Widerrufen des Benutzerzugriffs in Microsoft Entra ID
Szenarien, die einen Administrator dazu zwingen könnten, einem Benutzer jeglichen Zugriff zu entziehen, umfassen kompromittierte Konten, die Kündigung des Beschäftigungsverhältnisses und andere innerbetriebliche Bedrohungen. Je nach Komplexität der Umgebung können Administratoren mehrere Schritte unternehmen, um sicherzustellen, dass der Zugriff widerrufen wird. In einigen Szenarien kann zwischen der Einleitung des Widerrufs des Zugriffs und dem Zeitpunkt, an dem der Zugriff tatsächlich widerrufen wird, eine gewisse Zeitspanne liegen.
Um die Risiken zu entschärfen, müssen Sie verstehen, wie Token funktionieren. Es gibt viele Arten von Token, die unter eines der in den folgenden Abschnitten erwähnten Muster fallen.
Zugriffs- und Aktualisierungstoken
Zugriffs- und Aktualisierungstoken werden häufig bei umfangreichen Clientanwendungen verwendet und auch in browserbasierten Anwendungen wie Single-Page-Webanwendungen eingesetzt.
Wenn Benutzer sich bei Microsoft Entra ID (Teil von Microsoft Entra) authentifizieren, werden Autorisierungsrichtlinien ausgewertet, um festzustellen, ob dem Benutzer Zugriff auf eine bestimmte Ressource gewährt werden darf.
Bei Autorisierung stellt Microsoft Entra ID ein Zugriffs- und ein Aktualisierungstoken für die Ressource aus.
Von Microsoft Entra ID ausgestellte Zugriffstoken sind standardmäßig 1 Stunde gültig. Wenn das Authentifizierungsprotokoll es zulässt, kann die App den Benutzer automatisch erneut authentifizieren, indem sie das Aktualisierungstoken an Microsoft Entra ID übergibt, sobald das Zugriffstoken abläuft.
Microsoft Entra ID wertet dann die Autorisierungsrichtlinien erneut aus. Wenn der Benutzer weiterhin autorisiert ist, stellt Microsoft Entra ID ein neues Zugriffstoken aus und aktualisiert dieses.
Zugriffstoken können ein Sicherheitsproblem darstellen, wenn der Zugriff innerhalb einer Zeitspanne widerrufen werden muss, die kürzer als die Gültigkeitsdauer des Token ist, die normalerweise etwa eine Stunde beträgt. Aus diesem Grund arbeitet Microsoft aktiv daran, die kontinuierliche Auswertung des Zugriffs in Office 365-Anwendungen vorzunehmen, was dazu beiträgt, die Invalidierung von Zugriffstoken nahezu in Echtzeit zu gewährleisten.
Sitzungstoken (Cookies)
Die meisten browserbasierten Anwendungen verwenden Sitzungstoken anstelle von Zugriffs- und Aktualisierungstoken.
Wenn ein Benutzer einen Browser öffnet und sich über Microsoft Entra ID bei einer Anwendung authentifiziert, empfängt der Benutzer zwei Sitzungstoken. Eine aus Microsoft Entra ID und eine andere aus der Anwendung.
Wenn eine Anwendung ein eigenes Sitzungstoken ausstellt, wird der Zugriff auf die Anwendung durch die Sitzung der Anwendung geregelt. Zu diesem Zeitpunkt unterliegt der Benutzer nur den Autorisierungsrichtlinien, die der Anwendung bekannt sind.
Die Autorisierungsrichtlinien von Microsoft Entra ID werden so oft neu ausgewertet, wie die Anwendung den Benutzer zu Microsoft Entra ID zurückleitet. Die erneute Auswertung erfolgt in der Regel automatisch, obwohl die Häufigkeit von der Konfiguration der Anwendung abhängt. Es ist möglich, dass die App den Benutzer keinesfalls zu Microsoft Entra ID zurückleitet, solange das Sitzungstoken gültig ist.
Damit ein Sitzungstoken widerrufen werden kann, muss die Anwendung den Zugriff auf der Grundlage ihrer eigenen Autorisierungsrichtlinien widerrufen. Microsoft Entra ID kann ein von einer Anwendung ausgestelltes Sitzungstoken nicht direkt widerrufen.
Widerrufen des Zugriffs eines Benutzers in der Hybridumgebung
Für eine Hybridumgebung mit lokalem Active Directory, das mit Microsoft Entra ID synchronisiert ist, empfiehlt Microsoft IT-Administratoren, die folgenden Maßnahmen zu ergreifen. Wenn Sie über eine Microsoft Entra-only-Umgebung verfügen, fahren Sie mit dem Abschnitt Microsoft Entra-Umgebung fort.
Lokale Active Directory-Umgebung
Stellen Sie als Active Directory-Administrator eine Verbindung mit Ihrem lokalen Netzwerk her, öffnen Sie PowerShell, und führen Sie die folgenden Aktionen durch:
Deaktivieren Sie den Benutzer in Active Directory. Weitere Informationen finden Sie unter Disable-ADAccount.
Disable-ADAccount -Identity johndoe
Setzen Sie das Kennwort des Benutzers in Active Directory zweimal zurück. Weitere Informationen finden Sie unter Set-ADAccountPassword.
Hinweis
Der Grund für das zweimalige Ändern des Kennworts eines Benutzers besteht darin, das Pass-the-Hash-Risiko zu verringern, insbesondere wenn es zu Verzögerungen bei der Replikation des lokalen Kennworts kommt. Wenn Sie sicher davon ausgehen können, dass dieses Konto nicht kompromittiert ist, genügt es, das Kennwort nur einmal zurückzusetzen.
