.

Jak se dá získat přístup k této vlastnosti?

vlastnost lastSignInDateTime je vystavena typem prostředku signInActivity REST API Microsoft Graph.

Poznámka

koncový bod signInActivity Graph API ještě není podporovaný ve GCC vysokém prostředí pro státní správu usa.

Je k dispozici vlastnost lastSignInDateTime prostřednictvím rutiny Get-AzureAdUser?

No.

Jakou edici služby Azure AD potřebuji pro přístup k této vlastnosti?

chcete-li získat přístup k této vlastnosti, potřebujete edici Azure Active Directory Premium.

Jaká oprávnění potřebuji ke čtení vlastnosti?

Chcete-li tuto vlastnost číst, je třeba udělit následující oprávnění:

  • AuditLog. Read. All
  • Organization. Read. All

Kdy služba Azure AD aktualizuje vlastnost?

Každé interaktivní přihlášení, které bylo úspěšné, má za následek aktualizaci základního úložiště dat. Úspěšná přihlášení se obvykle zobrazují v související sestavě přihlášení do 10 minut.

Co znamená prázdná hodnota vlastnosti?

Pokud chcete vygenerovat lastSignInDateTime časové razítko, budete potřebovat úspěšné přihlášení. Vzhledem k tomu, že vlastnost lastSignInDateTime je nová funkce, hodnota vlastnosti lastSignInDateTime může být prázdná, pokud:

  • Poslední úspěšné přihlášení uživatele proběhlo před dubna 2020.
  • Ovlivněný uživatelský účet nebyl nikdy použit k úspěšnému přihlášení.

Další kroky