Revocare l'accesso utente in Microsoft Entra ID

Gli scenari che potrebbero richiedere a un amministratore di revocare tutti gli accessi per un utente includono account compromessi, terminazione dei dipendenti e altre minacce interne. A seconda della complessità dell'ambiente, gli amministratori possono eseguire diversi passaggi per garantire che l'accesso venga revocato. In alcuni scenari potrebbe verificarsi un periodo tra l'avvio della revoca dell'accesso e il momento in cui l'accesso viene effettivamente revocato.

Per attenuare i rischi, è necessario comprendere il funzionamento dei token. Esistono molti tipi di token, che rientrano in uno dei modelli indicati nelle sezioni seguenti.

Token di accesso e token di aggiornamento

I token di accesso e i token di aggiornamento vengono spesso usati con applicazioni client spesse e usate anche in applicazioni basate su browser, ad esempio app a pagina singola.

• Quando gli utenti eseguono l'autenticazione in Microsoft Entra ID, parte di Microsoft Entra, i criteri di autorizzazione vengono valutati per determinare se all'utente può essere concesso l'accesso a una risorsa specifica.

• Se autorizzato, Microsoft Entra ID rilascia un token di accesso e un token di aggiornamento per la risorsa.

• I token di accesso rilasciati da Microsoft Entra ID per impostazione predefinita durano 1 ora. Se il protocollo di autenticazione consente, l'app può autenticare nuovamente l'utente passando il token di aggiornamento all'ID Microsoft Entra alla scadenza del token di accesso.

Microsoft Entra ID quindi rivaluta i criteri di autorizzazione. Se l'utente è ancora autorizzato, Microsoft Entra ID rilascia un nuovo token di accesso e aggiorna il token.

I token di accesso possono essere un problema di sicurezza se l'accesso deve essere revocato entro un periodo di tempo inferiore alla durata del token, che in genere è di circa un'ora. Per questo motivo, Microsoft sta lavorando attivamente per portare la valutazione continua dell'accesso alle applicazioni di Office 365, che consente di garantire l'invalidazione dei token di accesso quasi in tempo reale.

Token di sessione (cookie)

La maggior parte delle applicazioni basate su browser usa token di sessione anziché token di accesso e aggiornamento.

• Quando un utente apre un browser ed esegue l'autenticazione a un'applicazione tramite Microsoft Entra ID, l'utente riceve due token di sessione. Uno da Microsoft Entra ID e un altro dall'applicazione.

• Quando un'applicazione rilascia il proprio token di sessione, l'accesso all'applicazione è disciplinato dalla sessione dell'applicazione. A questo punto, l'utente è interessato solo dai criteri di autorizzazione di cui l'applicazione è a conoscenza.

• I criteri di autorizzazione di Microsoft Entra ID vengono rivalutati come spesso l'applicazione invia l'utente all'ID Microsoft Entra. La rivalutazione in genere avviene in modo invisibile all'utente, anche se la frequenza dipende dalla modalità di configurazione dell'applicazione. È possibile che l'app non invii mai l'utente all'ID Microsoft Entra, purché il token di sessione sia valido.

• Per revocare un token di sessione, l'applicazione deve revocare l'accesso in base ai propri criteri di autorizzazione. Microsoft Entra ID non può revocare direttamente un token di sessione rilasciato da un'applicazione.

Revocare l'accesso per un utente nell'ambiente ibrido

Per un ambiente ibrido con Active Directory locale sincronizzato con Microsoft Entra ID, Microsoft consiglia agli amministratori IT di eseguire le azioni seguenti. Se si dispone di un ambiente solo Microsoft Entra, passare alla sezione Ambiente Microsoft Entra.

Ambiente Active Directory locale

In qualità di amministratore in Active Directory, connettersi alla rete locale, aprire PowerShell e eseguire le azioni seguenti:

1. Disabilitare l'utente in Active Directory. Fare riferimento a Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Reimpostare la password dell'utente due volte in Active Directory. Fare riferimento a Set-ADAccountPassword.

   Nota

   Il motivo della modifica della password di un utente due volte consiste nel ridurre il rischio di pass-the-hash, soprattutto se si verificano ritardi nella replica delle password locali. Se è possibile presupporre che questo account non sia compromesso, è possibile reimpostare la password una sola volta.

