Mencabut akses pengguna di ID Microsoft Entra

Artikel
12/13/2023

Skenario yang mungkin mengharuskan administrator mencabut semua akses untuk pengguna meliputi akun yang disusupi, pemutusan kerja, dan ancaman dari dalam lainnya. Bergantung pada kerumitan lingkungannya, administrator dapat mengambil beberapa langkah untuk memastikan akses telah dicabut. Dalam beberapa skenario, terdapat kemungkinan adanya periode antara inisiasi pencabutan akses dan saat akses berhasil dicabut.

Untuk mengurangi risiko, Anda harus memahami cara kerja token. Ada berbagai jenis token, yang termasuk dalam salah satu pola yang disebutkan dalam bagian di bawah ini.

Token akses dan token refresh

Token akses dan token refresh seringkali digunakan dengan aplikasi klien yang berat, dan juga digunakan dalam aplikasi berbasis browser seperti aplikasi halaman tunggal.

Saat pengguna mengautentikasi ke ID Microsoft Entra, bagian dari Microsoft Entra, kebijakan otorisasi dievaluasi untuk menentukan apakah pengguna dapat diberikan akses ke sumber daya tertentu.
Jika diotorisasi, ID Microsoft Entra mengeluarkan token akses dan token refresh untuk sumber daya.
Token akses yang dikeluarkan oleh ID Microsoft Entra secara default berlangsung selama 1 jam. Jika protokol autentikasi memungkinkan, aplikasi dapat secara diam-diam mengautentikasi ulang pengguna dengan meneruskan token refresh ke ID Microsoft Entra saat token akses kedaluwarsa.

Microsoft Entra ID kemudian mengevaluasi ulang kebijakan otorisasinya. Jika pengguna masih berwenang, MICROSOFT Entra ID mengeluarkan token akses baru dan merefresh token.

Token akses dapat menjadi masalah keamanan jika akses harus dicabut dalam jangka waktu yang lebih pendek dari masa berlaku token, biasanya pada kisaran satu jam. Karena itu, Microsoft secara aktif berupaya menghadirkan evaluasi akses berkelanjutan ke aplikasi Office 365, yang membantu memastikan valid tidaknya token akses mendekati aktual.

Token sesi (cookie)

Sebagian besar aplikasi berbasis browser menggunakan token sesi alih-alih token akses dan refresh.

Saat pengguna membuka browser dan mengautentikasi ke aplikasi melalui ID Microsoft Entra, pengguna menerima dua token sesi. Satu dari ID Microsoft Entra dan satu lagi dari aplikasi.
Setelah aplikasi memberikan token sesinya sendiri, akses ke aplikasi dikelola oleh sesi aplikasi tersebut. Pada titik ini, pengguna hanya terpengaruh oleh kebijakan otorisasi yang diketahui aplikasi tersebut.
Kebijakan otorisasi ID Microsoft Entra dievaluasi ulang sesering aplikasi mengirim pengguna kembali ke ID Microsoft Entra. Evaluasi ulang umumnya terjadi tanpa pemberitahuan, meskipun frekuensinya bergantung pada bagaimana aplikasi tersebut dikonfigurasi. Ada kemungkinan bahwa aplikasi mungkin tidak pernah mengirim pengguna kembali ke ID Microsoft Entra selama token sesi valid.
Untuk pencabutan token sesi, aplikasi tersebut harus mencabut akses berdasarkan kebijakan otorisasinya sendiri. ID Microsoft Entra tidak dapat secara langsung mencabut token sesi yang dikeluarkan oleh aplikasi.

Mencabut akses untuk pengguna di lingkungan hibrida

Untuk lingkungan hibrid dengan Active Directory lokal disinkronkan dengan ID Microsoft Entra, Microsoft merekomendasikan admin TI untuk mengambil tindakan berikut. Jika Anda memiliki lingkungan khusus Microsoft Entra, lewati ke bagian lingkungan Microsoft Entra.

Lingkungan Active Directory lokal

Sebagai admin dalam Active Directory, sambungkan ke jaringan lokal Anda, buka PowerShell, dan ambil tindakan berikut:

Nonaktifkan pengguna di Active Directory. Lihat Disable-ADAccount.
```
Disable-ADAccount -Identity johndoe  
```
Atur ulang sandi pengguna dua kali di Direktori Aktif. Lihat Set-ADAccountPassword.

