Felhasználói hozzáférés visszavonása a Microsoft Entra-azonosítóban
Az olyan forgatókönyvek, amelyek esetén a rendszergazdának vissza kell vonnia egy felhasználó összes hozzáférését, például a feltört fiókokat, az alkalmazottak felmondását és más belső fenyegetéseket. A környezet összetettségétől függően a rendszergazdák több lépést is elvégezhetnek a hozzáférés visszavonása érdekében. Bizonyos esetekben előfordulhat, hogy a hozzáférés visszavonása kezdeményezése és a hozzáférés tényleges visszavonása között időszak áll fenn.
A kockázatok mérsékléséhez tisztában kell lennie a jogkivonatok működésével. Számos jogkivonat létezik, amelyek az alábbi szakaszokban említett minták egyikébe tartoznak.
Hozzáférési jogkivonatok és frissítési jogkivonatok
A hozzáférési jogkivonatokat és a frissítési jogkivonatokat gyakran használják vastag ügyfélalkalmazásokban, és böngészőalapú alkalmazásokban, például egyoldalas alkalmazásokban is használják.
Amikor a felhasználók a Microsoft Entra részét képező Microsoft Entra-azonosítóval hitelesítik magukat, a rendszer kiértékeli az engedélyezési szabályzatokat annak megállapítására, hogy a felhasználó hozzáférést kaphat-e egy adott erőforráshoz.
Ha engedélyezve van, a Microsoft Entra ID egy hozzáférési jogkivonatot és egy frissítési jogkivonatot ad ki az erőforráshoz.
A Microsoft Entra ID által kibocsátott hozzáférési jogkivonatok alapértelmezés szerint 1 óráig tartanak. Ha a hitelesítési protokoll lehetővé teszi, az alkalmazás csendesen újrahitelesítheti a felhasználót, ha átadja a frissítési jogkivonatot a Microsoft Entra-azonosítónak, amikor a hozzáférési jogkivonat lejár.
A Microsoft Entra ID ezután újraértékeli az engedélyezési szabályzatait. Ha a felhasználó továbbra is jogosult, a Microsoft Entra ID új hozzáférési jogkivonatot ad ki, és frissíti a jogkivonatot.
A hozzáférési jogkivonatok biztonsági problémát jelenthetnek, ha a hozzáférést a jogkivonat élettartamánál rövidebb időn belül kell visszavonni, ami általában körülbelül egy óra. Ezért a Microsoft aktívan dolgozik azon, hogy az Office 365-alkalmazások folyamatos hozzáférés-kiértékelést végezhessenek, ami segít a hozzáférési jogkivonatok közel valós idejű érvénytelenítésében.
Munkamenet-jogkivonatok (cookie-k)
A böngészőalapú alkalmazások többsége a hozzáférési és frissítési jogkivonatok helyett munkamenet-jogkivonatokat használ.
Amikor egy felhasználó megnyitja a böngészőt, és a Microsoft Entra-azonosítón keresztül hitelesít egy alkalmazást, a felhasználó két munkamenet-jogkivonatot kap. Az egyik a Microsoft Entra-azonosítóból, a másik az alkalmazásból származik.
Ha egy alkalmazás kiadja a saját munkamenet-jogkivonatát, az alkalmazás munkamenete szabályozza az alkalmazás hozzáférését. Ezen a ponton a felhasználóra csak az alkalmazás által megismert engedélyezési szabályzatok lesznek hatással.
A Microsoft Entra ID engedélyezési szabályzatait a rendszer újraértékesíti, amint az alkalmazás visszaküldi a felhasználót a Microsoft Entra-azonosítónak. Az újraértékelés általában csendesen történik, bár a gyakoriság az alkalmazás konfigurálásának módjától függ. Lehetséges, hogy az alkalmazás soha nem küldi vissza a felhasználót a Microsoft Entra-azonosítóra, amíg a munkamenet-jogkivonat érvényes.
A munkamenet-jogkivonat visszavonásához az alkalmazásnak saját engedélyezési szabályzatai alapján vissza kell vonnia a hozzáférést. A Microsoft Entra ID nem vonhatja vissza közvetlenül az alkalmazás által kibocsátott munkamenet-jogkivonatot.
Felhasználó hozzáférésének visszavonása a hibrid környezetben
Olyan hibrid környezet esetén, amely helyi Active Directory szinkronizálva van a Microsoft Entra-azonosítóval, a Microsoft a következő műveleteket javasolja az informatikai rendszergazdáknak. Ha csak Microsoft Entra-környezettel rendelkezik, ugorjon a Microsoft Entra környezet szakaszra.
Helyszíni Active Directory-környezet
Az Active Directory rendszergazdájaként csatlakozzon a helyszíni hálózathoz, nyissa meg a PowerShellt, és hajtsa végre a következő műveleteket:
Tiltsa le a felhasználót az Active Directoryban. Tekintse meg a Disable-ADAccount parancsot.
Disable-ADAccount -Identity johndoeÁllítsa alaphelyzetbe kétszer a felhasználó jelszavát az Active Directoryban. Tekintse meg a Set-ADAccountPassword parancsot.
