So erkennen und untersuchen Sie inaktive Benutzerkonten
In umfangreichen Umgebungen werden Benutzerkonten nicht immer gelöscht, wenn Mitarbeiter*innen eine Organisation verlassen. Als IT-Administrator*in sollten Sie diese veralteten Benutzerkonten erkennen und behandeln, da sie ein Sicherheitsrisiko darstellen.
In diesem Artikel wird ein Verfahren zum Umgang mit veralteten Benutzerkonten in Microsoft Entra ID beschrieben.
Hinweis
Dieser Artikel bezieht sich nur auf das Auffinden inaktiver Benutzerkonten in Microsoft Entra ID. Er bezieht sich nicht auf die Suche nach inaktiven Konten in Azure AD B2C.
Voraussetzungen
So greifen Sie mithilfe von Microsoft Graph auf die lastSignInDateTime
-Eigenschaft zu:
Sie benötigen eine Microsoft Entra ID P1- oder P2-Lizenz.
Sie müssen der App die folgenden Microsoft Graph-Berechtigungen erteilen:
- AuditLog.Read.All
- User.Read.All
Der Berichtsleser ist die am wenigsten privilegierte Rolle, die für den Zugriff auf Aktivitätsprotokolle erforderlich ist.
- Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.
Was sind inaktive Benutzerkonten?
Bei inaktiven Konten handelt es sich um Benutzerkonten, die von Mitgliedern Ihrer Organisation nicht mehr benötigt werden, um auf Ressourcen zuzugreifen. Ein wichtiges Anzeichen für inaktive Konten ist, dass sie schon längere Zeit nicht mehr für die Anmeldung bei Ihrer Umgebung verwendet wurden. Da inaktive Konten an die Anmeldeaktivität gebunden sind, können Sie den Zeitstempel des letzten Anmeldeversuchs eines Kontos verwenden, um inaktive Konten zu erkennen.
Die Schwierigkeit bei diesem Verfahren ist die Definition der Bedeutung längere Zeit für Ihre Umgebung. Es kann beispielsweise sein, dass sich Benutzer*innen längere Zeit nicht bei einer Umgebung anmelden, weil sie im Urlaub sind. Beim Definieren Ihres Deltazeitraums für inaktive Benutzerkonten müssen Sie alle legitimen Gründe für die fehlende Anmeldung bei Ihrer Umgebung berücksichtigen. In vielen Organisationen liegt der Deltazeitraum für inaktive Benutzerkonten zwischen 90 und 180 Tagen.
Die letzte Anmeldung bietet potenzielle Erkenntnisse dazu, ob ein Benutzer weiterhin Zugriff auf Ressourcen benötigt. Diese Erkenntnisse sind hilfreich bei der Ermittlung, ob die Gruppenmitgliedschaft oder der App-Zugriff noch benötigt wird oder entfernt werden kann. Bei der Verwaltung externer Benutzer können Sie ermitteln, ob ein externer Benutzer auf dem Mandanten noch aktiv ist oder ob die Bereinigung durchgeführt werden sollte.
Erkennen inaktiver Benutzerkonten mit Microsoft Graph
Sie können inaktive Konten erkennen, indem Sie mehrere Eigenschaften auswerten, von denen einige auf dem beta
-Endpunkt der Microsoft Graph-API verfügbar sind. Wir empfehlen, die Beta-Endpunkte nicht in der Produktion zu verwenden, sondern laden Sie ein, sie auszuprobieren.
