Révoquer les accès utilisateur dans Microsoft Entra ID

Parmi les scénarios susceptibles d’amener un administrateur à révoquer tous les accès d’un utilisateur, citons la compromission des comptes, le départ des employés et d’autres menaces internes. Selon la complexité de l’environnement, les administrateurs peuvent s’assurer de la révocation des accès de plusieurs manières. Dans certains scénarios, on peut observer un délai entre le début de la révocation des accès et le moment où les accès sont réellement révoqués.

Pour atténuer les risques, il est essentiel de bien comprendre le fonctionnement des jetons. Il existe de nombreux types de jetons, qui appartiennent à l’un des modèles mentionnés dans les sections ci-dessous.

Jetons d’accès et jetons d’actualisation

Les jetons d’accès et les jetons d’actualisation sont fréquemment utilisés avec les applications clientes lourdes, mais ils le sont aussi dans les applications basées sur un navigateur, telles que les applications monopage.

  • Quand un utilisateur s’authentifie auprès de Microsoft Entra ID, qui fait partie de Microsoft Entra, les stratégies d’autorisation sont évaluées pour déterminer si l’utilisateur peut être autorisé à accéder à une ressource spécifique.

  • Si l’utilisateur est autorisé, Microsoft Entra ID émet un jeton d’accès et un jeton d’actualisation pour la ressource.

  • Les jetons d’accès émis par Microsoft Entra ID restent valides pendant une heure par défaut. Si le protocole d’authentification l’autorise, l’application peut réauthentifier l’utilisateur de manière transparente pour lui, en transmettant le jeton d’actualisation à Microsoft Entra ID après l’expiration du jeton d’accès.

Microsoft Entra ID réévalue ensuite ses stratégies d’autorisation. Si l’utilisateur est toujours autorisé, Microsoft Entra ID émet un nouveau jeton d’accès et actualise le jeton.

Les jetons d’accès peuvent poser un problème de sécurité si l’accès doit être révoqué avant la fin de la durée de vie du jeton, qui est généralement d’une heure environ. C’est la raison pour laquelle Microsoft travaille activement à l’intégration de l’évaluation continue de l’accès aux applications Office 365, le but étant d’assurer l’invalidation des jetons d’accès en quasi-temps réel.

Jetons de session (cookies)

La plupart des applications basées sur un navigateur utilisent des jetons de session à la place des jetons d’accès et d’actualisation.

  • Quand un utilisateur ouvre un navigateur et s’authentifie auprès d’une application par le biais de Microsoft Entra ID, il reçoit deux jetons de session : l’un de Microsoft Entra ID et l’autre de l’application.

  • Une fois que l’application a émis son propre jeton de session, l’accès à l’application est régi par la session de l’application. À ce stade, seules les stratégies d’autorisation connues de l’application sont appliquées à l’utilisateur.

  • Les stratégies d’autorisation de Microsoft Entra ID sont réévaluées aussi souvent que l’application renvoie l’utilisateur vers Microsoft Entra ID. La réévaluation se produit généralement de manière transparente pour l’utilisateur, à une fréquence variable selon la configuration de l’application. Il est possible que l’application ne renvoie jamais l’utilisateur vers Microsoft Entra ID tant que le jeton de session est valide.

  • Pour qu’un jeton de session puisse être révoqué, l’application doit révoquer l’accès sur la base de ses propres stratégies d’autorisation. Microsoft Entra ID ne peut pas directement révoquer un jeton de session émis par une application.

Révoquer l’accès d’un utilisateur dans l’environnement hybride

Dans un environnement hybride où une instance Active Directory locale est synchronisé avec Microsoft Entra ID, Microsoft recommande aux administrateurs informatiques de suivre les procédures ci-après. Si vous disposez d’un environnement Microsoft Entra uniquement, passez à la section Environnement Microsoft Entra.

Environnement Active Directory local

En tant qu’administrateur dans l’environnement Active Directory, connectez-vous à votre réseau local, ouvrez PowerShell et effectuez les étapes suivantes :

  1. Désactivez l’utilisateur dans Active Directory. Consultez Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Réinitialisez le mot de passe de l’utilisateur à deux reprises dans Active Directory. Consultez Set-ADAccountPassword.

    Notes

    Changer deux fois de suite le mot de passe d’un utilisateur contribue à atténuer le risque d’attaque de type pass-the-hash, surtout quand des délais sont observés durant la réplication du mot de passe local. Si vous avez l’assurance que ce compte n’est pas compromis, vous pouvez vous contenter de réinitialiser le mot de passe une seule fois.

