Como detectar e investigar contas de usuário inativas

Em ambientes grandes, as contas de usuário nem sempre são excluídas quando os funcionários deixam uma organização. Como administrador de TI, você quer detectar e resolver estas contas de usuário obsoletas porque elas representam um risco de segurança.

Este artigo explica um método para tratar as contas de usuário obsoletas no Microsoft Entra ID.

Observação

Esse artigo se aplica somente à localização de contas de usuário inativas no Microsoft Entra ID. Ele não se aplica à localização de contas inativas no Azure AD B2C.

Pré-requisitos

Para acessar a propriedade lastSignInDateTime usando o Microsoft Graph:

  • Você precisa de uma licença Microsoft Entra ID P1 ou P2.

  • Você precisa conceder ao aplicativo as seguintes permissões no Microsoft Graph:

    • AuditLog.Read.All
    • User.Read.All
  • Leitor de relatórios é a função menos privilegiada necessária para acessar os logs de atividades.

O que são contas de usuário inativas?

Contas inativas são contas de usuário que não são mais necessárias aos membros de sua organização para ter acesso aos seus recursos. Um identificador chave para contas inativas é que elas não são usadas há algum tempo para entrar no seu ambiente. Como as contas inativas estão vinculadas à atividade de entrada, você pode usar o carimbo de data/hora da última vez que uma conta tentou entrar para detectar as contas inativas.

O desafio deste método é definir o que há algum tempo significa para seu ambiente. Por exemplo, os usuários podem não entrar em um ambiente há algum tempo, porque estão de férias. Ao definir qual é seu delta para contas de usuários inativos, você precisa considerar todos os motivos legítimos que eles possam ter para não entrar no seu ambiente. Em muitas organizações, o delta para contas de usuários inativos é entre 90 e 180 dias.

A última entrada fornece informações potenciais sobre a necessidade contínua de acesso aos recursos do usuário. Ela pode ajudar a determinar se a associação de grupo ou o acesso ao aplicativo ainda é necessário ou pode ser removido. Para o gerenciamento de usuários externos, você pode saber se um usuário externo ainda está ativo dentro do locatário ou se deve ser excluído.

Detectar contas de usuário inativos com o Microsoft Graph

Você pode detectar contas inativas avaliando várias propriedades, algumas das quais estão disponíveis no ponto de extremidade beta da API do Microsoft Graph. Não recomendamos usar os pontos de extremidade beta em produção, mas convidamos você a experimentá-los.

A propriedade lastSignInDateTime exposta pelo tipo de recurso signInActivity da API do Microsoft Graph. A propriedade lastSignInDateTime mostra a última vez que um usuário tentou fazer uma tentativa de entrada interativa no Microsoft Entra ID. Use essa propriedade para implementar uma solução para os seguintes cenários:

  • Última data e hora de entrada para todos os usuários: Neste cenário, você precisa gerar um relatório da última data de entrada de todos os usuários. Você solicita uma lista de todos os usuários e o último lastSignInDateTime de cada usuário respectivo:

    • https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
  • Usuários por nome: nesse cenário, você procura um usuário específico por nome, o que permite avaliar o lastSignInDateTime:

    • https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
  • Usuários por data: nesse cenário, você solicita uma lista de usuários com um lastSignInDateTime que antecede uma data especificada:

    • https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
  • Data e hora da última entrada bem-sucedida (beta): este cenário está disponível apenas no ponto de extremidade beta da API do Microsoft Graph. Você pode solicitar uma lista de usuários com lastSuccessfulSignInDateTime antes de uma data especificada:

    • https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z

Observação

A propriedade signInActivity dá suporte a $filter (eq, ne, not, ge, le) mas não com quaisquer outras propriedades filtráveis. Você deve especificar $select=signInActivity ou $filter=signInActivity enquanto listar os usuários, pois a propriedade signInActivity não é retornada por padrão.

Considerações sobre a propriedade lastSignInDateTime

Os seguintes detalhes dizem respeito à propriedade lastSignInDateTime.

  • A propriedade lastSignInDateTime é exposta pelo tipo de recurso signInActivity da API do Microsoft Graph.

  • A propriedade não está disponível por meio do cmdlet Get-MgAuditLogDirectoryAudit.

  • Cada tentativa de entrada interativa resulta em uma atualização do armazenamento de dados subjacente. Normalmente, as entradas são mostradas no relatório de entrada relacionado dentro de 6 horas.

  • Para gerar um carimbo de data/hora lastSignInDateTime, você deve tentar uma entrada. Uma tentativa de entrada malsucedida ou bem-sucedida, desde que esteja registrada nos logs de entrada do Microsoft Entra, gera um carimbo de data/hora lastSignInDateTime. O valor da propriedade lastSignInDateTime poderá estar em branco se:

    • A última tentativa de entrada de um usuário ocorreu antes de abril de 2020.
    • A conta de usuário afetada nunca foi usada para uma tentativa de entrada.
  • A data da última entrada está associada ao objeto do usuário. O valor é retido até a próxima entrada do usuário. Pode levar até 24 horas para ser atualizado.

Como investigar um único usuário no centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Se você precisar exibir a atividade de entrada mais recente de um usuário, você pode exibir os detalhes da entrada do usuário no Microsoft Entra ID. Você também pode usar o cenário de usuários por nome do Microsoft Graph descrito na seção anterior.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Leitor de Relatórios.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione um usuário na lista.

  4. Na área Meu Feed da Visão Geral do usuário, localize o bloco Credenciais.

    Captura de tela da página de visão geral do usuário com o bloco de credenciais realçado.

A data e a hora da última entrada mostradas neste bloco podem levar até 24 horas para serem atualizadas, o que significa que a data e a hora podem não ser atuais. Se você precisar ver a atividade em tempo quase real, selecione o link Ver todas as Credenciais no bloco Credenciais para exibir todas as atividades das credenciais desse usuário.