Отмена доступа пользователей в идентификаторе Microsoft Entra
К сценариям, которые могут требовать, чтобы администратор отозвал все права доступа пользователя, относятся компрометация учетных записей, увольнение сотрудников и другие внутренние угрозы. В зависимости от уровня сложности рабочей среды администраторы могут применить ряд действий, чтобы гарантировать отзыв доступа. В некоторых сценариях может присутствовать промежуток времени между инициацией отзыва доступа и фактическим отзывом доступа.
Для снижения рисков необходимо понимать, как работают маркеры. Существуют разные виды маркеров, которые относятся к одному из видов, описанных в следующих разделах.
Маркеры доступа и маркеры обновления
Маркеры доступа и маркеры обновления часто используют с полнофункциональными клиентскими приложениями, а также в приложениях на основе браузеров, включая, например, одностраничные приложения.
Когда пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, часть Microsoft Entra, политики авторизации оцениваются, чтобы определить, может ли пользователь получить доступ к определенному ресурсу.
Если это разрешено, идентификатор Microsoft Entra выдает маркер доступа и маркер обновления для ресурса.
Маркеры доступа, выданные идентификатором Microsoft Entra ID по умолчанию, длились 1 час. Если протокол проверки подлинности разрешен, приложение может автоматически повторно выполнить проверку подлинности пользователя, передав маркер обновления идентификатору Microsoft Entra при истечении срока действия маркера доступа.
Затем идентификатор Microsoft Entra повторно вычисляет свои политики авторизации. Если пользователь по-прежнему авторизован, идентификатор Microsoft Entra выдает новый маркер доступа и обновляет маркер.
Маркеры доступа могут создавать проблему безопасности, если доступ должен быть отозван через промежуток времени, меньший чем время существования маркера, обычно составляющее около часа. По этой причине корпорация Майкрософт активно работает над внедрением непрерывной оценки доступа к приложениям Office 365, что помогает обеспечить недействительность маркеров доступа практически в реальном времени.
Маркеры сеансов (файлы cookie)
Большинство приложений на основе браузеров используют маркеры сеансов вместо маркеров доступа и обновления.
Когда пользователь открывает браузер и проходит проверку подлинности в приложении с помощью идентификатора Microsoft Entra, пользователь получает два маркера сеанса. Один из идентификатора Microsoft Entra и другого из приложения.
Когда приложение выдает собственный маркер сеанса, доступ к приложению контролируется сеансом приложения. На этом этапе на пользователя распространяются только те политики авторизации, о которых известно приложению.
Политики авторизации идентификатора Microsoft Entra переоценены так часто, как приложение отправляет пользователя обратно в идентификатор Microsoft Entra. Как правило, переоценка происходит автоматически, а частота зависит от настроек приложения. Возможно, что приложение никогда не отправляет пользователя обратно в идентификатор Microsoft Entra, пока маркер сеанса действителен.
Чтобы маркер сеанса был отозван, приложение должно отозвать доступ на основе собственных политик авторизации. Идентификатор Microsoft Entra не может напрямую отозвать маркер сеанса, выданный приложением.
Отзыв доступа пользователя в гибридной среде
Для гибридной среды с локальная служба Active Directory синхронизирована с идентификатором Microsoft Entra, корпорация Майкрософт рекомендует ИТ-администраторам выполнить следующие действия. Если у вас есть среда только для Microsoft Entra, перейдите к разделу среды Microsoft Entra.
Рабочая среда локальной службы Active Directory
В качестве администратора Active Directory подключитесь к локальной сети, откройте PowerShell и выполните следующие действия.
Отключите пользователя в Active Directory. Обратитесь к Disable-ADAccount.
Disable-ADAccount -Identity johndoeДважды сбросьте пароль пользователя в Active Directory. Обратитесь к Set-ADAccountPassword.
Примечание.
Двукратное изменение пароля пользователя обеспечивает снижение риска атаки Pass-the-Hash, особенно при наличии задержек локальной репликации паролей. Если можно безопасно предположить, что данная учетная запись не скомпрометирована, допускается сбросить пароль только один раз.
