Share via


Gebruikerstoegang intrekken in Microsoft Entra-id

Scenario's waarbij een beheerder alle toegang voor een gebruiker kan intrekken, zijn onder andere gecompromitteerde accounts, beëindiging van werknemers en andere bedreigingen van insiders. Afhankelijk van de complexiteit van de omgeving kunnen beheerders verschillende stappen uitvoeren om ervoor te zorgen dat de toegang wordt ingetrokken. In sommige scenario's kan er een periode zijn tussen het initiëren van toegangsintrekking en wanneer de toegang effectief wordt ingetrokken.

Als u de risico's wilt beperken, moet u begrijpen hoe tokens werken. Er zijn veel soorten tokens, die in een van de patronen vallen die in de onderstaande secties worden genoemd.

Toegangstokens en vernieuwingstokens

Toegangstokens en vernieuwingstokens worden vaak gebruikt met dikke clienttoepassingen en worden ook gebruikt in browsertoepassingen zoals apps met één pagina.

  • Wanneer gebruikers zich verifiëren bij Microsoft Entra ID, worden autorisatiebeleidsregels geëvalueerd om te bepalen of de gebruiker toegang kan krijgen tot een specifieke resource.

  • Als dit is geautoriseerd, geeft Microsoft Entra ID een toegangstoken en een vernieuwingstoken voor de resource uit.

  • Toegangstokens die door Microsoft Entra-id zijn uitgegeven, duren standaard 1 uur. Als het verificatieprotocol toestaat, kan de app de gebruiker op de achtergrond opnieuw verifiëren door het vernieuwingstoken door te geven aan de Microsoft Entra-id wanneer het toegangstoken verloopt.

Microsoft Entra ID evalueert vervolgens het autorisatiebeleid opnieuw. Als de gebruiker nog steeds is geautoriseerd, geeft Microsoft Entra ID een nieuw toegangstoken en vernieuwingstoken uit.

Toegangstokens kunnen een beveiligingsprobleem zijn als de toegang moet worden ingetrokken binnen een periode die korter is dan de levensduur van het token, meestal ongeveer een uur. Daarom werkt Microsoft actief aan continue toegangsevaluatie voor Office 365-toepassingen, waardoor toegangstokens bijna in realtime ongeldig worden.

Sessietokens (cookies)

De meeste browsertoepassingen gebruiken sessietokens in plaats van toegangs- en vernieuwingstokens.

  • Wanneer een gebruiker een browser opent en verifieert bij een toepassing via Microsoft Entra ID, ontvangt de gebruiker twee sessietokens. Een van Microsoft Entra ID en een andere uit de toepassing.

  • Zodra een toepassing een eigen sessietoken uitgeeft, wordt de toegang tot de toepassing beheerd door de sessie van de toepassing. Op dit moment wordt de gebruiker alleen beïnvloed door het autorisatiebeleid waarvan de toepassing op de hoogte is.

  • Het autorisatiebeleid van Microsoft Entra-id wordt zo vaak opnieuw geëvalueerd als de toepassing de gebruiker terugstuurt naar Microsoft Entra-id. Herwaardering gebeurt meestal op de achtergrond, hoewel de frequentie afhankelijk is van hoe de toepassing is geconfigureerd. Het is mogelijk dat de app de gebruiker nooit terugstuurt naar Microsoft Entra ID zolang het sessietoken geldig is.

  • Om een sessietoken in te trekken, moet de toepassing de toegang intrekken op basis van zijn eigen autorisatiebeleid. Microsoft Entra ID kan een sessietoken dat is uitgegeven door een toepassing niet rechtstreeks intrekken.

Toegang intrekken voor een gebruiker in de hybride omgeving

Voor een hybride omgeving met on-premises Active Directory die is gesynchroniseerd met Microsoft Entra ID, raadt Microsoft IT-beheerders aan om de volgende acties uit te voeren. Als u een Microsoft Entra-omgeving hebt, gaat u naar de sectie Microsoft Entra-omgeving .

On-premises Active Directory-omgeving

Als beheerder in Active Directory maakt u verbinding met uw on-premises netwerk, opent u PowerShell en voert u de volgende acties uit:

  1. Schakel de gebruiker uit in Active Directory. Raadpleeg Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Stel het wachtwoord van de gebruiker tweemaal opnieuw in in Active Directory. Raadpleeg Set-ADAccountPassword.

    Notitie

    De reden voor het tweemaal wijzigen van het wachtwoord van een gebruiker is om het risico van pass-the-hash te beperken, met name als er vertragingen zijn in on-premises wachtwoordreplicatie. Als u veilig kunt aannemen dat dit account niet is gecompromitteerd, kunt u het wachtwoord slechts één keer opnieuw instellen.

