Odvolání přístupu uživatele v Microsoft Entra ID
Mezi scénáře, které můžou vyžadovat, aby správce odvolal veškerý přístup pro uživatele, zahrnují ohrožené účty, ukončení zaměstnance a další vnitřní hrozby. V závislosti na složitosti prostředí můžou správci provést několik kroků, aby se zajistilo odvolání přístupu. V některých scénářích může existovat období mezi zahájením odvolání přístupu a efektivním odvoláním přístupu.
Pokud chcete rizika zmírnit, musíte pochopit, jak tokeny fungují. Existuje mnoho druhů tokenů, které spadají do jednoho ze vzorů uvedených v následujících částech.
Přístupové tokeny a obnovovací tokeny
Přístupové tokeny a obnovovací tokeny se často používají v silných klientských aplikacích a používají se také v aplikacích založených na prohlížeči, jako jsou jednostrákové aplikace.
Když se uživatelé ověřují v Microsoft Entra ID, vyhodnocují se zásady autorizace, které určují, jestli je možné uživateli udělit přístup k určitému prostředku.
Pokud je to autorizované, Microsoft Entra ID vydá přístupový token a obnovovací token prostředku.
Přístupové tokeny vydané ID Microsoft Entra ve výchozím nastavení trvá 1 hodinu. Pokud ověřovací protokol umožňuje, může aplikace bezobslužně znovu ověřit uživatele předáním obnovovacího tokenu do ID Microsoft Entra, když vyprší platnost přístupového tokenu.
Microsoft Entra ID pak znovu vyhodnocuje své zásady autorizace. Pokud je uživatel stále autorizovaný, Microsoft Entra ID vydá nový přístupový token a aktualizuje token.
Přístupové tokeny můžou být bezpečnostní problémy, pokud je potřeba přístup odvolat v době kratší než doba života tokenu, což je obvykle přibližně hodinu. Proto Microsoft aktivně pracuje na průběžném vyhodnocování přístupu k aplikacím Office 365, což pomáhá zajistit zneplatnění přístupových tokenů téměř v reálném čase.
Tokeny relací (soubory cookie)
Většina aplikací založených na prohlížeči používá tokeny relací místo přístupových a obnovovacích tokenů.
Když uživatel otevře prohlížeč a ověří se v aplikaci přes Microsoft Entra ID, uživatel obdrží dva tokeny relace. Jeden z Microsoft Entra ID a druhý z aplikace.
Jakmile aplikace vydá vlastní token relace, řídí se přístup k aplikaci relací. V tomto okamžiku je uživatel ovlivněn pouze autorizačními zásadami, o kterých aplikace ví.
Zásady autorizace Microsoft Entra ID se znovu zhodnotí, jak často aplikace odesílá uživatele zpět do Microsoft Entra ID. K opakovanému hodnocení obvykle dochází bezobslužně, i když frekvence závisí na tom, jak je aplikace nakonfigurovaná. Je možné, že aplikace nemusí nikdy odeslat uživatele zpět do Microsoft Entra ID, pokud je token relace platný.
Aby byl token relace odvolán, musí aplikace odvolat přístup na základě vlastních zásad autorizace. ID Microsoft Entra nemůže přímo odvolat token relace vystavený aplikací.
Odvolání přístupu pro uživatele v hybridním prostředí
V případě hybridního prostředí s místní Active Directory synchronizovaným s ID Microsoft Entra doporučuje Microsoft, aby správci IT podnikli následující akce. Pokud máte prostředí Microsoft Entra-only, přejděte do části Prostředí Microsoft Entra.
Místní prostředí Active Directory
Jako správce ve službě Active Directory se připojte k místní síti, otevřete PowerShell a proveďte následující akce:
Zakažte uživatele ve službě Active Directory. Projděte si disable-ADAccount.
Disable-ADAccount -Identity johndoeResetujte heslo uživatele dvakrát ve službě Active Directory. Viz Set-ADAccountPassword.
