Microsoft Entra ID でユーザー アクセスを取り消す
管理者がユーザーのすべてのアクセス権を取り消す必要があるシナリオとしては、侵害されたアカウント、従業員の解雇、およびその他のインサイダーの脅威があります。 環境の複雑さに応じて、管理者はアクセスが確実に取り消されるようにいくつかの手順を実行できます。 シナリオによっては、アクセスの取り消しが開始されてから、アクセスが実質的に取り消されるまでに一定の時間がかかることがあります。
リスクを軽減するには、トークンのしくみを理解しておく必要があります。 トークンにはさまざまな種類があり、以下のセクションで説明するパターンのいずれかに分類されます。
アクセス トークンと更新トークン
アクセス トークンと更新トークンは、シック クライアント アプリケーションでよく使用されます。また、シングル ページ アプリなどのブラウザーベースのアプリケーションでも使用されます。
ユーザーが Microsoft Entra の一部である Microsoft Entra ID に対して認証を行うと、承認ポリシーが評価され、そのユーザーに特定のリソースへのアクセスを許可できるかどうかが判断されます。
承認されると、Microsoft Entra ID によってリソースのアクセス トークンと更新トークンが発行されます。
Microsoft Entra ID によって発行されたアクセス トークンの有効期限は、既定では 1 時間です。 認証プロトコルで許可されている場合、アプリは、アクセス トークンの有効期限が切れたときに更新トークンを Microsoft Entra ID に渡すことで、ユーザーを自動で再認証できます。
その後、Microsoft Entra ID によってその承認ポリシーが再評価されます。 ユーザーがまだ許可されている場合は、Microsoft Entra ID によって新しいアクセス トークンが発行され、トークンが更新されます。
アクセス トークンは、トークンの有効期間 (通常は約 1 時間) より短い時間内にアクセスを取り消す必要がある場合に、セキュリティ上の問題になることがあります。 このため、Microsoft は、Office 365 アプリケーションに継続的アクセス評価を行うために積極的に取り組んでいます。これにより、アクセス トークンをほぼリアルタイムで確実に無効化できます。
セッション トークン (Cookie)
ほとんどのブラウザーベースのアプリケーションでは、アクセス トークンと更新トークンではなく、セッション トークンが使用されます。
ユーザーがブラウザーを開いて、Microsoft Entra ID 経由でアプリケーションに対して認証を行うと、ユーザーは 2 つのセッション トークンを受け取ります。 1 つは Microsoft Entra ID から、もう 1 つはアプリケーションから受け取ります。
アプリケーションが独自のセッション トークンを発行すると、アプリケーションへのアクセスはアプリケーションのセッションによって管理されます。 この時点で、ユーザーが影響を受けるのは、アプリケーションが認識している承認ポリシーのみになります。
Microsoft Entra ID の承認ポリシーは、アプリケーションがユーザーを Microsoft Entra ID に送り返すたびに再評価されます。 通常、再評価は自動的に行われますが、頻度はアプリケーションの構成方法によって異なります。 セッション トークンが有効である限り、アプリがユーザーを Microsoft Entra ID に送り返すことはありません。
セッション トークンを取り消すには、アプリケーションが独自の承認ポリシーに基づいてアクセスを取り消す必要があります。 Microsoft Entra ID では、アプリケーションによって発行されたセッション トークンを直接取り消すことはできません。
ハイブリッド環境でユーザーのアクセスを取り消す
オンプレミスの Active Directory が Microsoft Entra ID と同期されているハイブリッド環境では、IT 管理者が次の操作を実行することをお勧めします。 Microsoft Entra 専用の環境がある場合は、「Microsoft Entra 環境」セクションに進んでください。
オンプレミスの Active Directory 環境
Active Directory の管理者として、オンプレミス ネットワークに接続し、PowerShell を開き、次の操作を実行します。
Active Directory でユーザーを無効にします。 「Disable-ADAccount」を参照してください。
Disable-ADAccount -Identity johndoe
Active Directory でユーザーのパスワードを 2 回リセットします。 「Set-ADAccountPassword」を参照してください。
Note
ユーザーのパスワードを 2 回変更する理由は、特にオンプレミスのパスワード レプリケーションで遅延が発生した場合に、Pass-the-Hash のリスクを軽減するためです。 このアカウントが侵害されていないと想定できる場合は、パスワードのリセットを 1 回だけにすることができます。
重要
次のコマンドレット内のサンプルのパスワードは使用しないでください。 パスワードは必ずランダムな文字列に変更してください。
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra 環境