    Belangrijk

    Gebruik de voorbeeldwachtwoorden niet in de volgende cmdlets. Zorg ervoor dat u de wachtwoorden wijzigt in een willekeurige tekenreeks.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Microsoft Entra-omgeving

Als beheerder in Microsoft Entra ID opent u PowerShell, voert u PowerShell uit en voert Connect-MgGraphu de volgende acties uit:

  1. Schakel de gebruiker uit in Microsoft Entra ID. Raadpleeg Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Trek de vernieuwingstokens van de Microsoft Entra-id van de gebruiker in. Raadpleeg Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Schakel de apparaten van de gebruiker uit. Raadpleeg Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Notitie

Raadpleeg ingebouwde Microsoft Entra-rollen voor informatie over specifieke rollen die deze stappen kunnen uitvoeren

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Wanneer de toegang wordt ingetrokken

Zodra beheerders de bovenstaande stappen hebben uitgevoerd, kan de gebruiker geen nieuwe tokens verkrijgen voor een toepassing die is gekoppeld aan Microsoft Entra-id. De verstreken tijd tussen intrekking en het verlies van hun toegang is afhankelijk van de wijze waarop de toepassing toegang verleent:

  • Voor toepassingen die toegangstokens gebruiken, verliest de gebruiker de toegang wanneer het toegangstoken verloopt.

  • Voor toepassingen die sessietokens gebruiken, worden de bestaande sessies beëindigd zodra het token verloopt. Als de uitgeschakelde status van de gebruiker wordt gesynchroniseerd met de toepassing, kan de toepassing de bestaande sessies van de gebruiker automatisch intrekken als deze hiervoor is geconfigureerd. De tijd die nodig is, is afhankelijk van de synchronisatiefrequentie tussen de toepassing en de Microsoft Entra-id.

Aanbevolen procedures

  • Implementeer een geautomatiseerde inrichtings- en de inrichtingsoplossing. Het ongedaan maken van de inrichting van gebruikers vanuit toepassingen is een effectieve manier om toegang in te roepen, met name voor toepassingen die sessietokens gebruiken of gebruikers toestaan zich rechtstreeks aan te melden zonder een Microsoft Entra- of Windows Server AD-token. Ontwikkel een proces om gebruikers ook de inrichting ongedaan te maken voor apps die geen ondersteuning bieden voor automatische inrichting en ongedaan maken van inrichting. Zorg ervoor dat toepassingen hun eigen sessietokens intrekken en stoppen met het accepteren van Microsoft Entra-toegangstokens, zelfs als ze nog geldig zijn.

    • Microsoft Entra-app-inrichting gebruiken. Het inrichten van Microsoft Entra-apps wordt doorgaans elke 20-40 minuten automatisch uitgevoerd. Configureer Microsoft Entra-inrichting om de inrichting van gebruikers in SaaS en on-premises toepassingen ongedaan te maken of deactiveren. Als u Microsoft Identity Manager gebruikt om de inrichting van gebruikers van on-premises toepassingen te automatiseren, kunt u de inrichting van Microsoft Entra-apps gebruiken om on-premises toepassingen te bereiken met een SQL-database, niet-AD-adreslijstserver of andere connectors.

    • Voor on-premises toepassingen met Windows Server AD kunt u Microsoft Entra Lifecycle Workflows configureren om gebruikers in AD (preview) bij te werken wanneer werknemers vertrekken.

    • Identificeer en ontwikkel een proces voor toepassingen waarvoor handmatige inrichting is vereist, zoals het automatisch maken van een ServiceNow-ticket met Microsoft Entra Entitlement Management om een ticket te openen wanneer werknemers geen toegang meer hebben. Zorg ervoor dat beheerders en toepassingseigenaren snel de vereiste handmatige taken kunnen uitvoeren om de inrichting van de gebruiker uit deze apps ongedaan te maken wanneer dat nodig is.

  • Beheer uw apparaten en toepassingen met Microsoft Intune. Door Intune beheerde apparaten kunnen worden teruggezet naar fabrieksinstellingen. Als het apparaat onbeheerd is, kunt u de bedrijfsgegevens wissen uit beheerde apps. Deze processen zijn effectief voor het verwijderen van mogelijk gevoelige gegevens van apparaten van eindgebruikers. Voor beide processen die moeten worden geactiveerd, moet het apparaat echter zijn verbonden met internet. Als het apparaat offline is, heeft het apparaat nog steeds toegang tot lokaal opgeslagen gegevens.

Notitie

Gegevens op het apparaat kunnen niet worden hersteld na het wissen.

Volgende stappen