Odwoływanie dostępu użytkownika w identyfikatorze Entra firmy Microsoft
Scenariusze, które mogą wymagać od administratora odwołania całego dostępu dla użytkownika, obejmują konta z naruszeniem zabezpieczeń, zakończenie pracy pracowników i inne zagrożenia wewnętrzne. W zależności od złożoności środowiska administratorzy mogą wykonać kilka kroków w celu zapewnienia odwołania dostępu. W niektórych scenariuszach może istnieć okres między rozpoczęciem odwoływania dostępu a efektywnym odwoływaniem dostępu.
Aby ograniczyć ryzyko, musisz zrozumieć, jak działają tokeny. Istnieje wiele rodzajów tokenów, które należą do jednego z wzorców wymienionych w poniższych sekcjach.
Tokeny dostępu i tokeny odświeżania
Tokeny dostępu i tokeny odświeżania są często używane z grubymi aplikacjami klienckimi, a także używane w aplikacjach opartych na przeglądarce, takich jak aplikacje jednostronicowe.
Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, część firmy Microsoft Entra, zasady autoryzacji są oceniane w celu określenia, czy użytkownik może uzyskać dostęp do określonego zasobu.
W przypadku autoryzacji identyfikator Entra firmy Microsoft wystawia token dostępu i token odświeżania zasobu.
Tokeny dostępu wystawione przez identyfikator Entra firmy Microsoft domyślnie trwają przez 1 godzinę. Jeśli protokół uwierzytelniania zezwala, aplikacja może dyskretnie ponownie uwierzytelnić użytkownika, przekazując token odświeżania do identyfikatora Entra firmy Microsoft po wygaśnięciu tokenu dostępu.
Identyfikator Entra firmy Microsoft następnie ponownie waliduje zasady autoryzacji. Jeśli użytkownik jest nadal autoryzowany, identyfikator entra firmy Microsoft wystawia nowy token dostępu i odświeża token.
Tokeny dostępu mogą stanowić problem z zabezpieczeniami, jeśli dostęp musi zostać odwołany w czasie krótszym niż okres istnienia tokenu, który zwykle wynosi około godziny. Z tego powodu firma Microsoft aktywnie pracuje nad zapewnieniem ciągłej oceny dostępu do aplikacji usługi Office 365, co pomaga zapewnić unieważnienie tokenów dostępu niemal w czasie rzeczywistym.
Tokeny sesji (pliki cookie)
Większość aplikacji opartych na przeglądarce używa tokenów sesji zamiast tokenów dostępu i odświeżania.
Gdy użytkownik otworzy przeglądarkę i uwierzytelnia się w aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft, użytkownik otrzymuje dwa tokeny sesji. Jeden z identyfikatorów Entra firmy Microsoft i drugi z aplikacji.
Gdy aplikacja wystawia własny token sesji, dostęp do aplikacji podlega sesji aplikacji. W tym momencie użytkownik ma wpływ tylko na zasady autoryzacji, o których aplikacja jest świadoma.
Zasady autoryzacji identyfikatora Entra firmy Microsoft są oceniane tak często, jak aplikacja wysyła użytkownika z powrotem do identyfikatora Entra firmy Microsoft. Ponowne ocena zwykle odbywa się w trybie dyskretnym, chociaż częstotliwość zależy od sposobu konfigurowania aplikacji. Możliwe, że aplikacja nigdy nie może wysłać użytkownika z powrotem do identyfikatora Entra firmy Microsoft, o ile token sesji jest prawidłowy.
Aby token sesji został odwołany, aplikacja musi odwołać dostęp na podstawie własnych zasad autoryzacji. Identyfikator Entra firmy Microsoft nie może bezpośrednio odwołać tokenu sesji wystawionego przez aplikację.
Odwoływanie dostępu dla użytkownika w środowisku hybrydowym
W przypadku środowiska hybrydowego z lokalna usługa Active Directory zsynchronizowanym z identyfikatorem Entra firmy Microsoft firma Microsoft zaleca administratorom IT wykonanie następujących akcji. Jeśli masz środowisko tylko firmy Microsoft, przejdź do sekcji Środowisko Firmy Microsoft Entra.
Lokalne środowisko usługi Active Directory
Jako administrator w usłudze Active Directory połącz się z siecią lokalną, otwórz program PowerShell i wykonaj następujące czynności:
Wyłącz użytkownika w usłudze Active Directory. Zobacz Disable-ADAccount.
Disable-ADAccount -Identity johndoeZresetuj hasło użytkownika dwa razy w usłudze Active Directory. Zapoznaj się z artykułem Set-ADAccountPassword.
Uwaga
Przyczyną dwukrotnego zmiany hasła użytkownika jest ograniczenie ryzyka przejścia skrótu, zwłaszcza jeśli występują opóźnienia w lokalnej replikacji haseł. Jeśli możesz bezpiecznie założyć, że to konto nie zostanie naruszone, możesz zresetować hasło tylko raz.
