Odwoływanie dostępu użytkownika w identyfikatorze Entra firmy Microsoft

Scenariusze, które mogą wymagać od administratora odwołania całego dostępu dla użytkownika, obejmują konta z naruszeniem zabezpieczeń, zakończenie pracy pracowników i inne zagrożenia wewnętrzne. W zależności od złożoności środowiska administratorzy mogą wykonać kilka kroków w celu zapewnienia odwołania dostępu. W niektórych scenariuszach może istnieć okres między rozpoczęciem odwoływania dostępu a efektywnym odwoływaniem dostępu.

Aby ograniczyć ryzyko, musisz zrozumieć, jak działają tokeny. Istnieje wiele rodzajów tokenów, które należą do jednego z wzorców wymienionych w poniższych sekcjach.

Tokeny dostępu i tokeny odświeżania

Tokeny dostępu i tokeny odświeżania są często używane z grubymi aplikacjami klienckimi, a także używane w aplikacjach opartych na przeglądarce, takich jak aplikacje jednostronicowe.

• Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, część firmy Microsoft Entra, zasady autoryzacji są oceniane w celu określenia, czy użytkownik może uzyskać dostęp do określonego zasobu.

• W przypadku autoryzacji identyfikator Entra firmy Microsoft wystawia token dostępu i token odświeżania zasobu.

• Tokeny dostępu wystawione przez identyfikator Entra firmy Microsoft domyślnie trwają przez 1 godzinę. Jeśli protokół uwierzytelniania zezwala, aplikacja może dyskretnie ponownie uwierzytelnić użytkownika, przekazując token odświeżania do identyfikatora Entra firmy Microsoft po wygaśnięciu tokenu dostępu.

Identyfikator Entra firmy Microsoft następnie ponownie waliduje zasady autoryzacji. Jeśli użytkownik jest nadal autoryzowany, identyfikator entra firmy Microsoft wystawia nowy token dostępu i odświeża token.

Tokeny dostępu mogą stanowić problem z zabezpieczeniami, jeśli dostęp musi zostać odwołany w czasie krótszym niż okres istnienia tokenu, który zwykle wynosi około godziny. Z tego powodu firma Microsoft aktywnie pracuje nad zapewnieniem ciągłej oceny dostępu do aplikacji usługi Office 365, co pomaga zapewnić unieważnienie tokenów dostępu niemal w czasie rzeczywistym.

Tokeny sesji (pliki cookie)

Większość aplikacji opartych na przeglądarce używa tokenów sesji zamiast tokenów dostępu i odświeżania.

• Gdy użytkownik otworzy przeglądarkę i uwierzytelnia się w aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft, użytkownik otrzymuje dwa tokeny sesji. Jeden z identyfikatorów Entra firmy Microsoft i drugi z aplikacji.

• Gdy aplikacja wystawia własny token sesji, dostęp do aplikacji podlega sesji aplikacji. W tym momencie użytkownik ma wpływ tylko na zasady autoryzacji, o których aplikacja jest świadoma.

• Zasady autoryzacji identyfikatora Entra firmy Microsoft są oceniane tak często, jak aplikacja wysyła użytkownika z powrotem do identyfikatora Entra firmy Microsoft. Ponowne ocena zwykle odbywa się w trybie dyskretnym, chociaż częstotliwość zależy od sposobu konfigurowania aplikacji. Możliwe, że aplikacja nigdy nie może wysłać użytkownika z powrotem do identyfikatora Entra firmy Microsoft, o ile token sesji jest prawidłowy.

• Aby token sesji został odwołany, aplikacja musi odwołać dostęp na podstawie własnych zasad autoryzacji. Identyfikator Entra firmy Microsoft nie może bezpośrednio odwołać tokenu sesji wystawionego przez aplikację.

Odwoływanie dostępu dla użytkownika w środowisku hybrydowym

W przypadku środowiska hybrydowego z lokalna usługa Active Directory zsynchronizowanym z identyfikatorem Entra firmy Microsoft firma Microsoft zaleca administratorom IT wykonanie następujących akcji. Jeśli masz środowisko tylko firmy Microsoft, przejdź do sekcji Środowiska Entra firmy Microsoft.

Lokalne środowisko usługi Active Directory

Jako administrator w usłudze Active Directory połącz się z siecią lokalną, otwórz program PowerShell i wykonaj następujące czynności:

1. Wyłącz użytkownika w usłudze Active Directory. Zobacz Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Zresetuj hasło użytkownika dwa razy w usłudze Active Directory. Zapoznaj się z artykułem Set-ADAccountPassword.

   Uwaga

   Przyczyną dwukrotnego zmiany hasła użytkownika jest ograniczenie ryzyka przejścia skrótu, zwłaszcza jeśli występują opóźnienia w lokalnej replikacji haseł. Jeśli możesz bezpiecznie założyć, że to konto nie zostanie naruszone, możesz zresetować hasło tylko raz.