Die lastSignInDateTime
-Eigenschaft, die vom signInActivity
-Ressourcentyp der Microsoft Graph-API verfügbar gemacht wird. Die „lastSignInDateTime“-Eigenschaft zeigt an, wann ein Benutzer das letzte Mal versucht hat, einen interaktiven Anmeldeversuch in Microsoft Entra ID zu unternehmen. Mit dieser Eigenschaft können Sie eine Lösung für die folgenden Szenarien implementieren:
Datum und Uhrzeit der letzten Anmeldung für alle Benutzer*innen: In diesem Szenario müssen Sie einen Bericht für das Datum der letzten Anmeldung aller Benutzer*innen generieren. Sie fordern eine Liste aller Benutzer und den letzten „lastSignInDateTime“-Wert für jeden Benutzer an:
https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity
Benutzer nach Name: In diesem Szenario suchen Sie anhand des Namens nach einem bestimmten Benutzer, um den Zeitpunkt der letzten Anmeldung (lastSignInDateTime) ermitteln zu können:
https://graph.microsoft.com/v1.0/users?$filter=startswith(displayName,'Isabella Simonsen')&$select=displayName,signInActivity
Benutzer nach Datum: In diesem Szenario fordern Sie eine Liste mit Benutzern an, für die der Zeitpunkt der letzten Anmeldung (lastSignInDateTime) vor einem bestimmten Datum liegt:
https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Datum und Uhrzeit der letzten erfolgreichen Anmeldung (Beta): Dieses Szenario ist nur auf dem
beta
-Endpunkt der Microsoft Graph-API verfügbar. Sie können eine Liste von Benutzern mit einemlastSuccessfulSignInDateTime
vor einem angegebenen Datum anfordern:https://graph.microsoft.com/beta/users?$filter=signInActivity/lastSuccessfulSignInDateTime le 2019-06-01T00:00:00Z
Hinweis
Die signInActivity
-Eigenschaft unterstützt $filter
(eq
, ne
, not
, ge
, le
) außer mit anderen filterbaren Eigenschaften. Sie müssen $select=signInActivity
oder $filter=signInActivity
beim Auflisten von Benutzern angeben, da die „signInActivity“-Eigenschaft nicht standardmäßig zurückgegeben wird.
Überlegungen für die Eigenschaft lastSignInDateTime
Die folgenden Details beziehen sich auf die lastSignInDateTime
-Eigenschaft.
Die „lastSignInDateTime“-Eigenschaft wird vom „signInActivity“-Ressourcentyp der Microsoft Graph-API verfügbar gemacht.
Die Eigenschaft ist nicht über das Cmdlet „Get-MgAuditLogDirectoryAudit“ verfügbar.
Jeder interaktive Anmeldeversuch führt zu einem Update des zugrunde liegenden Datenspeichers. Normalerweise werden Anmeldungen innerhalb von 6 Stunden im zugehörigen Anmeldebericht angezeigt.
Um einen „lastSignInDateTime“-Zeitstempel zu generieren, müssen Sie einen Anmeldeversuch vornehmen. Bei jedem in den Microsoft Entra-Anmeldeprotokollen aufgezeichneten fehlgeschlagenen oder erfolgreichen Anmeldeversuch wird ein „lastSignInDateTime“-Zeitstempel generiert. Der Wert der „lastSignInDateTime“-Eigenschaft kann in folgenden Fällen leer sein:
- Der letzte Anmeldeversuch eines Benutzers erfolgte vor April 2020.
- Das betroffene Benutzerkonto wurde niemals für einen Anmeldeversuch verwendet.
Das Datum der letzten Anmeldung ist dem Benutzerobjekt zugeordnet. Der Wert wird bis zur nächsten Anmeldung des Benutzers beibehalten. Die Aktualisierung kann bis zu 24 Stunden dauern.
Untersuchen eines einzelnen Benutzers im Microsoft Entra Admin Center
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Wenn Sie die aktuelle Anmeldeaktivität für einen Benutzer anzeigen müssen, können Sie die Anmeldedetails des Benutzers in Microsoft Entra ID anzeigen. Sie können auch das im vorherigen Abschnitt beschriebene Microsoft Graph-Szenario für Benutzer*innen nach Name verwenden.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Browsen Sie zu Identität>Benutzer>Alle Benutzer.
Wählen Sie einen Benutzer aus der Liste aus.
Suchen Sie im Bereich Mein Feed der Übersicht des Benutzers bzw. der Benutzerin die Kachel Anmeldungen.
Es kann bis zu 24 Stunden dauern, bis das Datum und die Uhrzeit der letzten Anmeldung auf dieser Kachel aktualisiert werden. Das bedeutet, dass das Datum und die Uhrzeit möglicherweise nicht aktuell sind. Wenn Sie die Aktivität in Quasi-Echtzeit anzeigen müssen, wählen Sie auf der Kachel Anmeldungen den Link Alle Anmeldungen anzeigen aus, um alle Anmeldeaktivitäten für diesen Benutzer bzw. diese Benutzerin anzuzeigen.