Poznámka:
Důvodem, proč změnit heslo uživatele dvakrát, je zmírnit riziko pass-the-hash, zejména pokud dochází ke zpoždění v místní replikaci hesel. Pokud můžete bezpečně předpokládat, že tento účet není ohrožený, můžete heslo resetovat jenom jednou.
Důležité
Nepoužívejte ukázková hesla v následujících rutinách. Nezapomeňte změnit hesla na náhodný řetězec.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Prostředí Microsoft Entra
Jako správce v Microsoft Entra ID otevřete PowerShell, spusťte Connect-MgGrapha proveďte následující akce:
Zakažte uživatele v Microsoft Entra ID. Další informace najdete v tématu Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseOdvolat obnovovací tokeny Microsoft Entra ID uživatele. Odkaz na Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdZakažte zařízení uživatele. Další informace najdete v tématu Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Poznámka:
Informace o konkrétních rolích, které můžou provést tyto kroky, najdete v tématu Předdefinované role Microsoft Entra.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.
Při odvolání přístupu
Jakmile správci provedli výše uvedené kroky, uživatel nemůže získat nové tokeny pro žádnou aplikaci svázanou s ID Microsoft Entra. Uplynulý čas mezi odvoláním a ztrátou přístupu uživatele závisí na tom, jak aplikace uděluje přístup:
U aplikací používajících přístupové tokeny uživatel ztratí přístup, když vyprší platnost přístupového tokenu.
U aplikací, které používají tokeny relace, končí stávající relace hned po vypršení platnosti tokenu. Pokud je zakázaný stav uživatele synchronizován s aplikací, může aplikace automaticky odvolat stávající relace uživatele, pokud je tak nakonfigurovaná. Doba trvání závisí na frekvenci synchronizace mezi aplikací a ID Microsoft Entra.
Osvědčené postupy
Nasazení automatizovaného zřizování a zrušení zřízení řešení Zrušení zřízení uživatelů z aplikací je efektivní způsob odvolání přístupu, zejména pro aplikace, které používají tokeny relací. Vyvíjejte proces pro zrušení zřízení uživatelů v aplikacích, které nepodporují automatické zřizování a rušení zřízení. Zajistěte, aby aplikace odvolaly vlastní tokeny relace a přestaly přijímat přístupové tokeny Microsoft Entra, i když jsou stále platné.
Použití zřizování aplikací Microsoft Entra SaaS Zřizování aplikací Microsoft Entra SaaS se obvykle spouští automaticky každých 20 až 40 minut. Nakonfigurujte zřizování Microsoft Entra pro zrušení zřízení nebo deaktivaci zakázaných uživatelů v aplikacích.
U aplikací, které nepoužívají zřizování aplikací Microsoft Entra SaaS, použijte k automatizaci rušení zřizování uživatelů Identity Manager (MIM) nebo řešení třetí strany.
Identifikujte a vyvíjejte proces pro aplikace, které vyžadují ruční zrušení zřízení. Správci můžou rychle spouštět požadované ruční úlohy pro zrušení zřízení uživatele z těchto aplikací v případě potřeby.
Správa zařízení a aplikací pomocí Microsoft Intune Zařízení spravovaná pomocí Intune je možné obnovit do továrního nastavení. Pokud zařízení není spravované, můžete z spravovaných aplikací vymazat podniková data. Tyto procesy jsou účinné pro odebrání potenciálně citlivých dat ze zařízení koncových uživatelů. Aby se ale aktivoval některý z procesů, musí být zařízení připojené k internetu. Pokud je zařízení offline, bude mít zařízení stále přístup k veškerým místně uloženým datům.
Poznámka:
Po vymazání nelze obnovit data v zařízení.
Pokud je to vhodné, použijte Microsoft Defender for Cloud Apps k blokování stahování dat. Pokud se k datům dostanete jenom online, můžou organizace monitorovat relace a vynucovat zásady v reálném čase.
Použití funkce CaE (Continuous Access Evaluation) v Microsoft Entra ID. CaE umožňuje správcům odvolat tokeny relace a přístupové tokeny pro aplikace, které jsou schopné caE.