Compartir vía


Revocar el acceso de usuario en Microsoft Entra ID

Entre los escenarios que podrían requerir que un administrador revoque todo el acceso de un usuario, se incluyen cuentas en peligro, rescisión de empleados y otras amenazas internas. En función de la complejidad del entorno, los administradores pueden realizar varios pasos para garantizar la revocación del acceso. En algunos escenarios, puede haber un período entre el inicio de la revocación del acceso y el momento en que se revoca realmente.

Para mitigar los riesgos, debe comprender cómo funcionan los tokens. Hay muchos tipos de tokens, que se encuentran en uno de los patrones que se mencionan en las secciones siguientes.

Tokens de acceso y tokens de actualización

Los tokens de acceso y los tokens de actualización se usan con frecuencia con aplicaciones cliente pesado y también se usan en aplicaciones basadas en explorador, como las aplicaciones de una sola página.

  • Cuando un usuario se autentica en Microsoft Entra ID, que forma parte de Microsoft Entra, se evalúan las directivas de autorización para determinar si se puede conceder acceso a un recurso específico para ese usuario.

  • Si se autoriza, Microsoft Entra ID emite un token de acceso y un token de actualización para el recurso.

  • Los tokens de acceso que emite Microsoft Entra ID duran 1 hora de forma predeterminada. Si el protocolo de autenticación lo permite, la aplicación puede pasar el token de actualización a Microsoft Entra ID cuando expire el token de acceso con la finalidad de volver a autenticar al usuario de forma silenciosa.

A continuación, Microsoft Entra ID vuelve a evaluar sus directivas de autorización. Si el usuario sigue autorizado, Microsoft Entra ID emite un nuevo token de acceso y un token de actualización.

Los tokens de acceso pueden ser un problema de seguridad si el acceso se debe revocar en un período de tiempo menor que la duración del token, que suele ser de una hora aproximadamente. Por esta razón, Microsoft trabaja activamente para incorporar la evaluación del acceso continua a las aplicaciones de Office 365, lo que ayuda a garantizar la invalidación de los tokens de acceso casi en tiempo real.

Tokens de sesión (cookies)

La mayoría de las aplicaciones basadas en explorador usan tokens de sesión en lugar de tokens de acceso y de actualización.

  • Cuando un usuario abre un explorador y se autentica en una aplicación a través de Microsoft Entra ID, recibe dos tokens de sesión. Uno de Microsoft Entra ID y otro de la aplicación.

  • Una vez que una aplicación emite su propio token de sesión, el acceso a la aplicación se rige por la sesión de la aplicación. En este momento, el usuario solo se ve afectado por las directivas de autorización de las que la aplicación es consciente.

  • Las directivas de autorización de Microsoft Entra ID se vuelven a evaluar con la frecuencia con la que la aplicación vuelve a enviar al usuario a Microsoft Entra ID. Normalmente, la reevaluación se produce de forma silenciosa, aunque la frecuencia depende de cómo esté configurada la aplicación. Es posible que la aplicación nunca vuelva a enviar al usuario a Microsoft Entra ID siempre y cuando el token de sesión sea válido.

  • Para poder revocar un token de sesión, la aplicación debe revocar el acceso en función de sus propias directivas de autorización. Microsoft Entra ID no puede revocar directamente un token de sesión emitido por una aplicación.

Revocar el acceso de un usuario en el entorno híbrido

Para un entorno híbrido con Active Directory local sincronizado con Microsoft Entra ID, Microsoft recomienda a los administradores de TI que realicen las siguientes acciones. Si tiene un entorno solo de Microsoft Entra, vaya directamente a la sección Entorno de Microsoft Entra.

Entorno de Active Directory local

Como administrador de Active Directory, conéctese a la red local, abra PowerShell y realice las siguientes acciones:

  1. Deshabilite al usuario en Active Directory. Consulte Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Restablezca la contraseña del usuario dos veces en Active Directory. Consulte Set-ADAccountPassword.

    Nota:

    La razón para cambiar la contraseña de un usuario dos veces es mitigar el riesgo de ataques Pass-the-hash, especialmente si hay retrasos en la replicación de contraseñas local. Si puede suponer con seguridad que esta cuenta no está en peligro, puede restablecer la contraseña solo una vez.

    Importante

    No use las contraseñas de ejemplo en los siguientes cmdlets. Asegúrese de cambiar las contraseñas por una cadena aleatoria.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Entorno de Microsoft Entra

Como administrador de Microsoft Entra ID, abra PowerShell, ejecute Connect-MgGraph y realice las siguientes acciones:

  1. Deshabilita el usuario en Microsoft Entra ID. Consulta Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Revoca los tokens de actualización del usuario de Microsoft Entra ID. Consulta Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Deshabilite los dispositivos del usuario. Consulta Get-AzureADUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Nota:

Para obtener información sobre los roles específicos que pueden realizar estos pasos, consulte Roles integrados de Microsoft Entra

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Cuando se revoca el acceso

Una vez que los administradores han realizado los pasos anteriores, el usuario no puede obtener nuevos tokens para ninguna aplicación asociada a Microsoft Entra ID. El tiempo transcurrido entre la revocación y el momento en que el usuario pierde el acceso depende del modo en que la aplicación concede el acceso:

  • Para las aplicaciones que usan tokens de acceso, el usuario pierde el acceso cuando expira el token de acceso.

  • En el caso de las aplicaciones que usan tokens de sesión, las sesiones existentes finalizan cuando expira el token. Si el estado deshabilitado del usuario se sincroniza con la aplicación, la aplicación puede revocar automáticamente las sesiones existentes del usuario si está configurada para hacerlo. El tiempo que se tarda depende de la frecuencia de sincronización entre la aplicación y Microsoft Entra ID.

procedimientos recomendados

Nota:

Los datos del dispositivo no se pueden recuperar después de un borrado.

Pasos siguientes