Microsoft Entra ID の管理者として、PowerShell を開き、Connect-MgGraph
を実行して、次の操作を実行します。
Microsoft Entra ID でユーザーを無効にします。 「Update-MgUser」を参照してください。
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
ユーザーの Microsoft Entra ID 更新トークンを取り消します。 「Revoke-MgUserSignInSession」を参照してください。
Revoke-MgUserSignInSession -UserId $User.Id
ユーザーのデバイスを無効にします。 「Get-MgUserRegisteredDevice」を参照してください。
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Note
これらのステップを実行できる特定のロールの詳細については、Microsoft Entra 組み込みロールを参照してください
重要
Azure AD PowerShell は 2024 年 3 月 30 日に非推奨となる予定です。 詳細については、非推奨の最新情報を参照してください。 Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 Microsoft Graph PowerShell を使うと、すべての Microsoft Graph API にアクセスできます。また、PowerShell 7 上で使用できます。 一般的な移行の質問に対する回答については、移行に関する FAQ を参照してください。
アクセスが取り消されたとき
管理者が上記の手順を実行すると、ユーザーは Microsoft Entra ID に関連付けられているすべてのアプリケーションの新しいトークンを取得できなくなります。 取り消してからユーザーがアクセスを失うまでの経過時間は、アプリケーションがアクセスを許可する方法によって異なります。
アクセス トークンを使用するアプリケーションの場合、アクセス トークンの有効期限が切れると、ユーザーはアクセスを失います。
セッション トークンを使用するアプリケーションでは、トークンの有効期限が切れるとすぐに既存のセッションが終了します。 ユーザーの無効状態がアプリケーションに同期されている場合、そのアプリケーションはユーザーの既存のセッションを自動的に取り消すことができます (そのように構成されている場合)。 所要時間は、アプリケーションと Microsoft Entra ID 間の同期の頻度によって異なります。
ベスト プラクティス
自動化されたプロビジョニングとプロビジョニング解除ソリューションをデプロイします。 アプリケーションからユーザーのプロビジョニングを解除することは、特にセッション トークンが使用されているアプリケーションで、アクセスを取り消すのに効果的な方法です。 自動プロビジョニングとプロビジョニング解除がサポートされていないアプリからユーザーをプロビジョニング解除するプロセスを開発します。 アプリケーションがユーザー独自のセッション トークンを取り消し、まだ有効であっても Microsoft Entra アクセス トークンの受け入れを停止するようにします。
Microsoft Entra SaaS アプリのプロビジョニングを使用します。 Microsoft Entra SaaS アプリのプロビジョニングは、通常、20 から 40 分ごとに自動的に実行されます。 アプリケーションで無効になったユーザーをプロビジョニング解除または非アクティブ化するように、Microsoft Entra プロビジョニングを構成します。
Microsoft Entra SaaS アプリのプロビジョニングが使用されていないアプリケーションでは、IDマネージャー (MIM)、またはサードパーティ製のソリューションを使用して、ユーザーのプロビジョニング解除を自動化します。
手動によるプロビジョニング解除が必要なアプリケーションを特定し、そのためのプロセスを開発します。 管理者が、必要に応じて、これらのアプリからユーザーをプロビジョニング解除するために必要な手動タスクを迅速に実行できるようにします。
Microsoft Intune を使用してデバイスとアプリケーションを管理します。 Intune で管理されているデバイスは、出荷時の設定にリセットできます。 デバイスが管理されていない場合は、管理対象アプリから会社のデータをワイプできます。 これらのプロセスは、機密の可能性があるデータをエンド ユーザーのデバイスから削除するのに効果的です。 ただし、いずれのプロセスをトリガーするにも、デバイスがインターネットに接続されている必要があります。 デバイスがオフラインの場合、デバイスはローカルに格納されているデータに引き続きアクセスできます。
Note
ワイプ後にデバイス上のデータを復元することはできません。
必要に応じて、データのダウンロードをブロックするために Microsoft Defender for Cloud Apps を使用します。 オンラインでのみデータにアクセスできる場合、組織はセッションを監視し、リアルタイム ポリシーの適用を実現できます。
Microsoft Entra ID での継続的アクセス評価 (CAE) を使用します。 CAE を使用すると、管理者は CAE 対応アプリケーションのセッション トークンとアクセス トークンを取り消すことができます。