Gebruikerstoegang intrekken in Microsoft Entra-id

Scenario's waarbij een beheerder alle toegang voor een gebruiker kan intrekken, zijn onder andere gecompromitteerde accounts, beëindiging van werknemers en andere bedreigingen van insiders. Afhankelijk van de complexiteit van de omgeving kunnen beheerders verschillende stappen uitvoeren om ervoor te zorgen dat de toegang wordt ingetrokken. In sommige scenario's kan er een periode zijn tussen het initiëren van toegangsintrekking en wanneer de toegang effectief wordt ingetrokken.

Als u de risico's wilt beperken, moet u begrijpen hoe tokens werken. Er zijn veel soorten tokens, die in een van de patronen vallen die in de onderstaande secties worden genoemd.

Toegangstokens en vernieuwingstokens

Toegangstokens en vernieuwingstokens worden vaak gebruikt met dikke clienttoepassingen en worden ook gebruikt in browsertoepassingen zoals apps met één pagina.

• Wanneer gebruikers zich verifiëren bij Microsoft Entra ID, worden autorisatiebeleidsregels geëvalueerd om te bepalen of de gebruiker toegang kan krijgen tot een specifieke resource.

• Als dit is geautoriseerd, geeft Microsoft Entra ID een toegangstoken en een vernieuwingstoken voor de resource uit.

• Toegangstokens die door Microsoft Entra-id zijn uitgegeven, duren standaard 1 uur. Als het verificatieprotocol toestaat, kan de app de gebruiker op de achtergrond opnieuw verifiëren door het vernieuwingstoken door te geven aan de Microsoft Entra-id wanneer het toegangstoken verloopt.

Microsoft Entra ID evalueert vervolgens het autorisatiebeleid opnieuw. Als de gebruiker nog steeds is geautoriseerd, geeft Microsoft Entra ID een nieuw toegangstoken en vernieuwingstoken uit.

Toegangstokens kunnen een beveiligingsprobleem zijn als de toegang moet worden ingetrokken binnen een periode die korter is dan de levensduur van het token, meestal ongeveer een uur. Daarom werkt Microsoft actief aan continue toegangsevaluatie voor Office 365-toepassingen, waardoor toegangstokens bijna in realtime ongeldig worden.

Sessietokens (cookies)

De meeste browsertoepassingen gebruiken sessietokens in plaats van toegangs- en vernieuwingstokens.

• Wanneer een gebruiker een browser opent en verifieert bij een toepassing via Microsoft Entra ID, ontvangt de gebruiker twee sessietokens. Een van Microsoft Entra ID en een andere uit de toepassing.

• Zodra een toepassing een eigen sessietoken uitgeeft, wordt de toegang tot de toepassing beheerd door de sessie van de toepassing. Op dit moment wordt de gebruiker alleen beïnvloed door het autorisatiebeleid waarvan de toepassing op de hoogte is.

• Het autorisatiebeleid van Microsoft Entra-id wordt zo vaak opnieuw geëvalueerd als de toepassing de gebruiker terugstuurt naar Microsoft Entra-id. Herwaardering gebeurt meestal op de achtergrond, hoewel de frequentie afhankelijk is van hoe de toepassing is geconfigureerd. Het is mogelijk dat de app de gebruiker nooit terugstuurt naar Microsoft Entra ID zolang het sessietoken geldig is.

• Om een sessietoken in te trekken, moet de toepassing de toegang intrekken op basis van zijn eigen autorisatiebeleid. Microsoft Entra ID kan een sessietoken dat is uitgegeven door een toepassing niet rechtstreeks intrekken.

Toegang intrekken voor een gebruiker in de hybride omgeving

Voor een hybride omgeving met on-premises Active Directory die is gesynchroniseerd met Microsoft Entra ID, raadt Microsoft IT-beheerders aan om de volgende acties uit te voeren. Als u een Microsoft Entra-omgeving hebt, gaat u verder met de sectie Microsoft Entra-omgeving .

On-premises Active Directory-omgeving

Als beheerder in Active Directory maakt u verbinding met uw on-premises netwerk, opent u PowerShell en voert u de volgende acties uit:

1. Schakel de gebruiker uit in Active Directory. Raadpleeg Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Stel het wachtwoord van de gebruiker tweemaal opnieuw in in Active Directory. Raadpleeg Set-ADAccountPassword.

   Notitie

   De reden voor het tweemaal wijzigen van het wachtwoord van een gebruiker is om het risico van pass-the-hash te beperken, met name als er vertragingen zijn in on-premises wachtwoordreplicatie. Als u veilig kunt aannemen dat dit account niet is gecompromitteerd, kunt u het wachtwoord slechts één keer opnieuw instellen.

