Widerrufen des Benutzerzugriffs in Microsoft Entra ID
Szenarien, die einen Administrator dazu zwingen könnten, einem Benutzer jeglichen Zugriff zu entziehen, umfassen kompromittierte Konten, die Kündigung des Beschäftigungsverhältnisses und andere innerbetriebliche Bedrohungen. Je nach Komplexität der Umgebung können Administratoren mehrere Schritte unternehmen, um sicherzustellen, dass der Zugriff widerrufen wird. In einigen Szenarien kann zwischen der Einleitung des Widerrufs des Zugriffs und dem Zeitpunkt, an dem der Zugriff tatsächlich widerrufen wird, eine gewisse Zeitspanne liegen.
Um die Risiken zu entschärfen, müssen Sie verstehen, wie Token funktionieren. Es gibt viele Arten von Token, die unter eines der in den folgenden Abschnitten erwähnten Muster fallen.
Zugriffs- und Aktualisierungstoken
Zugriffs- und Aktualisierungstoken werden häufig bei umfangreichen Clientanwendungen verwendet und auch in browserbasierten Anwendungen wie Single-Page-Webanwendungen eingesetzt.
Wenn Benutzer sich bei Microsoft Entra ID (Teil von Microsoft Entra) authentifizieren, werden Autorisierungsrichtlinien ausgewertet, um festzustellen, ob dem Benutzer Zugriff auf eine bestimmte Ressource gewährt werden darf.
Bei Autorisierung stellt Microsoft Entra ID ein Zugriffs- und ein Aktualisierungstoken für die Ressource aus.
Von Microsoft Entra ID ausgestellte Zugriffstoken sind standardmäßig 1 Stunde gültig. Wenn das Authentifizierungsprotokoll es zulässt, kann die App den Benutzer automatisch erneut authentifizieren, indem sie das Aktualisierungstoken an Microsoft Entra ID übergibt, sobald das Zugriffstoken abläuft.
Microsoft Entra ID wertet dann die Autorisierungsrichtlinien erneut aus. Wenn der Benutzer weiterhin autorisiert ist, stellt Microsoft Entra ID ein neues Zugriffstoken aus und aktualisiert dieses.
Zugriffstoken können ein Sicherheitsproblem darstellen, wenn der Zugriff innerhalb einer Zeitspanne widerrufen werden muss, die kürzer als die Gültigkeitsdauer des Token ist, die normalerweise etwa eine Stunde beträgt. Aus diesem Grund arbeitet Microsoft aktiv daran, die kontinuierliche Auswertung des Zugriffs in Office 365-Anwendungen vorzunehmen, was dazu beiträgt, die Invalidierung von Zugriffstoken nahezu in Echtzeit zu gewährleisten.
Sitzungstoken (Cookies)
Die meisten browserbasierten Anwendungen verwenden Sitzungstoken anstelle von Zugriffs- und Aktualisierungstoken.
Wenn ein Benutzer einen Browser öffnet und sich über Microsoft Entra ID bei einer Anwendung authentifiziert, empfängt der Benutzer zwei Sitzungstoken. Eine aus Microsoft Entra ID und eine andere aus der Anwendung.
Wenn eine Anwendung ein eigenes Sitzungstoken ausstellt, wird der Zugriff auf die Anwendung durch die Sitzung der Anwendung geregelt. Zu diesem Zeitpunkt unterliegt der Benutzer nur den Autorisierungsrichtlinien, die der Anwendung bekannt sind.
Die Autorisierungsrichtlinien von Microsoft Entra ID werden so oft neu ausgewertet, wie die Anwendung den Benutzer zu Microsoft Entra ID zurückleitet. Die erneute Auswertung erfolgt in der Regel automatisch, obwohl die Häufigkeit von der Konfiguration der Anwendung abhängt. Es ist möglich, dass die App den Benutzer keinesfalls zu Microsoft Entra ID zurückleitet, solange das Sitzungstoken gültig ist.
Damit ein Sitzungstoken widerrufen werden kann, muss die Anwendung den Zugriff auf der Grundlage ihrer eigenen Autorisierungsrichtlinien widerrufen. Microsoft Entra ID kann ein von einer Anwendung ausgestelltes Sitzungstoken nicht direkt widerrufen.
Widerrufen des Zugriffs eines Benutzers in der Hybridumgebung
Für eine Hybridumgebung mit lokalem Active Directory, das mit Microsoft Entra ID synchronisiert ist, empfiehlt Microsoft IT-Administratoren, die folgenden Maßnahmen zu ergreifen. Wenn Sie über eine Microsoft Entra-only-Umgebung verfügen, fahren Sie mit dem Abschnitt Microsoft Entra-Umgebung fort.
Lokale Active Directory-Umgebung
Stellen Sie als Active Directory-Administrator eine Verbindung mit Ihrem lokalen Netzwerk her, öffnen Sie PowerShell, und führen Sie die folgenden Aktionen durch:
Deaktivieren Sie den Benutzer in Active Directory. Weitere Informationen finden Sie unter Disable-ADAccount.
Disable-ADAccount -Identity johndoeSetzen Sie das Kennwort des Benutzers in Active Directory zweimal zurück. Weitere Informationen finden Sie unter Set-ADAccountPassword.
