Filtrer les utilisateurs AD inactifs

Suivez les instructions suivantes pour empêcher la synchronisation avec Sophos Central des utilisateurs et appareils inactifs présents dans vos domaines Active Directory.

Avertissement : Nous vous recommandons de supprimer les utilisateurs et appareils inactifs plutôt que d’utiliser des filtres pour les exclure. En effet, les comptes d’utilisateur et les appareils inactifs représentent un risque pour la sécurité. Retrouvez plus de renseignements à la section Configurer la synchronisation avec Active Directory.

Lorsque vous configurez AD Sync, vous pouvez utiliser des filtres de requête LDAP pour rechercher les utilisateurs et les groupes que vous souhaitez synchroniser. Vous pouvez également modifier vos filtres, puis effectuer une nouvelle synchronisation si vous souhaitez modifier les utilisateurs, les groupes et les appareils que vous synchronisez. Vous pouvez utiliser les attributs LDAP dans vos filtres de requête LDAP pour empêcher les utilisateurs inactifs de se synchroniser avec Sophos Central.

Vous pouvez utiliser les attributs lastLogon et lastLogonTimestamp. Il est essentiel de prendre en compte le fonctionnement de ces attributs lorsque vous les utilisez. Leur utilisation ne garantit pas des informations précises ou instantanées.

  • L’attribut lastLogon est plus susceptible d’être à jour, mais il n’est pas répliqué sur l’ensemble de vos contrôleurs de domaine. Vous devrez donc interroger tous les contrôleurs de domaine.
  • L’attribut lastLogonTimestamp est susceptible d’être obsolète. C’est pourtant l’attribut que la plupart des administrateurs utilisent pour filtrer les utilisateurs inactifs.

Retrouvez plus d’aide sur l’utilisation de ces attributs à la section Comprendre les attributs du compte AD.

Pour utiliser lastLogonTimestamp pour filtrer les utilisateurs inactifs, procédez de la manière suivante :

  1. Déterminez la date et l’heure de fin d’inclusion des utilisateurs dans votre synchronisation, par exemple, le 1er décembre 2020 à 00:01.
  2. Convertissez-la au format LDAP/FILLETIME à l’aide d’un outil de conversion, tel que LDAP, Active Directory et convertisseur Filetime Timestamp.
    Notre exemple de date et d’heure limite donne la valeur 132581431640000000.
  3. Configurez la synchronisation avec Active Directory, si ce n’est pas déjà fait.
  4. Dans Active Directory Synchronization Setup, cliquez sur AD Filters.
  5. Dans le champ Filtres personnalisés, saisissez votre lastLogonTimestamp ainsi que la date et l’heure limite converties.
    Par exemple, lastLogonTimestamp >=132581431640000000.
  6. Vérifiez vos paramètres et filtres, puis synchronisez.