Révoquer les accès utilisateur dans Microsoft Entra ID
Parmi les scénarios susceptibles d’amener un administrateur à révoquer tous les accès d’un utilisateur, citons la compromission des comptes, le départ des employés et d’autres menaces internes. Selon la complexité de l’environnement, les administrateurs peuvent s’assurer de la révocation des accès de plusieurs manières. Dans certains scénarios, on peut observer un délai entre le début de la révocation des accès et le moment où les accès sont réellement révoqués.
Pour atténuer les risques, il est essentiel de bien comprendre le fonctionnement des jetons. Il existe de nombreux types de jetons, qui appartiennent à l’un des modèles mentionnés dans les sections ci-dessous.
Jetons d’accès et jetons d’actualisation
Les jetons d’accès et les jetons d’actualisation sont fréquemment utilisés avec les applications clientes lourdes, mais ils le sont aussi dans les applications basées sur un navigateur, telles que les applications monopage.
Quand un utilisateur s’authentifie auprès de Microsoft Entra ID, qui fait partie de Microsoft Entra, les stratégies d’autorisation sont évaluées pour déterminer si l’utilisateur peut être autorisé à accéder à une ressource spécifique.
Si l’utilisateur est autorisé, Microsoft Entra ID émet un jeton d’accès et un jeton d’actualisation pour la ressource.
Les jetons d’accès émis par Microsoft Entra ID restent valides pendant une heure par défaut. Si le protocole d’authentification l’autorise, l’application peut réauthentifier l’utilisateur de manière transparente pour lui, en transmettant le jeton d’actualisation à Microsoft Entra ID après l’expiration du jeton d’accès.
Microsoft Entra ID réévalue ensuite ses stratégies d’autorisation. Si l’utilisateur est toujours autorisé, Microsoft Entra ID émet un nouveau jeton d’accès et actualise le jeton.
Les jetons d’accès peuvent poser un problème de sécurité si l’accès doit être révoqué avant la fin de la durée de vie du jeton, qui est généralement d’une heure environ. C’est la raison pour laquelle Microsoft travaille activement à l’intégration de l’évaluation continue de l’accès aux applications Office 365, le but étant d’assurer l’invalidation des jetons d’accès en quasi-temps réel.
Jetons de session (cookies)
La plupart des applications basées sur un navigateur utilisent des jetons de session à la place des jetons d’accès et d’actualisation.
Quand un utilisateur ouvre un navigateur et s’authentifie auprès d’une application par le biais de Microsoft Entra ID, il reçoit deux jetons de session : l’un de Microsoft Entra ID et l’autre de l’application.
Une fois que l’application a émis son propre jeton de session, l’accès à l’application est régi par la session de l’application. À ce stade, seules les stratégies d’autorisation connues de l’application sont appliquées à l’utilisateur.
Les stratégies d’autorisation de Microsoft Entra ID sont réévaluées aussi souvent que l’application renvoie l’utilisateur vers Microsoft Entra ID. La réévaluation se produit généralement de manière transparente pour l’utilisateur, à une fréquence variable selon la configuration de l’application. Il est possible que l’application ne renvoie jamais l’utilisateur vers Microsoft Entra ID tant que le jeton de session est valide.
Pour qu’un jeton de session puisse être révoqué, l’application doit révoquer l’accès sur la base de ses propres stratégies d’autorisation. Microsoft Entra ID ne peut pas directement révoquer un jeton de session émis par une application.
Révoquer l’accès d’un utilisateur dans l’environnement hybride
Dans un environnement hybride où une instance Active Directory locale est synchronisé avec Microsoft Entra ID, Microsoft recommande aux administrateurs informatiques de suivre les procédures ci-après. Si vous disposez d’un environnement Microsoft Entra uniquement, passez à la section Environnement Microsoft Entra.
Environnement Active Directory local
En tant qu’administrateur dans l’environnement Active Directory, connectez-vous à votre réseau local, ouvrez PowerShell et effectuez les étapes suivantes :
Désactivez l’utilisateur dans Active Directory. Consultez Disable-ADAccount.
Disable-ADAccount -Identity johndoe
Réinitialisez le mot de passe de l’utilisateur à deux reprises dans Active Directory. Consultez Set-ADAccountPassword.
Notes
Changer deux fois de suite le mot de passe d’un utilisateur contribue à atténuer le risque d’attaque de type pass-the-hash, surtout quand des délais sont observés durant la réplication du mot de passe local. Si vous avez l’assurance que ce compte n’est pas compromis, vous pouvez vous contenter de réinitialiser le mot de passe une seule fois.
