Microsoft Entra IDで非アクティブなユーザーを特定する方法
組織内において、退職者やサービスアカウントの適切なアカウント削除(ディプロビジョニング)が行われないと、非アクティブなユーザーが残り続ける場合があります。これらの放置されたアカウントは、ライセンスの無駄だけでなく、セキュリティリスクにもつながります。
攻撃者がこれらのアカウントを悪用すれば、ユーザーが所属していた複数の機密グループへの不正アクセスが可能となる恐れがあります。
Microsoft Entra ID(旧称 Azure AD)では、非アクティブなユーザー一覧を直接取得する機能は提供されていませんが、「アクセスレビュー」機能を活用することで、一定期間アクティビティがないアカウントを特定できます。
包括的なM365管理・セキュリティソリューションであるM365 Manager Plusでは、非アクティブユーザーを一覧表示するレポートを自動生成することが可能です。
以下の表では、Microsoft Entra ID と M365 Manager Plusにおける非アクティブユーザーの特定方法を比較しています。
(このナレッジは本社ページHow to identify inactive users in Microsoft Entra IDを参照して作成しています。)
以下の表は、Microsoft Entra管理センターとM365 Manager Plusを使用した際の非アクティブユーザーの特定方法の比較です。
| Microsoft Entra管理センター | M365 Manager Plus |
|---|---|
| Microsoft Entra 管理センターにアイデンティティ・ガバナンス管理者としてサインインします。 | M365 Manager Plus にログインし、[レポート]タブ→[Azure Active Directory]→[ユーザー レポート] に移動します。 |
| [IDガバナンス]→[アクセスレビュー]に移動し、[新しいアクセスレビュー]を選択します。 | [ユーザーのログインのレポート]で、[最近ログオンしていないユーザー] を選択します。 |
| 遷移先のページで、レビューの種類として「チーム + グループ」を選択してください。 | [フィルター] フィールドで Microsoft 365 テナント、特定のドメインおよびグループを選択します。 |
| レビューの対象範囲として、[チームとグループを選択]を選択してください。 | [最終非アクティブ]ドロップダウンから非アクティブ期間を選択し、[今すぐ生成する]をクリックしてください。 |
| [+ グループを選択]をクリックし、リストから目的のグループを選択してください。 | |
| [非アクティブなユーザー(テナントレベル)のみ]オプションを選択し、アカウントが非アクティブであるべき日数を指定します。[次へ]をクリックします。 | |
| [レビュー]ページで、そのタスクのレビュアーを選択し、[次へ]をクリックします。 | |
| [設定]ページで、レビュー完了時に実行するアクションを指定し、[次へ]をクリックします。 | |
| [レビュー + 作成]ページで、レビュータスクの名前を指定し、[作成]をクリックします。 |
非アクティブユーザーを特定した後の推奨設定
非アクティブユーザーを特定後、セキュリティ上のリスクを防ぐため、そのユーザーをブロックまたは無効化することが可能です。Microsoft Entra IDでは、アカウントのステータスを変更することでユーザーを無効化します。
これを行うには、[ユーザー]→[すべてのユーザー]に移動し、無効化したいユーザーをクリックします。[マイフィード]の [アカウントの状態] セクションにある [編集]をクリックします。[アカウントが有効化されました]チェックボックスのチェックを外し、[保存]をクリックします。この手順を、非アクティブなアカウントごとに繰り返す必要があります。
一方、M365 Manager Plusを使用すると、非アクティブなユーザーの検出から一括ブロックまでの全プロセスを自動化できるため、時間と手間を大幅に節約できます。以下の手順に従い、非アクティブなユーザーのブロックを実行するプロセスの自動化を設定してください。
- [自動化]→[新しい自動化を作成]に移動します。
- [タスク/ポリシーを選択]として「ユーザーのブロック」を選択します。
- オブジェクトをインポートする[レポート]として「最近ログオンしていないユーザー」を選択します。
- 自動化を実行する頻度を選択します。
- [保存]をクリックします。