Внимание
Не используйте примеры паролей в нижеуказанных командлетах. Обязательно измените пароли на случайные строки.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Среда Microsoft Entra
Как администратор в идентификаторе Microsoft Entra, откройте PowerShell, запустите Connect-MgGraphи выполните следующие действия:
Отключите пользователя в идентификаторе Microsoft Entra. См. раздел Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseОтмените маркеры обновления идентификатора пользователя Microsoft Entra. Обратитесь к Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdОтключите устройства пользователя. См. раздел Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Примечание.
Дополнительные сведения о конкретных ролях, которые могут выполнять эти действия, см . в встроенных ролях Microsoft Entra
Внимание
Azure AD PowerShell планируется на 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Microsoft Graph PowerShell разрешает доступ ко всем API Microsoft Graph и доступен в PowerShell 7. Ответы на распространенные запросы миграции см. в разделе "Вопросы и ответы о миграции".
Когда отзывается доступ
После выполнения описанных выше действий администраторы не могут получить новые маркеры для любого приложения, привязанного к идентификатору Microsoft Entra. Промежуток времени с момента отзыва до момента потери доступа зависит от того, каким образом приложение предоставляет доступ.
В случае приложений, использующих маркеры доступа, пользователь теряет доступ после истечения срока действия маркера доступа.
В случае приложений, использующих маркеры сеанса, существующие сеансы завершаются, как только истекает срок действия маркера. Если отключенное состояние пользователя синхронизируется с приложением, приложение может автоматически отменить существующие сеансы пользователя, если оно настроено для выполнения этого действия. Время, которое требуется, зависит от частоты синхронизации между приложением и идентификатором Microsoft Entra.
Рекомендации
Разверните автоматизированное решение по подготовке и отзыву. Отзыв пользователей из приложений — эффективный способ отзыва доступа, особенно для приложений, использующих маркеры сеансов. Разработайте процесс отзыва доступа пользователей к приложениям, которые не поддерживают автоматическую подготовку и отзыв. Убедитесь, что приложения отменяют собственные маркеры сеанса и перестают принимать маркеры доступа Microsoft Entra, даже если они по-прежнему действительны.
Используйте подготовку приложений SaaS в Microsoft Entra. Подготовка приложений Microsoft Entra SaaS обычно выполняется автоматически каждые 20–40 минут. Настройте подготовку Microsoft Entra для отмены или отключения отключенных пользователей в приложениях.
Для приложений, которые не используют подготовку приложений Microsoft Entra SaaS, используйте Диспетчер удостоверений (MIM) или стороннее решение для автоматизации отмены подготовки пользователей.
Определите и разработайте процесс для приложений, в которых требуется отзыв вручную. Обеспечьте, чтобы администраторы могли быстро выполнить необходимые задачи вручную, чтобы при необходимости отозвать пользователя из таких приложений.
Управление устройствами и приложениями с помощью Microsoft Intune. Устройства под управлением Intune можно сбросить до заводских настроек. Если устройство является неуправляемым, можно удалить корпоративные данные из управляемых приложений. Эти процессы эффективны для удаления потенциально конфиденциальных данных с устройств конечных пользователей. Однако для запуска любого из процессов устройство должно быть подключено к Интернету. Если устройство находится в режиме автономной работы, оно по-прежнему будет иметь доступ к любым локальным хранящимся данным.
Примечание.
После очистки восстановить данные на устройстве невозможно.
При необходимости используйте Microsoft Defender for Cloud Apps для блокировки скачивания данных. Если доступ к данным возможен только через Интернет, организации могут отслеживать сеансы и обеспечить применение политик в режиме реального времени.
Используйте оценку непрерывного доступа (CAE) в идентификаторе Microsoft Entra. CAE дает администраторам возможность отзывать маркеры сеанса и маркеры доступа для приложений, которые поддерживают CAE.