Ważne
Nie używaj przykładowych haseł w następujących poleceniach cmdlet. Pamiętaj, aby zmienić hasła na losowy ciąg.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Środowisko Firmy Microsoft Entra
Jako administrator w usłudze Microsoft Entra ID otwórz program PowerShell, uruchom polecenie Connect-MgGraphi wykonaj następujące czynności:
Wyłącz użytkownika w identyfikatorze Entra firmy Microsoft. Zapoznaj się z artykułem Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseOdwoływanie tokenów odświeżania identyfikatora entra użytkownika firmy Microsoft. Zapoznaj się z tematem Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdWyłącz urządzenia użytkownika. Zapoznaj się z tematem Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Uwaga
Aby uzyskać informacje na temat określonych ról, które mogą wykonać te kroki, zapoznaj się z wbudowanymi rolami firmy Microsoft
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Po odwołaniu dostępu
Po podjęciu powyższych kroków przez administratorów użytkownik nie może uzyskać nowych tokenów dla żadnej aplikacji powiązanej z identyfikatorem Entra firmy Microsoft. Czas, który upłynął między odwołaniem a utratą dostępu przez użytkownika, zależy od tego, jak aplikacja udziela dostępu:
W przypadku aplikacji korzystających z tokenów dostępu użytkownik traci dostęp po wygaśnięciu tokenu dostępu.
W przypadku aplikacji korzystających z tokenów sesji istniejące sesje kończą się zaraz po wygaśnięciu tokenu. Jeśli wyłączony stan użytkownika jest synchronizowany z aplikacją, aplikacja może automatycznie odwołać istniejące sesje użytkownika, jeśli jest skonfigurowany do tego celu. Czas potrzebny na synchronizację zależy od częstotliwości synchronizacji między aplikacją a identyfikatorem Entra firmy Microsoft.
Najlepsze rozwiązania
Wdrażanie zautomatyzowanego rozwiązania aprowizacji i anulowania aprowizacji. Anulowanie aprowizacji użytkowników z aplikacji to skuteczny sposób odwoływanie dostępu, zwłaszcza w przypadku aplikacji korzystających z tokenów sesji lub zezwalających użytkownikom na logowanie się bezpośrednio bez tokenu usługi AD firmy Microsoft lub Windows Server. Opracuj proces anulowania aprowizacji użytkowników w aplikacjach, które nie obsługują automatycznej aprowizacji i anulowania aprowizacji. Upewnij się, że aplikacje odwołują własne tokeny sesji i przestają akceptować tokeny dostępu firmy Microsoft, nawet jeśli są one nadal prawidłowe.
Użyj aprowizacji aplikacji Microsoft Entra. Aprowizowanie aplikacji Firmy Microsoft Entra jest zwykle uruchamiane automatycznie co 20–40 minut. Skonfiguruj aprowizację firmy Microsoft w celu anulowania aprowizacji lub dezaktywowania użytkowników w aplikacjach SaaS i lokalnych. Jeśli używasz programu Microsoft Identity Manager do automatyzowania anulowania aprowizacji użytkowników z aplikacji lokalnych, możesz użyć aprowizacji aplikacji Firmy Microsoft Entra, aby uzyskać dostęp do aplikacji lokalnych za pomocą bazy danych SQL, serwera katalogowego innego niż AD lub innych łączników.
W przypadku aplikacji lokalnych korzystających z usługi AD systemu Windows Server można skonfigurować przepływy pracy cyklu życia firmy Microsoft, aby aktualizować użytkowników w usłudze AD (wersja zapoznawcza) po opuszczeniu pracowników.
Zidentyfikuj i opracuj proces dla aplikacji wymagających ręcznego anulowania aprowizacji, takich jak automatyczne tworzenie biletu usługi ServiceNow za pomocą usługi Microsoft Entra Entitlement Management , aby otworzyć bilet, gdy pracownicy utracą dostęp. Upewnij się, że administratorzy i właściciele aplikacji mogą szybko uruchamiać wymagane zadania ręczne w celu anulowania aprowizacji użytkownika z tych aplikacji w razie potrzeby.
Zarządzanie urządzeniami i aplikacjami za pomocą usługi Microsoft Intune. Urządzenia zarządzane przez usługę Intune można zresetować do ustawień fabrycznych. Jeśli urządzenie jest niezarządzane, możesz wyczyścić dane firmowe z zarządzanych aplikacji. Te procesy są skuteczne w przypadku usuwania potencjalnie poufnych danych z urządzeń użytkowników końcowych. Jednak aby można było wyzwolić dowolny proces, urządzenie musi być połączone z Internetem. Jeśli urządzenie jest w trybie offline, urządzenie nadal będzie miało dostęp do dowolnych lokalnie przechowywanych danych.
Uwaga
Nie można odzyskać danych na urządzeniu po wyczyszczeniu.
Użyj usługi Microsoft Defender dla Chmury Apps, aby zablokować pobieranie danych w razie potrzeby. Jeśli dostęp do danych można uzyskać tylko w trybie online, organizacje mogą monitorować sesje i osiągać wymuszanie zasad w czasie rzeczywistym.
Użyj oceny ciągłego dostępu (CAE) w identyfikatorze Entra firmy Microsoft. Funkcja CAE umożliwia administratorom odwoływanie tokenów sesji i tokenów dostępu dla aplikacji, które są w stanie obsługiwać usługę CAE.