    Important

    N’employez pas les exemples de mots de passe donnés dans les applets de commande suivantes. Vous devez les remplacer par une chaîne aléatoire.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Environnement Microsoft Entra

En tant qu’administrateur dans Microsoft Entra ID, ouvrez PowerShell, exécutez Connect-MgGraph et effectuez les actions suivantes :

  1. Désactivez l’utilisateur dans Microsoft Entra ID. Voir Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Révoquez les jetons d’actualisation de Microsoft Entra ID de l’utilisateur. Voir Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Désactivez les appareils de l’utilisateur. Voir Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Remarque

Pour plus d’informations sur les rôles spécifiques permettant d’effectuer ces étapes, consulter l’article Rôles intégrés Microsoft Entra

Important

Azure AD PowerShell est prévu pour la dépréciation le 30 mars 2024. Pour plus d’informations sur les plans de dépréciation, consultez les mises à jour concernant la dépréciation. Nous vous encourageons à continuer de migrer vers Microsoft Graph PowerShell, qui est le module recommandé pour interagir avec Microsoft Entra ID. En outre, Microsoft Graph PowerShell vous permet d’accéder à toutes les API Microsoft Graph et est disponible sur PowerShell 7. Pour plus d’informations, consultez Mise à niveau d’Azure AD PowerShell vers Microsoft Graph PowerShell.

Après la révocation des accès

Une fois que les administrateurs ont effectué les étapes ci-dessus, l’utilisateur ne peut pas obtenir de nouveaux jetons pour aucune des applications liées à Microsoft Entra ID. Le temps écoulé entre la révocation des accès de l’utilisateur et la perte effective des accès dépend de la manière dont l’application accorde les accès :

  • Pour les applications utilisant des jetons d’accès, l’utilisateur perd ses accès dès que le jeton d’accès arrive à expiration.

  • Pour les applications utilisant des jetons de session, les sessions actives prennent fin dès que le jeton arrive à expiration. Si l’état désactivé de l’utilisateur est synchronisé avec l’application, l’application peut révoquer automatiquement les sessions actives de l’utilisateur si elle est configurée pour cela. Le délai de révocation dépend de la fréquence de synchronisation entre l’application et Microsoft Entra ID.

Bonnes pratiques

  • Déployez une solution automatisée d’attribution et de suppression des privilèges d’accès. La suppression des privilèges d’accès des utilisateurs sur les applications est un moyen efficace de révoquer l’accès, en particulier pour les applications qui utilisent des jetons de sessions. Développez un processus permettant de supprimer les privilèges d’accès des utilisateurs sur les applications qui ne prennent pas en charge l’attribution et la suppression automatiques des privilèges d’accès. Assurez-vous que les applications révoquent leurs propres jetons de session et cessent d’accepter des jetons d’accès Microsoft Entra, même si ces derniers sont toujours valides.

    • Utilisez l’approvisionnement d’applications SaaS Microsoft Entra. L’approvisionnement d’applications SaaS Microsoft Entra s’exécute généralement automatiquement toutes les 20 à 40 minutes. Configurez l’approvisionnement Microsoft Entra pour déprovisionner ou désactiver les utilisateurs désactivés dans les applications.

    • Pour les applications qui n’utilisent pas l’approvisionnement d’applications SaaS Microsoft Entra, utilisez Identity Manager (MIM) ou une solution tierce pour automatiser le déprovisionnement des utilisateurs.

    • Identifiez les applications qui nécessitent une suppression manuelle des privilèges d’accès et développez un processus à cet effet. Veillez à ce que les administrateurs puissent exécuter rapidement les tâches manuelles requises pour supprimer les privilèges d’accès de l’utilisateur de ces applications, le cas échéant.

  • Gérez vos appareils et applications avec Microsoft Intune. Les appareils gérés par Intune peuvent être restaurés aux paramètres d’usine. Si l’appareil est non géré, vous pouvez effacer les données d’entreprise des applications gérées. Ces processus sont efficaces pour supprimer les données potentiellement sensibles des appareils des utilisateurs finaux. Toutefois, pour que l’un ou l’autre processus soit déclenché, l’appareil doit être connecté à Internet. Si l’appareil est hors connexion, il aura toujours accès à toutes les données stockées localement.

Remarque

Après une réinitialisation, les données de l’appareil ne peuvent plus être récupérées.

Étapes suivantes