Feljegyzés
A felhasználó jelszavának kétszeri módosításának oka az átengedés kockázatának csökkentése, különösen akkor, ha késik a helyszíni jelszóreplikálás. Ha nyugodtan feltételezheti, hogy ez a fiók nem sérült, a jelszót csak egyszer állíthatja vissza.
Fontos
Ne használja a példajelszavakat a következő parancsmagokban. Ügyeljen arra, hogy a jelszavakat véletlenszerű sztringre módosítsa.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra-környezet
A Microsoft Entra ID rendszergazdájaként nyissa meg a PowerShellt, futtassa Connect-MgGraphés hajtsa végre a következő műveleteket:
Tiltsa le a felhasználót a Microsoft Entra-azonosítóban. Lásd: Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseVonja vissza a felhasználó Microsoft Entra-azonosítójának frissítési jogkivonatait. Tekintse meg a Revoke-MgUserSignInSession parancsot.
Revoke-MgUserSignInSession -UserId $User.IdTiltsa le a felhasználó eszközeit. Lásd: Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Feljegyzés
Az ezen lépések végrehajtására alkalmas szerepkörökre vonatkozó információkért tekintse át a Microsoft Entra beépített szerepköreinek áttekintését
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
A hozzáférés visszavonása esetén
Miután a rendszergazdák elvégezték a fenti lépéseket, a felhasználó nem szerezhet új jogkivonatokat a Microsoft Entra-azonosítóhoz kapcsolódó alkalmazásokhoz. A visszavonás és a felhasználó hozzáférésének elvesztése közötti eltelt idő attól függ, hogy az alkalmazás hogyan biztosít hozzáférést:
Hozzáférési jogkivonatokat használó alkalmazások esetén a felhasználó elveszíti a hozzáférést a hozzáférési jogkivonat lejáratakor.
A munkamenet-jogkivonatokat használó alkalmazások esetében a meglévő munkamenetek a jogkivonat lejárata után befejeződnek. Ha a felhasználó letiltott állapota szinkronizálva van az alkalmazáshoz, az alkalmazás automatikusan visszavonhatja a felhasználó meglévő munkameneteit, ha erre van konfigurálva. Az időtartam az alkalmazás és a Microsoft Entra-azonosító közötti szinkronizálás gyakoriságától függ.
Ajánlott eljárások
Automatizált kiépítési és leépítési megoldás üzembe helyezése. A felhasználók alkalmazásból való kivonása hatékony módja a hozzáférés visszavonásának, különösen a munkamenet-jogkivonatokat használó alkalmazások esetében. Olyan folyamat fejlesztése, amely a felhasználókat olyan alkalmazásokra bontja, amelyek nem támogatják az automatikus kiépítést és a leépítést. Győződjön meg arról, hogy az alkalmazások visszavonják a saját munkamenet-jogkivonataikat, és akkor sem fogadják el a Microsoft Entra hozzáférési jogkivonatokat, ha még mindig érvényesek.
Használja a Microsoft Entra SaaS-alkalmazáskiépítést. A Microsoft Entra SaaS alkalmazáskiépítés általában 20–40 percenként automatikusan fut. Konfigurálja a Microsoft Entra kiépítését a letiltott felhasználók kivonására vagy inaktiválására az alkalmazásokban.
A Microsoft Entra SaaS-alkalmazáskiépítést nem használó alkalmazások esetében az Identity Manager (MIM) vagy egy harmadik féltől származó megoldás használatával automatizálhatja a felhasználók kivonását.
Olyan folyamatok azonosítása és fejlesztése, amelyek manuális leépítést igényelnek. Győződjön meg arról, hogy a rendszergazdák gyorsan futtathatják a szükséges manuális feladatokat, hogy szükség esetén eltávolíthassák a felhasználót ezekből az alkalmazásokból.
Az eszközök és alkalmazások kezelése a Microsoft Intune-nal. Az Intune által felügyelt eszközök visszaállíthatók a gyári beállításokra. Ha az eszköz nem felügyelt, törölheti a vállalati adatokat a felügyelt alkalmazásokból. Ezek a folyamatok hatékonyan távolítják el a potenciálisan bizalmas adatokat a végfelhasználók eszközeiről. Ahhoz azonban, hogy bármelyik folyamat aktiválódjon, az eszköznek csatlakoznia kell az internethez. Ha az eszköz offline állapotban van, az eszköz továbbra is hozzáférhet a helyileg tárolt adatokhoz.
Feljegyzés
Az eszközön lévő adatok nem állíthatók helyre törlés után.
Az Felhőhöz készült Microsoft Defender-alkalmazások használatával szükség esetén letilthatja az adatletöltést. Ha az adatok csak online érhetők el, a szervezetek figyelhetik a munkameneteket, és valós idejű szabályzatkényszerítést érhetnek el.
A Folyamatos hozzáférés kiértékelése (CAE) használata a Microsoft Entra-azonosítóban. A CAE lehetővé teszi a rendszergazdák számára, hogy visszavonják a munkamenet-jogkivonatokat, és hozzáférjenek a caE-kompatibilis alkalmazások jogkivonataihoz.