Wichtig
Verwenden Sie die Beispielkennwörter nicht in den folgenden Cmdlets. Stellen Sie sicher, dass Sie die Kennwörter in eine Zufallszeichenfolge ändern.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra-Umgebung
Öffnen Sie als Microsoft Entra ID-Administrator PowerShell. Führen Sie dann Connect-MgGraph
und die folgenden Aktionen aus:
Deaktivieren Sie den Benutzer in Microsoft Entra ID. Weitere Informationen finden Sie unter Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
Widerrufen Sie die Microsoft Entra ID-Aktualisierungstoken des Benutzers. Weitere Informationen finden Sie unter Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.Id
Deaktivieren Sie die Geräte des Benutzers. Weitere Informationen finden Sie unter Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Hinweis
Informationen zu bestimmten Rollen, welche diese Schritte ausführen können, finden Sie unter Integrierte Microsoft Entra-Rollen
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Wann der Zugriff widerrufen wird
Sobald Administratoren die oben genannten Schritte ausgeführt haben, kann der Benutzer keine neuen Token für Anwendungen erhalten, die an Microsoft Entra ID gebunden sind. Die Zeit, die zwischen dem Widerruf und dem Entzug des Zugriffs durch den Benutzer vergeht, hängt davon ab, wie die Anwendung Zugriff gewährt:
Bei Anwendungen, die Zugriffstoken verwenden, verliert der Benutzer den Zugriff, wenn das Zugriffstoken abläuft.
Bei Anwendungen, in denen Sitzungstoken verwendet werden, enden die bestehenden Sitzungen, sobald das Token abläuft. Wenn der deaktivierte Zustand des Benutzers mit der Anwendung synchronisiert ist, kann die Anwendung die bestehenden Sitzungen des Benutzers automatisch widerrufen, sofern sie entsprechend konfiguriert ist. Die Zeitspanne hängt von der Häufigkeit der Synchronisierung zwischen Anwendung und Microsoft Entra ID ab.
Bewährte Methoden
Stellen Sie eine automatisierte Lösung für Bereitstellung und Aufhebung bereit. Das Aufheben der Bereitstellung von Benutzern in Anwendungen ist eine effektive Möglichkeit zum Widerrufen des Zugriffs, insbesondere für Anwendungen, die Sitzungstoken verwenden oder es Benutzern erlauben, sich direkt ohne ein Microsoft Entra- oder Windows Server AD-Token anzumelden. Entwickeln Sie einen Prozess, um die Bereitstellung von Benutzern auch in Apps aufzuheben, die keine automatische Bereitstellung und Aufhebung der Bereitstellung unterstützen. Stellen Sie sicher, dass Anwendungen ihre eigenen Sitzungstoken widerrufen und keine Microsoft Entra-Zugriffstoken akzeptieren, auch wenn diese noch gültig sind.
Verwenden Sie die Microsoft Entra-App-Bereitstellung. Die Microsoft Entra-App-Bereitstellung wird in der Regel automatisch alle 20–40 Minuten ausgeführt. Konfigurieren Sie die Microsoft Entra-Bereitstellung, um die Bereitstellung von Benutzer in SaaS- und lokalen Anwendungen aufzuheben oder die Benutzer zu deaktivieren. Wenn Sie Microsoft Identity Manager verwendet haben, um das Aufheben der Bereitstellung von Benutzern in lokalen Anwendungen zu automatisieren, können Sie die Microsoft Entra-App-Bereitstellung verwenden, um lokale Anwendungen mit einer SQL-Datenbank, einem Nicht-AD-Verzeichnisserver oder anderen Connectors zu erreichen.
Für lokale Anwendungen mit Windows Server AD können Sie Microsoft Entra-Lebenszyklus-Workflows konfigurieren, um Benutzer in AD zu aktualisieren (Vorschau), wenn Mitarbeiter austreten.
Identifizieren und entwickeln Sie einen Prozess für Anwendungen, die eine manuelle Aufhebung der Bereitstellung erfordern, z. B. die automatisierte ServiceNow-Ticketerstellung mit Microsoft Entra-Berechtigungsverwaltung, um ein Ticket zu öffnen, wenn Mitarbeiter den Zugriff verlieren. Stellen Sie sicher, dass Administratoren und Anwendungsbesitzer die erforderlichen manuellen Aufgaben zum Aufheben der Benutzerbereitstellung für diese Apps bei Bedarf schnell ausführen können.
Verwalten Sie Geräte und Anwendungen mit Microsoft Intune. Mit Intune verwaltete Geräte können auf die Werkseinstellungen zurückgesetzt werden. Wenn das Gerät nicht verwaltet wird, können Sie Unternehmensdaten aus verwalteten Apps löschen. Diese Prozesse sind effektiv, um potenziell vertrauliche Daten von Endbenutzergeräten zu entfernen. Allerdings muss das Gerät mit dem Internet verbunden sein, damit diese Prozesse ausgelöst werden können. Wenn das Gerät offline ist, kann das Gerät weiterhin auf lokal gespeicherte Daten zugreifen.
Hinweis
Daten auf dem Gerät können nach dem Zurücksetzen nicht wiederhergestellt werden.
Verwenden Sie Microsoft Defender for Cloud Apps, um den Datendownload ggf. zu blockieren. Wenn nur ein Online-Zugriff auf die Daten möglich ist, können Organisationen Sitzungen überwachen und die Durchsetzung von Richtlinien in Echtzeit erreichen.
Verwenden Sie die fortlaufende Zugriffsevaluierung (CAE) in Microsoft Entra ID. Mithilfe von CAE können Administratoren die Sitzungstoken und Zugriffstoken für Anwendungen widerrufen, die CAE unterstützen.