Come rilevare gli account utente inattivi

Negli ambienti di grandi dimensioni, gli account utente non vengono sempre eliminati quando i dipendenti lasciano un'organizzazione. Per gli amministratori IT è importante rilevare e gestire questi account utente obsoleti perché rappresentano un rischio per la sicurezza.

Questo articolo illustra un metodo per gestire gli account utente obsoleti in Microsoft Entra ID.

Nota

Questo articolo si applica solo alla ricerca di account utente inattivi in Microsoft Entra ID. Non si applica alla ricerca di account inattivi in Azure AD B2C.

Prerequisiti

Per accedere alla lastSignInDateTime proprietà tramite Microsoft Graph:

  • È necessaria una licenza Microsoft Entra ID P1 o P2.

  • È necessario concedere all'app le autorizzazioni di Microsoft Graph seguenti:

    • AuditLog.Read.All
    • User.Read.All
  • Lettore report è il ruolo con privilegi minimi necessari per accedere ai log attività.

Che cosa sono gli account utente inattivi?

Gli account inattivi sono account utente che non sono più necessari per i membri dell'organizzazione per ottenere l'accesso alle risorse. Un identificatore chiave per gli account inattivi è che non sono stati usati per un periodo di tempo per accedere all'ambiente. Poiché gli account inattivi sono associati all'attività di accesso, è possibile usare il timestamp dell'ultima volta che un account ha tentato di accedere per rilevare gli account inattivi.

La difficoltà di questo metodo consiste nel definire la durata del periodo di tempo nel caso dell'ambiente in uso. Ad esempio, gli utenti potrebbero non accedere a un ambiente per un periodo di tempo, perché sono in vacanza. Quando si definisce il delta per gli account utente inattivi, è necessario considerare tutti i motivi legittimi per non accedere all'ambiente. In molte organizzazioni, il delta per gli account utente inattivi è compreso tra 90 e 180 giorni.

L'ultimo accesso riuscito fornisce le informazioni potenziali per la continua necessità di accesso alle risorse da parte dell'utente. Può essere utile per determinare se l'appartenenza al gruppo o l'accesso all'app è ancora necessario o può essere rimosso. Per la gestione degli utenti esterni, è possibile capire se un utente esterno è ancora attivo nel tenant o se deve essere eliminato.

Rilevare gli account utente inattivi con Microsoft Graph

È possibile rilevare gli account inattivi valutando diverse proprietà, alcune delle quali disponibili nel beta endpoint dell'API Microsoft Graph. Non è consigliabile usare gli endpoint beta nell'ambiente di produzione, ma invitarvi a provarli.

La proprietà lastSignInDateTime esposta dal signInActivity tipo di risorsa dell'API Microsoft Graph. La proprietà lastSignInDateTime mostra l'ultima volta che un utente ha tentato di eseguire un tentativo di accesso interattivo in Microsoft Entra ID. Usando questa proprietà, è possibile implementare una soluzione per gli scenari seguenti:

  • Data e ora dell'ultimo accesso per tutti gli utenti: in questo scenario è necessario generare un report dell'ultima data di accesso di tutti gli utenti. È necessario richiedere un elenco di tutti gli utenti e l'ultimo lastSignInDateTime per ogni rispettivo utente:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Utenti per nome: in questo scenario si cerca un utente specifico in base al nome, che consente di valutare la proprietà lastSignInDateTime:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Utenti per data: in questo scenario viene richiesto un elenco di utenti con una proprietà lastSignInDateTime precedente una data specificata:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Ultima data e ora di accesso riuscito (beta): questo scenario è disponibile solo nel beta endpoint dell'API Microsoft Graph. È possibile richiedere un elenco di utenti con una lastSuccessfulSignInDateTime precedente a una data specificata:

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Nota

La signInActivity proprietà supporta $filter (eq, ne, not, ge, le) ma non con altre proprietà filtrabili. È necessario specificare $select=signInActivity o $filter=signInActivity durante l'elenco degli utenti, perché la proprietà signInActivity non viene restituita per impostazione predefinita.

Considerazioni per la proprietà lastSignInDateTime

I dettagli seguenti sono correlati alla lastSignInDateTime proprietà.

  • La proprietà lastSignInDateTime è esposta dal tipo di risorsa signInActivity del API Microsoft Graph.

  • La proprietà non è disponibile tramite il cmdlet Get-MgAuditLogDirectoryAudit.

  • Ogni accesso interattivo che ha avuto esito positivo comporta un aggiornamento dell'archivio dati sottostante. In genere, gli accessi con esito positivo vengono visualizzati nel rispettivo report di accesso entro 6 ore.

  • Per generare un timestamp lastSignInDateTime, è necessario che un accesso sia andato a buon fine. Un tentativo di accesso non riuscito o riuscito, purché venga registrato nei log di accesso di Microsoft Entra, genera un timestamp lastSignInDateTime. Il valore della proprietà lastSignInDateTime potrebbe essere vuoto se:

    • L'ultimo tentativo di accesso di un utente è avvenuto prima di aprile 2020.
    • L'account utente interessato non è mai stato usato per un accesso riuscito.
  • L'ultima data di accesso è associata all'oggetto utente. Il valore viene mantenuto fino al successivo accesso dell'utente. L'aggiornamento potrebbe richiedere fino a 24 ore.

Come analizzare un singolo utente nell'interfaccia di amministrazione di Microsoft Entra

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Se è necessario visualizzare l'attività di accesso più recente per un utente, è possibile visualizzare i dettagli di accesso dell'utente in Microsoft Entra ID. È anche possibile usare lo scenario degli utenti di Microsoft Graph in base al nome descritto nella sezione precedente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare un utente dall'elenco.

  4. Nell'area Feed personale della panoramica dell'utente, individuare il riquadro Accessi.

    Screenshot della pagina di panoramica dell'utente con il riquadro attività di accesso evidenziato.

La data e l'ora dell'ultimo accesso visualizzate in questo riquadro potrebbero richiedere fino a 24 ore per l'aggiornamento, il che significa che la data e l'ora potrebbero non essere aggiornate. Se è necessario visualizzare l'attività quasi in tempo reale, selezionare il collegamento Visualizza tutti gli accessi nel riquadro Accessi per visualizzare tutte le attività di accesso per l'utente.