Inactieve gebruikers in Entra vinden op laatste aanmelding (en wat het oplevert)

Inactieve accounts zijn een dubbel probleem: ze kosten geld in licenties en ze vergroten je aanvalsoppervlak. Het goede nieuws is dat Entra ID precies bijhoudt wanneer iemand voor het laatst is ingelogd. Dat staat in het signInActivity-veld. Dit artikel laat zien hoe je inactieve gebruikers vindt, waar de addertjes zitten, en wat het oplevert.

TL;DR

• Entra ID houdt per gebruiker de laatste aanmelding bij in signInActivity.
• Daarmee vind je accounts die al 60, 90 of 180 dagen niet zijn ingelogd.
• Let op: het veld vereist Microsoft Entra ID P1 en kent tot circa 24 uur vertraging.
• Inactieve accounts zijn zowel een licentiekost als een beveiligingsrisico.
• Voor 500 gebruikers met 12 procent inactief praat je al snel over tienduizenden euro's per jaar.

Waarom inactieve accounts ertoe doen

Een account dat al maanden niet is gebruikt, valt in twee categorieen, en beide kosten je iets.

Het kost geld. Heeft het account een betaalde licentie, dan betaal je voor een seat die niemand gebruikt. Bij grotere aantallen loopt dat hard op.

Het is een risico. Een vergeten account met geldige rechten is een ideaal doelwit. Niemand let erop, dus een misbruikt account valt lang niet op. Minder slapende accounts betekent minder plekken waar een aanvaller binnen kan komen zonder dat iemand het merkt.

Wat signInActivity bijhoudt

Het signInActivity-object in Entra ID bevat per gebruiker meerdere datums. De drie die je nodig hebt:

Veld	Betekenis
lastSignInDateTime	Laatste interactieve aanmelding (gebruiker doet zelf iets)
lastNonInteractiveSignInDateTime	Laatste aanmelding namens de gebruiker, bijvoorbeeld een token-refresh
lastSuccessfulSignInDateTime	Laatste geslaagde aanmelding

Voor het opsporen van echt inactieve accounts kijk je naar de meest recente van deze datums. Een account dat interactief stil is maar non-interactief nog tokens vernieuwt, gebruikt waarschijnlijk nog een dienst en is dus niet echt inactief.

Twee addertjes onder het gras

Voordat je hierop bouwt, twee dingen die mensen vaak over het hoofd zien.

Je hebt P1 nodig. De signInActivity-eigenschap via Microsoft Graph vereist een Microsoft Entra ID P1-licentie in je tenant. Zonder P1 geeft Graph het veld niet terug en blijft de kolom leeg. Controleer je licenties voordat je begint; P1 zit in veel Microsoft 365-pakketten.

De data is niet realtime. Microsoft documenteert een vertraging tot ongeveer 24 uur voordat een aanmelding zichtbaar wordt in dit veld. Voor het opsporen van accounts die al 90 dagen stil zijn, maakt dat niets uit. Maar verwacht niet dat een aanmelding van vanmorgen er al in staat.

De aanpak

Een werkbare volgorde:

1. Haal via Graph alle gebruikers op, inclusief signInActivity.
2. Bepaal je drempel: 60, 90 of 180 dagen, afhankelijk van hoe streng je wilt zijn.
3. Filter op accounts waarvan de meest recente aanmelding ouder is dan de drempel.
4. Sluit serviceaccounts en bewust slapende accounts uit op een uitzonderingslijst.
5. Splits de lijst: accounts met een betaalde licentie (licentiewinst) en accounts zonder (vooral een beveiligingsopruiming).
6. Bekijk de lijst met de leidinggevende of HR-contactpersoon voordat je iets uitschakelt.

Welke drempel? 90 dagen is een goede standaard: lang genoeg om verlof en sabbaticals te overbruggen, kort genoeg om snel resultaat te zien. Voor een strengere beveiligingsopruiming kun je naar 60 dagen, voor een voorzichtige naar 180.

Wat het oplevert

Inactieve accounts opsporen heeft twee soorten opbrengst.

De licentieopbrengst is direct te berekenen. Ter illustratie: stel 500 gebruikers op E3 (grofweg 420 euro per gebruiker per jaar tegen de huidige lijstprijs), met 12 procent inactief. Dat zijn 60 accounts. Als je die licenties terugwint of niet verlengt, scheelt dat circa 25.000 euro per jaar. Jouw inactieve aandeel en prijs per seat zullen anders zijn, dus zie dit als een rekenvoorbeeld, geen belofte.

De beveiligingsopbrengst is lastiger in geld uit te drukken maar minstens zo belangrijk. Elk uitgeschakeld slapend account is een minder aanvalsdoelwit en een minder plek waar oude rechten blijven hangen.

Van vinden naar opruimen

Een gevonden inactief account betekent niet automatisch wegdoen. De keten:

• Account met licentie en echt niet meer nodig: licentie terugwinnen of downgraden, account uitschakelen volgens je proces.
• Account zonder licentie maar met rechten: uitschakelen om het aanvalsoppervlak te verkleinen.
• Twijfelgeval: voorleggen aan de leidinggevende voordat je iets doet.

De daadwerkelijke wijziging van licenties gebeurt in Microsoft. ServiceChanger leest de aanmeldactiviteit, vergelijkt die met je toegewezen seats en contracten, en levert de lijst plus het advies. Jij houdt de beslissing.

FAQ

Heb ik echt P1 nodig om dit te doen? Voor de signInActivity-eigenschap via Graph wel. Veel organisaties hebben P1 al via hun Microsoft 365-abonnement. Check je licentie-overzicht voordat je dit als blokkade ziet.

Hoe ga ik om met serviceaccounts? Zet ze op een vaste uitzonderingslijst. Serviceaccounts loggen vaak niet interactief in en zouden anders onterecht als inactief verschijnen.

Schakelt ServiceChanger de accounts automatisch uit? Nee. ServiceChanger spoort de inactieve accounts op en rapporteert wat je kunt terugwinnen of opruimen. De daadwerkelijke wijziging blijft een bewuste actie in Microsoft.

Hoe vaak moet ik dit draaien? Maandelijks opsporen werkt goed. Zo blijf je dicht op je werkelijke situatie zonder elke week handmatig te zoeken.

Inactieve accounts zijn vaak de eerste stap naar lagere licentiekosten. Hoe je daar een vaste policy van maakt, lees je in Ongebruikte Microsoft 365-licenties terugwinnen met Entra-aanmeldactiviteit. Voor het bredere licentiebeheer is er Microsoft 365-licenties beheren.

Volgende stap

Wil je weten welke accounts in jouw tenant al maanden stil zijn, en wat dat aan licenties kost? ServiceChanger leest de echte aanmeldactiviteit uit Entra ID en zet het om in een concrete lijst. Plan een demo of lees de licentie-documentatie.