Hinweis
Der Grund für das zweimalige Ändern des Kennworts eines Benutzers besteht darin, das Pass-the-Hash-Risiko zu verringern, insbesondere wenn es zu Verzögerungen bei der Replikation des lokalen Kennworts kommt. Wenn Sie sicher davon ausgehen können, dass dieses Konto nicht kompromittiert ist, genügt es, das Kennwort nur einmal zurückzusetzen.
Wichtig
Verwenden Sie die Beispielkennwörter nicht in den folgenden Cmdlets. Stellen Sie sicher, dass Sie die Kennwörter in eine Zufallszeichenfolge ändern.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra-Umgebung
Öffnen Sie als Microsoft Entra ID-Administrator PowerShell. Führen Sie dann Connect-MgGraph und die folgenden Aktionen aus:
Deaktivieren Sie den Benutzer in Microsoft Entra ID. Weitere Informationen finden Sie unter Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseWiderrufen Sie die Microsoft Entra ID-Aktualisierungstoken des Benutzers. Weitere Informationen finden Sie unter Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdDeaktivieren Sie die Geräte des Benutzers. Weitere Informationen finden Sie unter Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Hinweis
Informationen zu bestimmten Rollen, welche diese Schritte ausführen können, finden Sie unter Integrierte Microsoft Entra-Rollen
Wichtig
Die Unterstützung von Azure AD PowerShell wird voraussichtlich am 30. März 2024 eingestellt. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf allgemeine Migrationsfragen finden Sie unter Häufig gestellte Fragen zur Migration.
Wann der Zugriff widerrufen wird
Sobald Administratoren die oben genannten Schritte ausgeführt haben, kann der Benutzer keine neuen Token für Anwendungen erhalten, die an Microsoft Entra ID gebunden sind. Die Zeit, die zwischen dem Widerruf und dem Entzug des Zugriffs durch den Benutzer vergeht, hängt davon ab, wie die Anwendung Zugriff gewährt:
Bei Anwendungen, die Zugriffstoken verwenden, verliert der Benutzer den Zugriff, wenn das Zugriffstoken abläuft.
Bei Anwendungen, in denen Sitzungstoken verwendet werden, enden die bestehenden Sitzungen, sobald das Token abläuft. Wenn der deaktivierte Zustand des Benutzers mit der Anwendung synchronisiert ist, kann die Anwendung die bestehenden Sitzungen des Benutzers automatisch widerrufen, sofern sie entsprechend konfiguriert ist. Die Zeitspanne hängt von der Häufigkeit der Synchronisierung zwischen Anwendung und Microsoft Entra ID ab.
Bewährte Methoden
Stellen Sie eine automatisierte Lösung für Bereitstellung und Aufhebung bereit. Das Aufheben der Bereitstellung von Benutzern für Anwendungen ist eine effektive Möglichkeit, den Zugriff zu widerrufen, insbesondere für Anwendungen, die Sitzungstoken verwenden. Entwickeln Sie einen Prozess zum Aufheben der Bereitstellung von Benutzern für Apps, die keine automatische Bereitstellung und Aufhebung unterstützen. Stellen Sie sicher, dass Anwendungen ihre eigenen Sitzungstoken widerrufen und keine Microsoft Entra-Zugriffstoken akzeptieren, auch wenn diese noch gültig sind.
Verwenden Sie Microsoft Entra SaaS-App-Bereitstellung. Die SaaS-App-Bereitstellung von Microsoft Entra wird in der Regel automatisch alle 20 bis 40 Minuten ausgeführt. Konfigurieren Sie die Microsoft Entra-Bereitstellung, um die Bereitstellung von deaktivierten Benutzern in Anwendungen aufzuheben oder diese endgültig zu deaktivieren.
Verwenden Sie für Anwendungen, die nicht die SaaS-App-Bereitstellung von Microsoft Entra verwenden, Identity Manager (MIM) oder eine Drittanbieterlösung, um die Aufhebung der Benutzerbereitstellung zu automatisieren.
Ermitteln und entwickeln Sie einen Prozess für Anwendungen, für die eine manuelle Aufhebung der Bereitstellung erforderlich ist. Stellen Sie sicher, dass Administratoren die erforderlichen manuellen Aufgaben zum Aufheben der Benutzerbereitstellung für diese Apps schnell ausführen können.
Verwalten Sie Geräte und Anwendungen mit Microsoft Intune. Mit Intune verwaltete Geräte können auf die Werkseinstellungen zurückgesetzt werden. Wenn das Gerät nicht verwaltet wird, können Sie Unternehmensdaten aus verwalteten Apps löschen. Diese Prozesse sind effektiv, um potenziell vertrauliche Daten von Endbenutzergeräten zu entfernen. Allerdings muss das Gerät mit dem Internet verbunden sein, damit diese Prozesse ausgelöst werden können. Wenn das Gerät offline ist, kann das Gerät weiterhin auf lokal gespeicherte Daten zugreifen.
Hinweis
Daten auf dem Gerät können nach dem Zurücksetzen nicht wiederhergestellt werden.
Verwenden Sie Microsoft Defender for Cloud Apps, um den Datendownload ggf. zu blockieren. Wenn nur ein Online-Zugriff auf die Daten möglich ist, können Organisationen Sitzungen überwachen und die Durchsetzung von Richtlinien in Echtzeit erreichen.
Verwenden Sie die fortlaufende Zugriffsevaluierung (CAE) in Microsoft Entra ID. Mithilfe von CAE können Administratoren die Sitzungstoken und Zugriffstoken für Anwendungen widerrufen, die CAE unterstützen.