   Ważne

   Nie używaj przykładowych haseł w następujących poleceniach cmdlet. Pamiętaj, aby zmienić hasła na losowy ciąg.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Środowisko Firmy Microsoft Entra

Jako administrator w usłudze Microsoft Entra ID otwórz program PowerShell, uruchom polecenie Connect-MgGraphi wykonaj następujące czynności:

1. Wyłącz użytkownika w identyfikatorze Entra firmy Microsoft. Zapoznaj się z artykułem Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Odwoływanie tokenów odświeżania identyfikatora entra użytkownika firmy Microsoft. Zapoznaj się z tematem Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Wyłącz urządzenia użytkownika. Zapoznaj się z tematem Get-MgUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Uwaga

Aby uzyskać informacje na temat określonych ról, które mogą wykonać te kroki, zapoznaj się z wbudowanymi rolami firmy Microsoft

Ważne

Program Azure AD PowerShell ma zostać wycofany 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Program Microsoft Graph PowerShell umożliwia dostęp do wszystkich interfejsów API programu Microsoft Graph i jest dostępny w programie PowerShell 7. Aby uzyskać odpowiedzi na typowe zapytania dotyczące migracji, zobacz Często zadawane pytania dotyczące migracji.

Po odwołaniu dostępu

Po podjęciu powyższych kroków przez administratorów użytkownik nie może uzyskać nowych tokenów dla żadnej aplikacji powiązanej z identyfikatorem Entra firmy Microsoft. Czas, który upłynął między odwołaniem a utratą dostępu przez użytkownika, zależy od tego, jak aplikacja udziela dostępu:

• W przypadku aplikacji korzystających z tokenów dostępu użytkownik traci dostęp po wygaśnięciu tokenu dostępu.

• W przypadku aplikacji korzystających z tokenów sesji istniejące sesje kończą się zaraz po wygaśnięciu tokenu. Jeśli wyłączony stan użytkownika jest synchronizowany z aplikacją, aplikacja może automatycznie odwołać istniejące sesje użytkownika, jeśli jest skonfigurowany do tego celu. Czas potrzebny na synchronizację zależy od częstotliwości synchronizacji między aplikacją a identyfikatorem Entra firmy Microsoft.

Najlepsze rozwiązania

• Wdrażanie zautomatyzowanego rozwiązania aprowizacji i anulowania aprowizacji. Anulowanie aprowizacji użytkowników z aplikacji to skuteczny sposób odwoływanie dostępu, zwłaszcza w przypadku aplikacji korzystających z tokenów sesji. Opracuj proces anulowania aprowizacji użytkowników w aplikacjach, które nie obsługują automatycznej aprowizacji i anulowania aprowizacji. Upewnij się, że aplikacje odwołują własne tokeny sesji i przestają akceptować tokeny dostępu firmy Microsoft, nawet jeśli są one nadal prawidłowe.

  • Użyj usługi Microsoft Entra SaaS App Provisioning. Aprowizacja aplikacji Microsoft Entra SaaS jest zwykle uruchamiana automatycznie co 20–40 minut. Skonfiguruj aprowizację firmy Microsoft w celu anulowania aprowizacji lub dezaktywowania wyłączonych użytkowników w aplikacjach.

  • W przypadku aplikacji, które nie korzystają z usługi Microsoft Entra SaaS App Provisioning, użyj programu Identity Manager (MIM) lub rozwiązania innej firmy, aby zautomatyzować anulowanie aprowizacji użytkowników.

  • Identyfikowanie i opracowywanie procesu dla aplikacji, które wymagają ręcznego anulowania aprowizacji. Upewnij się, że administratorzy mogą szybko uruchamiać wymagane zadania ręczne w celu anulowania aprowizacji użytkownika z tych aplikacji w razie potrzeby.

• Zarządzanie urządzeniami i aplikacjami za pomocą usługi Microsoft Intune. Urządzenia zarządzane przez usługę Intune można zresetować do ustawień fabrycznych. Jeśli urządzenie jest niezarządzane, możesz wyczyścić dane firmowe z zarządzanych aplikacji. Te procesy są skuteczne w przypadku usuwania potencjalnie poufnych danych z urządzeń użytkowników końcowych. Jednak aby można było wyzwolić dowolny proces, urządzenie musi być połączone z Internetem. Jeśli urządzenie jest w trybie offline, urządzenie nadal będzie miało dostęp do dowolnych lokalnie przechowywanych danych.

Uwaga

Nie można odzyskać danych na urządzeniu po wyczyszczeniu.

• Użyj usługi Microsoft Defender dla Chmury Apps, aby zablokować pobieranie danych w razie potrzeby. Jeśli dostęp do danych można uzyskać tylko w trybie online, organizacje mogą monitorować sesje i osiągać wymuszanie zasad w czasie rzeczywistym.

• Użyj oceny ciągłego dostępu (CAE) w identyfikatorze Entra firmy Microsoft. Funkcja CAE umożliwia administratorom odwoływanie tokenów sesji i tokenów dostępu dla aplikacji, które są w stanie obsługiwać usługę CAE.

Następne kroki

• Rozwiązania dotyczące bezpiecznego dostępu dla administratorów firmy Microsoft Entra
• Dodawanie lub aktualizowanie informacji o profilu użytkownika
• Usuwanie lub usuwanie byłego pracownika