   Importante

   Non usare le password di esempio nei cmdlet seguenti. Assicurarsi di modificare le password in una stringa casuale.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Ambiente Microsoft Entra

In qualità di amministratore in Microsoft Entra ID, aprire PowerShell, eseguire Connect-MgGraphed eseguire le azioni seguenti:

1. Disabilitare l'utente in Microsoft Entra ID. Fare riferimento a Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Revocare i token di aggiornamento dell'ID Microsoft Entra dell'utente. Fare riferimento a Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Disabilitare i dispositivi dell'utente. Fare riferimento a Get-MgUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Nota

Per informazioni su ruoli specifici che possono eseguire questi passaggi, vedere Ruoli predefiniti di Microsoft Entra

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Quando l'accesso viene revocato

Dopo che gli amministratori hanno eseguito i passaggi precedenti, l'utente non può ottenere nuovi token per qualsiasi applicazione associata all'ID Microsoft Entra. Il tempo trascorso tra la revoca e la perdita dell'accesso da parte dell'utente dipende dal modo in cui l'applicazione concede l'accesso:

• Per le applicazioni che usano token di accesso, l'utente perde l'accesso alla scadenza del token di accesso.

• Per le applicazioni che usano token di sessione, le sessioni esistenti terminano non appena scade il token. Se lo stato disabilitato dell'utente viene sincronizzato con l'applicazione, l'applicazione può revocare automaticamente le sessioni esistenti dell'utente se è configurata per farlo. Il tempo necessario dipende dalla frequenza di sincronizzazione tra l'applicazione e l'ID Microsoft Entra.

Procedure consigliate

• Distribuire una soluzione di provisioning e deprovisioning automatizzato. Il deprovisioning degli utenti dalle applicazioni è un modo efficace per revocare l'accesso, in particolare per le applicazioni che usano token di sessione. Sviluppare un processo per effettuare il deprovisioning degli utenti in app che non supportano il provisioning automatico e il deprovisioning. Assicurarsi che le applicazioni revocano i propri token di sessione e interrompano l'accettazione dei token di accesso di Microsoft Entra anche se sono ancora validi.

  • Usare il provisioning di app SaaS Di Microsoft Entra. Il provisioning di app SaaS Di Microsoft Entra viene in genere eseguito automaticamente ogni 20-40 minuti. Configurare il provisioning di Microsoft Entra per effettuare il deprovisioning o disattivare gli utenti disabilitati nelle applicazioni.

  • Per le applicazioni che non usano il provisioning di app SaaS Di Microsoft Entra, usare Identity Manager (MIM) o una soluzione di terze parti per automatizzare il deprovisioning degli utenti.

  • Identificare e sviluppare un processo per le applicazioni che richiedono il deprovisioning manuale. Assicurarsi che gli amministratori possano eseguire rapidamente le attività manuali necessarie per effettuare il deprovisioning dell'utente da queste app quando necessario.

• Gestire i dispositivi e le applicazioni con Microsoft Intune. I dispositivi gestiti da Intune possono essere reimpostati nelle impostazioni predefinite. Se il dispositivo non è gestito, è possibile cancellare i dati aziendali dalle app gestite. Questi processi sono efficaci per rimuovere dati potenzialmente sensibili dai dispositivi degli utenti finali. Tuttavia, per attivare entrambi i processi, il dispositivo deve essere connesso a Internet. Se il dispositivo è offline, il dispositivo avrà comunque accesso a tutti i dati archiviati in locale.

Nota

I dati nel dispositivo non possono essere recuperati dopo una cancellazione.

• Usare Microsoft Defender per il cloud App per bloccare il download dei dati quando appropriato. Se i dati possono essere accessibili solo online, le organizzazioni possono monitorare le sessioni e ottenere l'applicazione dei criteri in tempo reale.

• Usare la valutazione dell'accesso continuo (CAE) in Microsoft Entra ID. CAE consente agli amministratori di revocare i token di sessione e i token di accesso per le applicazioni che supportano CAE.

Passaggi successivi

• Procedure di accesso sicuro per gli amministratori di Microsoft Entra
• Aggiungere o aggiornare le informazioni sul profilo utente
• Rimuovere o eliminare un ex dipendente