Практическое руководство. Управление неактивными учетными записями пользователей в Azure AD

В больших средах учетные записи пользователей не всегда удаляются, когда сотрудники уходят из организации. IT-администратору нужно обнаружить устаревшие учетные записи и разобраться с ними, поскольку они представляют угрозу безопасности.

В этой статье описывается метод управления устаревшими учетными записями в Azure AD.

Важно!

Интерфейсы API версии /beta в Microsoft Graph могут быть изменены. Использование этих API для приложений в рабочей среде не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Что такое неактивные учетные записи пользователей?

Неактивные учетные записи — это учетные записи пользователей, которые сотрудники больше не используют для доступа к ресурсам организации. Если вы долгое время не входили в учетную запись вашей системы — это один из основных признаков неактивной учетной записи. Поскольку неактивные учетные записи тесно связаны с частотой входа в систему, для их обнаружения можно использовать временную метку последнего успешного входа.

Задача этого метода заключается в том, чтобы определить, что значит некоторое время конкретно для вашей среды. Например, пользователи могут не входить в систему некоторое время, поскольку они находятся в отпуске. При определении характеристик неактивной учетной записи следует учитывать все возможные причины отсутствия входа в систему. Для многих организаций характерное для неактивной учетной записи отсутствие пользователей в сети составляет 90–180 дней.

По последнему успешному входу в систему можно ориентировочно судить о том, понадобится ли пользователю в дальнейшем доступ к ресурсам организации. Это поможет определить, требуется ли еще членство в группе или доступ к приложениям или их можно удалить. Если речь идет об управлении внешним пользователем, это поможет понять, активен ли он в клиенте или его данные следует очистить.

Как обнаружить неактивные учетные записи?

Вы можете обнаружить неактивные учетные записи с помощью свойства lastSignInDateTime, предоставленного типом ресурса signInActivity в API Microsoft Graph. В свойстве lastSignInDateTime доступны сведения о последнем успешном входе пользователя в Azure AD в ходе интерактивного сеанса. Этот параметр можно использовать для отслеживания по следующим принципам:

  • По имени пользователя. В этой ситуации вы находите пользователя по имени, вычисляя его через lastSignInDateTime: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'markvi')&$select=displayName,signInActivity

  • По дате, связанной с пользователем. В этом варианте вы запрашиваете список пользователей с lastSignInDateTime до определенной даты: https://graph.microsoft.com/beta/users?filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z

Примечание

Может возникнуть необходимость генерировать отчет о последней дате входа всех пользователей. В этом случае можно использовать следующий сценарий. Дата и время последнего входа для всех пользователей: в этом сценарии запрашивается список всех пользователей и последнее lastSignInDateTime для каждого пользователя: https://graph.microsoft.com/beta/users?$select=displayName,signInActivity.

Это важно знать

В этом разделе перечислены необходимые сведения о свойстве lastSignInDateTime.

Как получить доступ к этому параметру?

Свойство lastSignInDateTime предоставляется типом ресурса signInActivity в REST API Microsoft Graph.

Примечание

Конечная точка API Graph signInActivity пока не поддерживается в средах GCC High для правительственных учреждений США.

Доступен ли параметр lastSignInDateTime в командлете Get-AzureAdUser?

Нет.

Какой выпуск Azure AD следует использовать, чтобы получить доступ к этому свойству?

Для доступа к этому свойству необходим выпуск Azure Active Directory Premium.

Какие права необходимы для чтения свойства?

Для чтения этого свойства следует предоставить следующие права:

  • AuditLogs.Read.All
  • Organization.Read.All

Когда Azure AD обновляет свойство?

Каждый успешный интерактивный вход приводит к обновлению базового хранилища данных. Как правило, успешные попытки входа отображаются в соответствующем отчете в течение 10 минут.

Что означает пустое значение свойства?

Для создания временной метки lastSignInDateTime требуется выполнить успешный вход в систему. Поскольку параметр lastSignInDateTime является новой функцией, значение свойства lastSignInDateTime может быть пустым, если:

  • Последний успешный вход пользователя имел место до апреля 2020 г.
  • эта учетная запись пользователя никогда не использовалась для успешного входа.

Дальнейшие действия