Important
N’employez pas les exemples de mots de passe donnés dans les applets de commande suivantes. Vous devez les remplacer par une chaîne aléatoire.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Environnement Microsoft Entra
En tant qu’administrateur dans Microsoft Entra ID, ouvrez PowerShell, exécutez Connect-MgGraph
et effectuez les actions suivantes :
Désactivez l’utilisateur dans Microsoft Entra ID. Voir Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
Révoquez les jetons d’actualisation de Microsoft Entra ID de l’utilisateur. Voir Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.Id
Désactivez les appareils de l’utilisateur. Voir Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Remarque
Pour plus d’informations sur les rôles spécifiques permettant d’effectuer ces étapes, consulter l’article Rôles intégrés Microsoft Entra
Remarque
Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.
Après la révocation des accès
Une fois que les administrateurs ont effectué les étapes ci-dessus, l’utilisateur ne peut pas obtenir de nouveaux jetons pour aucune des applications liées à Microsoft Entra ID. Le temps écoulé entre la révocation des accès de l’utilisateur et la perte effective des accès dépend de la manière dont l’application accorde les accès :
Pour les applications utilisant des jetons d’accès, l’utilisateur perd ses accès dès que le jeton d’accès arrive à expiration.
Pour les applications utilisant des jetons de session, les sessions actives prennent fin dès que le jeton arrive à expiration. Si l’état désactivé de l’utilisateur est synchronisé avec l’application, l’application peut révoquer automatiquement les sessions actives de l’utilisateur si elle est configurée pour cela. Le délai de révocation dépend de la fréquence de synchronisation entre l’application et Microsoft Entra ID.
Bonnes pratiques
Déployez une solution automatisée d’attribution et de suppression des privilèges d’accès. Le désapprovisionnement des utilisateurs des applications est un moyen efficace de révoquer l’accès, en particulier pour les applications qui utilisent des jetons de session ou qui permettent aux utilisateurs de se connecter directement sans jeton Microsoft Entra ou Windows Server AD. Développez un processus pour également désapprovisionner les utilisateurs dans les applications qui ne prennent pas en charge l’approvisionnement et le désapprovisionnement automatiques. Assurez-vous que les applications révoquent leurs propres jetons de session et cessent d’accepter des jetons d’accès Microsoft Entra, même si ces derniers sont toujours valides.
Utilisez l’approvisionnement d’applications Microsoft Entra. L’approvisionnement d’applications Microsoft Entra s’exécute généralement automatiquement toutes les 20 à 40 minutes. Configurez l’approvisionnement Microsoft Entra pour désapprovisionner ou désactiver des utilisateurs dans les applications SaaS ou locales. Si vous utilisiez Microsoft Identity Manager pour automatiser la désapprovisionnement d’utilisateurs dans les applications locales, vous pouvez utiliser l’approvisionnement d’applications Microsoft Entra pour atteindre les applications locales avec une base de données SQL, un serveur d’annuaires non-AD ou autres connecteurs.
Pour les applications locales utilisant Windows Server AD, vous pouvez configurer les workflows de cycle de vie Microsoft Entra pour mettre à jour les utilisateurs dans AD (préversion) lorsque des employés s’en vont.
Identifiez et développez un processus pour les applications qui nécessitent un désapprovisionnement manuel, tel que la création de tickets ServiceNow automatisée avec la Gestion des droits d’utilisation Microsoft Entra pour ouvrir un ticket lorsque les employés perdent l’accès. Veillez à ce que les administrateurs et les propriétaires d’applications puissent exécuter rapidement les tâches manuelles requises pour désapprovisionner l’utilisateur de ces applications, le cas échéant.
Gérez vos appareils et applications avec Microsoft Intune. Les appareils gérés par Intune peuvent être restaurés aux paramètres d’usine. Si l’appareil est non géré, vous pouvez effacer les données d’entreprise des applications gérées. Ces processus sont efficaces pour supprimer les données potentiellement sensibles des appareils des utilisateurs finaux. Toutefois, pour que l’un ou l’autre processus soit déclenché, l’appareil doit être connecté à Internet. Si l’appareil est hors connexion, il aura toujours accès à toutes les données stockées localement.
Remarque
Après une réinitialisation, les données de l’appareil ne peuvent plus être récupérées.
Utilisez Microsoft Defender for Cloud Apps pour bloquer le téléchargement de données, le cas échéant. Si les données sont accessibles uniquement en ligne, les organisations peuvent surveiller les sessions et appliquer les stratégies en temps réel.
Utilisez l’évaluation continue de l’accès (CAE) dans Microsoft Entra ID. CAE permet aux administrateurs de révoquer les jetons de session et les jetons d’accès pour les applications qui sont compatibles avec la fonctionnalité.