Como detectar e investigar contas de usuário inativas
Em ambientes grandes, as contas de usuário nem sempre são excluídas quando os funcionários saem de uma organização. Como administrador de TI, você precisa detectar e resolver essas contas de usuário obsoletas porque elas representam um risco de segurança.
Este artigo explica um método para lidar com as contas de usuário obsoletas no Microsoft Entra ID.
Observação
Esse artigo se aplica somente à localização de contas de usuário inativas no Microsoft Entra ID. Ele não se aplica à localização de contas inativas no Azure AD B2C.
Pré-requisitos
Para acessar a propriedade lastSignInDateTime
usando o Microsoft Graph:
Você precisa de uma licença do Microsoft Entra ID edição P1 ou P2.
Você precisa conceder ao aplicativo as seguintes permissões no Microsoft Graph:
- AuditLog.Read.All
- User.Read.All
O que são contas de usuário inativas?
Contas inativas são contas de usuário que não são mais necessárias aos membros de sua organização para ter acesso aos seus recursos. Um identificador chave para contas inativas é que elas não são usadas há algum tempo para entrar no seu ambiente. Como as contas inativas estão vinculadas à atividade de entrada, você pode usar o carimbo de data/hora da última vez que uma conta tentou entrar para detectar as contas inativas.
O desafio deste método é definir o que há algum tempo significa para seu ambiente. Por exemplo, os usuários podem não entrar em um ambiente há algum tempo, porque estão de férias. Ao definir qual é o delta para contas de usuários inativos, você precisa considerar todos os motivos legítimos que eles possam ter para não entrar no seu ambiente. Em muitas organizações, o delta para contas de usuários inativos é entre 90 e 180 dias.
A última entrada fornece informações potenciais sobre a necessidade contínua de acesso aos recursos do usuário. Ela pode ajudar a determinar se a associação ao grupo ou o acesso ao aplicativo continua necessário, ou se pode ser removido. Para o gerenciamento de usuários externos, você pode saber se um usuário externo continua ativo no locatário ou se deve ser excluído.
Detectar contas de usuário inativas com o Microsoft Graph
Você pode detectar contas inativas avaliando várias propriedades, algumas das quais estão disponíveis no ponto de extremidade beta
da API do Microsoft Graph. Não recomendamos usar os pontos de extremidade beta em produção, mas convidamos você a experimentá-los.
A propriedade lastSignInDateTime
exposta pelo tipo de recurso signInActivity
da API do Microsoft Graph. A propriedade lastSignInDateTime mostra a última vez que um usuário tentou fazer uma tentativa de entrada interativa no Microsoft Entra ID. Use essa propriedade para implementar uma solução para os seguintes cenários:
Última data e hora de entrada para todos os usuários: nesse cenário, você precisa gerar um relatório da última data de entrada de todos os usuários. Solicite uma lista de todos os usuários e o último lastSignInDateTime de cada usuário respectivo:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Usuários por nome: nesse cenário, você procura um usuário específico por nome, o que permite avaliar o lastSignInDateTime:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Usuários por data: nesse cenário, você solicita uma lista de usuários com um lastSignInDateTime que antecede uma data especificada:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Data e hora da última entrada bem-sucedida (beta): esse cenário está disponível apenas no ponto de extremidade
beta
da API do Microsoft Graph. Você pode solicitar uma lista de usuários comlastSuccessfulSignInDateTime
antes de uma data especificada:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Observação
A propriedade signInActivity
é compatível com $filter
(eq
, ne
, not
, ge
, le
) mas não com nenhuma outra propriedade filtrável. Você deve especificar $select=signInActivity
ou $filter=signInActivity
enquanto listar os usuários, pois a propriedade signInActivity não é retornada por padrão.
Considerações sobre a propriedade lastSignInDateTime
Os seguintes detalhes dizem respeito à propriedade lastSignInDateTime
.
A propriedade lastSignInDateTime é exposta pelo tipo de recurso signInActivity da API do Microsoft Graph.
A propriedade não está disponível por meio do cmdlet Get-MgAuditLogDirectoryAudit.
Cada tentativa de entrada interativa resulta em uma atualização do armazenamento de dados subjacente. Normalmente, as entradas são mostradas no relatório de entrada relacionado dentro de 6 horas.
Para gerar um carimbo de data/hora lastSignInDateTime, você deve tentar uma entrada. Uma tentativa de entrada malsucedida ou bem-sucedida, desde que esteja registrada nos logs de entrada do Microsoft Entra, gera um carimbo de data/hora lastSignInDateTime. O valor da propriedade lastSignInDateTime poderá estar em branco se:
- A última tentativa de entrada de um usuário ocorreu antes de abril de 2020.
- A conta de usuário afetada nunca foi usada para uma tentativa de entrada.
A data da última entrada está associada ao objeto do usuário. O valor é retido até a próxima entrada do usuário. Pode levar até 24 horas para ser atualizado.
Como investigar um único usuário no centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Se você precisar exibir a atividade de entrada mais recente de um usuário, poderá exibir os detalhes da entrada do usuário no Microsoft Entra ID. Você também pode usar o cenário de usuários por nome do Microsoft Graph descrito na seção anterior.
Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione um usuário na lista.
Na área Meu Feed da Visão Geral do usuário, localize o bloco Credenciais.
A data e a hora da última entrada mostradas neste bloco podem levar até 24 horas para serem atualizadas, o que significa que a data e a hora podem não ser atuais. Se você precisar ver a atividade em tempo quase real, selecione o link Ver todas as Credenciais no bloco Credenciais para exibir todas as atividades das credenciais desse usuário.