Mencabut akses pengguna di ID Microsoft Entra

Skenario yang mungkin mengharuskan administrator mencabut semua akses untuk pengguna meliputi akun yang disusupi, pemutusan kerja, dan ancaman dari dalam lainnya. Bergantung pada kerumitan lingkungannya, administrator dapat mengambil beberapa langkah untuk memastikan akses telah dicabut. Dalam beberapa skenario, terdapat kemungkinan adanya periode antara inisiasi pencabutan akses dan saat akses berhasil dicabut.

Untuk mengurangi risiko, Anda harus memahami cara kerja token. Ada berbagai jenis token, yang termasuk dalam salah satu pola yang disebutkan dalam bagian di bawah ini.

Token akses dan token refresh

Token akses dan token refresh seringkali digunakan dengan aplikasi klien yang berat, dan juga digunakan dalam aplikasi berbasis browser seperti aplikasi halaman tunggal.

• Saat pengguna mengautentikasi ke ID Microsoft Entra, bagian dari Microsoft Entra, kebijakan otorisasi dievaluasi untuk menentukan apakah pengguna dapat diberikan akses ke sumber daya tertentu.

• Jika diotorisasi, ID Microsoft Entra mengeluarkan token akses dan token refresh untuk sumber daya.

• Token akses yang dikeluarkan oleh ID Microsoft Entra secara default berlangsung selama 1 jam. Jika protokol autentikasi memungkinkan, aplikasi dapat secara diam-diam mengautentikasi ulang pengguna dengan meneruskan token refresh ke ID Microsoft Entra saat token akses kedaluwarsa.

Microsoft Entra ID kemudian mengevaluasi ulang kebijakan otorisasinya. Jika pengguna masih berwenang, MICROSOFT Entra ID mengeluarkan token akses baru dan merefresh token.

Token akses dapat menjadi masalah keamanan jika akses harus dicabut dalam jangka waktu yang lebih pendek dari masa berlaku token, biasanya pada kisaran satu jam. Karena itu, Microsoft secara aktif berupaya menghadirkan evaluasi akses berkelanjutan ke aplikasi Office 365, yang membantu memastikan valid tidaknya token akses mendekati aktual.

Token sesi (cookie)

Sebagian besar aplikasi berbasis browser menggunakan token sesi alih-alih token akses dan refresh.

• Saat pengguna membuka browser dan mengautentikasi ke aplikasi melalui ID Microsoft Entra, pengguna menerima dua token sesi. Satu dari ID Microsoft Entra dan satu lagi dari aplikasi.

• Setelah aplikasi memberikan token sesinya sendiri, akses ke aplikasi dikelola oleh sesi aplikasi tersebut. Pada titik ini, pengguna hanya terpengaruh oleh kebijakan otorisasi yang diketahui aplikasi tersebut.

• Kebijakan otorisasi ID Microsoft Entra dievaluasi ulang sesering aplikasi mengirim pengguna kembali ke ID Microsoft Entra. Evaluasi ulang umumnya terjadi tanpa pemberitahuan, meskipun frekuensinya bergantung pada bagaimana aplikasi tersebut dikonfigurasi. Ada kemungkinan bahwa aplikasi mungkin tidak pernah mengirim pengguna kembali ke ID Microsoft Entra selama token sesi valid.

• Untuk pencabutan token sesi, aplikasi tersebut harus mencabut akses berdasarkan kebijakan otorisasinya sendiri. ID Microsoft Entra tidak dapat secara langsung mencabut token sesi yang dikeluarkan oleh aplikasi.

Mencabut akses untuk pengguna di lingkungan hibrida

Untuk lingkungan hibrid dengan Active Directory lokal disinkronkan dengan ID Microsoft Entra, Microsoft merekomendasikan admin TI untuk mengambil tindakan berikut. Jika Anda memiliki lingkungan khusus Microsoft Entra, lewati ke bagian lingkungan Microsoft Entra.

Lingkungan Active Directory lokal

Sebagai admin dalam Active Directory, sambungkan ke jaringan lokal Anda, buka PowerShell, dan ambil tindakan berikut:

1. Nonaktifkan pengguna di Active Directory. Lihat Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Atur ulang sandi pengguna dua kali di Direktori Aktif. Lihat Set-ADAccountPassword.

   Catatan

   Alasan untuk mengganti sandi pengguna dua kali adalah untuk mengurangi risiko terjadinya pass-the-hash, khususnya jika terdapat jeda dalam replikasi sandi lokal. Jika dapat mengasumsikan secara aman bahwa akun ini tidak disusupi, Anda dapat mereset sandi hanya satu kali.

