Microsoft Graph PowerShellを使用して無効化されたユーザーが存在するEntra IDグループを特定する方法
効果的なグループ管理は包括的なユーザーライフサイクル管理戦略にとって不可欠な要素です。グループは、リソース、アプリケーション、サービスへのアクセス権の割り当てと管理に使用されます。
従業員のライフサイクルは、入社から役職変更、最終的な退職に至るまで多くの段階で構成されます。その段階の一つとして、組織から完全に削除される前にユーザーが無効化されるケースがあります。適切に削除されない限り、無効化されたユーザーは、引き続き割り当てられたグループに所属したままとなる可能性があります。
(このナレッジは本社ページHow to identify Entra ID groups with disabled users using Microsoft Graph PowerShellを参照して作成しています。)
Microsoft Entra IDで無効化されたユーザーを含むグループを特定する必要性
管理者は、アクセス制御とリソース管理の安全性を確保するため、グループ内の無効化ユーザーを特定する必要があります。
アクティブなグループに属したまま無効化されたユーザーは、機密リソースへのアクセス権を保持することでセキュリティリスクをもたらし、グループ管理を複雑化させます。攻撃者が管理者アカウントへの不正アクセスを獲得した場合、特権グループ内の無効化されたユーザーのプロパティを悪用することができます。これにより、攻撃者は無効化されたユーザーを装ってデータを盗むことができます。多くの場合、これらは、攻撃者を特定する痕跡を残さないで実行されます。
これらユーザーを定期的に特定・削除することで、管理者は正確なアクセス権限を維持し、組織内で適切な権限を持つアクティブかつ、承認済みユーザーのみを確保できます。
Microsoft Entra IDとM365 Manager Plusにおける無効化ユーザーを含むグループの特定
管理者は、ネイティブのEntra ID管理センターにこのデータを直接表示する手段がないため、無効化されたユーザーを含むグループを特定するために複雑なMicrosoft Graph PowerShellスクリプトを操作する必要があります。この手法はユーザーフレンドリーではなく、さらに、大量の未フィルタリングデータを手作業で精査しなければなりません。
ManageEngine M365 Manager Plusは、Microsoft 365環境における重要なアクティビティのレポート作成、管理、監視、監査、アラート生成を行う包括的なツールです。Microsoft Entra ID内で無効化されたユーザーを含むグループを特定するために使用できます。
以下の表は、Microsoft Entra管理センターとM365 Manager Plusを使用した際の無効化されたユーザーを含むグループの特定方法の比較です。
| Microsoft Entra ID | M365 Manager Plus |
|---|---|
| Windows PowerShellを開き、Microsoft Graph PowerShellに接続し、次のスクリプトを実行します。 | M365 Manager Plusにログインし、[レポート]タブ→[Azure Active Directory]→[グループ レポート]→[メンバー・ベースのレポート]→[無効なユーザーを持つグループ]に移動します。 |
| Connect-MgGraph Get-MgUser -Filter "accountEnabled eq false" | ForEach-Object { $user = $_ $groupNames = (Get-MgUserMemberOf -UserId $user.Id | ForEach-Object { $_.AdditionalProperties.displayName }) -join ', ' Write-Host "User: $($user.DisplayName)" Write-Host "Groups: $groupNames" Write-Host "" } | Microsoft 365テナントを選択し、[ 今すぐ生成する]をクリックして、無効化されたユーザーを含むグループのリストを生成します。 |