   Belangrijk

   Gebruik de voorbeeldwachtwoorden niet in de volgende cmdlets. Zorg ervoor dat u de wachtwoorden wijzigt in een willekeurige tekenreeks.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Microsoft Entra-omgeving

Als beheerder in Microsoft Entra ID opent u PowerShell, voert u PowerShell uit en voert Connect-MgGraphu de volgende acties uit:

1. Schakel de gebruiker uit in Microsoft Entra ID. Raadpleeg Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Trek de vernieuwingstokens van de Microsoft Entra-id van de gebruiker in. Raadpleeg Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Schakel de apparaten van de gebruiker uit. Raadpleeg Get-MgUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Notitie

Raadpleeg ingebouwde Microsoft Entra-rollen voor informatie over specifieke rollen die deze stappen kunnen uitvoeren

Belangrijk

Azure AD PowerShell is gepland voor afschaffing op 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Microsoft Graph PowerShell biedt toegang tot alle Microsoft Graph API's en is beschikbaar in PowerShell 7. Zie de veelgestelde vragen over migratie voor antwoorden op veelvoorkomende migratiequery's.

Wanneer de toegang wordt ingetrokken

Zodra beheerders de bovenstaande stappen hebben uitgevoerd, kan de gebruiker geen nieuwe tokens verkrijgen voor een toepassing die is gekoppeld aan Microsoft Entra-id. De verstreken tijd tussen intrekking en het verlies van hun toegang is afhankelijk van de wijze waarop de toepassing toegang verleent:

• Voor toepassingen die toegangstokens gebruiken, verliest de gebruiker de toegang wanneer het toegangstoken verloopt.

• Voor toepassingen die sessietokens gebruiken, worden de bestaande sessies beëindigd zodra het token verloopt. Als de uitgeschakelde status van de gebruiker wordt gesynchroniseerd met de toepassing, kan de toepassing de bestaande sessies van de gebruiker automatisch intrekken als deze hiervoor is geconfigureerd. De tijd die nodig is, is afhankelijk van de synchronisatiefrequentie tussen de toepassing en de Microsoft Entra-id.

Aanbevolen procedures

• Implementeer een geautomatiseerde inrichtings- en de inrichtingsoplossing. Het ongedaan maken van de inrichting van gebruikers vanuit toepassingen is een effectieve manier om toegang in te roepen, met name voor toepassingen die gebruikmaken van sessietokens. Ontwikkel een proces voor het ongedaan maken van de inrichting van gebruikers voor apps die geen ondersteuning bieden voor automatische inrichting en ongedaan maken van inrichting. Zorg ervoor dat toepassingen hun eigen sessietokens intrekken en stoppen met het accepteren van Microsoft Entra-toegangstokens, zelfs als ze nog geldig zijn.

  • Gebruik microsoft Entra SaaS-app-inrichting. Het inrichten van Microsoft Entra SaaS-apps wordt doorgaans elke 20-40 minuten automatisch uitgevoerd. Configureer Microsoft Entra-inrichting om de inrichting ongedaan te maken of uitgeschakelde gebruikers in toepassingen uit te schakelen.

  • Voor toepassingen die geen microsoft Entra SaaS App Provisioning gebruiken, gebruikt u Identity Manager (MIM) of een oplossing van derden om de inrichting van gebruikers te automatiseren.

  • Identificeer en ontwikkel een proces voor toepassingen waarvoor handmatige inrichting is vereist. Zorg ervoor dat beheerders snel de vereiste handmatige taken kunnen uitvoeren om de inrichting van de gebruiker vanuit deze apps ongedaan te maken wanneer dat nodig is.

• Beheer uw apparaten en toepassingen met Microsoft Intune. Door Intune beheerde apparaten kunnen worden teruggezet naar fabrieksinstellingen. Als het apparaat onbeheerd is, kunt u de bedrijfsgegevens wissen uit beheerde apps. Deze processen zijn effectief voor het verwijderen van mogelijk gevoelige gegevens van apparaten van eindgebruikers. Voor beide processen die moeten worden geactiveerd, moet het apparaat echter zijn verbonden met internet. Als het apparaat offline is, heeft het apparaat nog steeds toegang tot lokaal opgeslagen gegevens.

Notitie

Gegevens op het apparaat kunnen niet worden hersteld na het wissen.

• Gebruik Microsoft Defender voor Cloud Apps om het downloaden van gegevens zo nodig te blokkeren. Als de gegevens alleen online kunnen worden geopend, kunnen organisaties sessies bewaken en realtime beleids afdwingen.

• Gebruik Continuous Access Evaluation (CAE) in Microsoft Entra ID. MET CAE kunnen beheerders de sessietokens en toegangstokens intrekken voor toepassingen die geschikt zijn voor CAE.

Volgende stappen

• Beveiligde toegangsprocedures voor Microsoft Entra-beheerders
• Gebruikersprofielgegevens toevoegen of bijwerken
• Een voormalige werknemer verwijderen of verwijderen