   Penting

   Jangan gunakan contoh sandi dalam cmdlet berikut. Pastikan untuk mengubah sandi menjadi string acak.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Lingkungan Microsoft Entra

Sebagai administrator di ID Microsoft Entra, buka PowerShell, jalankan Connect-MgGraph, dan lakukan tindakan berikut:

1. Nonaktifkan pengguna di ID Microsoft Entra. Lihat Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Cabut token refresh ID Microsoft Entra pengguna. Lihat Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Nonaktifkan perangkat pengguna. Lihat Get-MgUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Catatan

Untuk informasi tentang peran tertentu yang dapat melakukan langkah-langkah ini, tinjau peran bawaan Microsoft Entra

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Ketika akses dicabut

Setelah admin mengambil langkah-langkah di atas, pengguna tidak dapat memperoleh token baru untuk aplikasi apa pun yang terkait dengan ID Microsoft Entra. Waktu yang diperlukan antara pencabutan dan pengguna kehilangan akses bergantung pada bagaimana aplikasi tersebut memberikan akses:

• Untuk aplikasi yang menggunakan token akses, pengguna kehilangan akses saat token akses kedaluwarsa.

• Untuk aplikasi yang menggunakan token sesi, sesi yang ada saat ini berakhir segera setelah token kedaluwarsa. Jika status pengguna yang dinonaktifkan disinkronkan ke aplikasi, aplikasi tersebut dapat secara otomatis mencabut sesi pengguna saat ini jika dikonfigurasikan demikian. Waktu yang diperlukan tergantung pada frekuensi sinkronisasi antara aplikasi dan ID Microsoft Entra.

Praktik terbaik

• Terapkan provisi otomatis dan solusi deprovisi. Membatalkan provisi pengguna dari aplikasi adalah cara efektif untuk mencabut akses, terutama untuk aplikasi yang menggunakan token sesi atau memungkinkan pengguna untuk masuk secara langsung tanpa token Microsoft Entra atau Windows Server AD. Kembangkan proses untuk juga mendeprovisi pengguna ke aplikasi yang tidak mendukung provisi dan deprovisi otomatis. Pastikan aplikasi mencabut token sesi mereka sendiri dan berhenti menerima token akses Microsoft Entra meskipun masih valid.

  • Gunakan provisi aplikasi Microsoft Entra. Provisi aplikasi Microsoft Entra biasanya berjalan secara otomatis setiap 20-40 menit. Konfigurasikan provisi Microsoft Entra untuk membatalkan provisi atau menonaktifkan pengguna di SaaS dan aplikasi lokal. Jika Anda menggunakan Microsoft Identity Manager untuk mengotomatiskan deprovisi pengguna dari aplikasi lokal, Anda dapat menggunakan provisi aplikasi Microsoft Entra untuk menjangkau aplikasi lokal dengan database SQL, server direktori non-AD, atau konektor lainnya.

  • Untuk aplikasi lokal yang menggunakan Windows Server AD, Anda dapat mengonfigurasi Alur Kerja Siklus Hidup Microsoft Entra untuk memperbarui pengguna di AD (pratinjau) saat karyawan pergi.

  • Identifikasi dan kembangkan proses untuk aplikasi yang memerlukan deprovisi manual, seperti pembuatan tiket ServiceNow otomatis dengan Microsoft Entra Entitlement Management untuk membuka tiket saat karyawan kehilangan akses. Pastikan admin dan pemilik aplikasi dapat dengan cepat menjalankan tugas manual yang diperlukan untuk mendeprovisi pengguna dari aplikasi ini saat diperlukan.

• Mengelola perangkat dan aplikasi Anda dengan Microsoft Intune. Perangkat terkelola Intune dapat direset ke pengaturan pabrik. Jika perangkat tidak dikelola, Anda dapat menghapus data perusahaan dari aplikasi terkelola. Proses ini efektif untuk menghapus data sensitif dari perangkat pengguna akhir. Namun, untuk memicu salah satu proses tersebut, perangkat harus terhubung ke internet. Jika offline, perangkat tersebut akan tetap memiliki akses ke data yang disimpan secara lokal.

Catatan

Data pada perangkat tidak dapat dipulihkan setelah dihapus.

• Gunakan Microsoft Defender for Cloud Apps untuk memblokir unduhan data bila perlu. Jika data tersebut hanya dapat diakses secara online, organisasi dapat mengawasi sesi dan mencapai penguatan kebijakan aktual.

• Gunakan Evaluasi Akses Berkelanjutan (CAE) di ID Microsoft Entra. CAE memungkinkan admin untuk mencabut token sesi dan token akses bagi aplikasi yang menerapkan CAE.

Langkah berikutnya

• Praktik akses aman untuk administrator Microsoft Entra
• Menambahkan atau memperbarui informasi profil pengguna
• Menghapus atau Menghapus mantan karyawan