Catatan

Alasan untuk mengganti sandi pengguna dua kali adalah untuk mengurangi risiko terjadinya pass-the-hash, khususnya jika terdapat jeda dalam replikasi sandi lokal. Jika dapat mengasumsikan secara aman bahwa akun ini tidak disusupi, Anda dapat mereset sandi hanya satu kali.

Penting

Jangan gunakan contoh sandi dalam cmdlet berikut. Pastikan untuk mengubah sandi menjadi string acak.
```
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
```

Lingkungan Microsoft Entra

Sebagai administrator di ID Microsoft Entra, buka PowerShell, jalankan Connect-MgGraph, dan lakukan tindakan berikut:

Nonaktifkan pengguna di ID Microsoft Entra. Lihat Update-MgUser.

$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
Update-MgUser -UserId $User.Id -AccountEnabled:$false

Cabut token refresh ID Microsoft Entra pengguna. Lihat Revoke-MgUserSignInSession.
```
Revoke-MgUserSignInSession -UserId $User.Id
```

Nonaktifkan perangkat pengguna. Lihat Get-MgUserRegisteredDevice.

$Device = Get-MgUserRegisteredDevice -UserId $User.Id 
Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false

Catatan

Untuk informasi tentang peran tertentu yang dapat melakukan langkah-langkah ini, tinjau peran bawaan Microsoft Entra

Penting

Azure AD PowerShell direncanakan untuk dihentikan pada 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Microsoft Graph PowerShell memungkinkan akses ke semua MICROSOFT Graph API dan tersedia di PowerShell 7. Untuk jawaban atas kueri migrasi umum, lihat Tanya Jawab Umum Migrasi.

Ketika akses dicabut

Setelah admin mengambil langkah-langkah di atas, pengguna tidak dapat memperoleh token baru untuk aplikasi apa pun yang terkait dengan ID Microsoft Entra. Waktu yang diperlukan antara pencabutan dan pengguna kehilangan akses bergantung pada bagaimana aplikasi tersebut memberikan akses:

Untuk aplikasi yang menggunakan token akses, pengguna kehilangan akses saat token akses kedaluwarsa.
Untuk aplikasi yang menggunakan token sesi, sesi yang ada saat ini berakhir segera setelah token kedaluwarsa. Jika status pengguna yang dinonaktifkan disinkronkan ke aplikasi, aplikasi tersebut dapat secara otomatis mencabut sesi pengguna saat ini jika dikonfigurasikan demikian. Waktu yang diperlukan tergantung pada frekuensi sinkronisasi antara aplikasi dan ID Microsoft Entra.

Praktik terbaik

Terapkan provisi otomatis dan solusi deprovisi. Deprovisi pengguna dari aplikasi adalah cara pencabutan akses yang efektif, khususnya bagi aplikasi yang menggunakan token sesi. Kembangkan proses deprovisi pengguna pada aplikasi yang tidak mendukung provisi otomatis dan deprovisi. Pastikan aplikasi mencabut token sesi mereka sendiri dan berhenti menerima token akses Microsoft Entra meskipun masih valid.
- Gunakan Provisi Aplikasi Microsoft Entra SaaS. Provisi Aplikasi Microsoft Entra SaaS biasanya berjalan secara otomatis setiap 20-40 menit. Konfigurasikan provisi Microsoft Entra untuk membatalkan provisi atau menonaktifkan pengguna yang dinonaktifkan dalam aplikasi.
- Untuk aplikasi yang tidak menggunakan Provisi Aplikasi Microsoft Entra SaaS, gunakan Identity Manager (MIM) atau solusi pihak ketiga untuk mengotomatiskan deprovisi pengguna.
- Identifikasi dan kembangkan proses bagi aplikasi yang memerlukan deprovisi manual. Pastikan admin dapat dengan cepat menjalankan tugas manual yang diperlukan untuk deprovisi pengguna dari aplikasi berikut saat diperlukan.
Mengelola perangkat dan aplikasi Anda dengan Microsoft Intune. Perangkat terkelola Intune dapat direset ke pengaturan pabrik. Jika perangkat tidak dikelola, Anda dapat menghapus data perusahaan dari aplikasi terkelola. Proses ini efektif untuk menghapus data sensitif dari perangkat pengguna akhir. Namun, untuk memicu salah satu proses tersebut, perangkat harus terhubung ke internet. Jika offline, perangkat tersebut akan tetap memiliki akses ke data yang disimpan secara lokal.