Microsoft Entra Id'de kullanıcı erişimini iptal etme

Yöneticinin bir kullanıcı için tüm erişimi iptal etmelerini gerektirebilecek senaryolar arasında güvenliği aşılmış hesaplar, çalışan sonlandırması ve diğer şirket içi tehditler yer alır. Ortamın karmaşıklığına bağlı olarak, yöneticiler erişimin iptal edilmesini sağlamak için birkaç adım atabilir. Bazı senaryolarda, erişim iptalinin başlatılması ile erişimin etkin bir şekilde iptal edilmesi arasında bir süre olabilir.

Riskleri azaltmak için belirteçlerin nasıl çalıştığını anlamanız gerekir. Bu makalede ele alınan desenlerden birine giren birçok belirteç türü vardır.

Belirteçlere erişme ve belirteçleri yenileme

Erişim belirteçleri ve yenileme belirteçleri sık sık kalın istemci uygulamalarıyla kullanılır ve tek sayfalı uygulamalar gibi tarayıcı tabanlı uygulamalarda da kullanılır.

• Kullanıcılar, Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de kimlik doğrulaması yaparken, kullanıcıya belirli bir kaynağa erişim verilip verilebileceğini belirlemek için yetkilendirme ilkeleri değerlendirilir.
• Yetkilendirildikten sonra, Microsoft Entra Id kaynak için bir erişim belirteci ve yenileme belirteci verir.
• Kimlik doğrulama protokolü izin veriyorsa uygulama, erişim belirtecinin süresi dolduğunda yenileme belirtecini Microsoft Entra Kimliği'ne geçirerek kullanıcının kimliğini sessizce yeniden doğrulayabilir. Varsayılan olarak, Microsoft Entra Id tarafından verilen erişim belirteçleri 1 saat sürer.
• Microsoft Entra Id daha sonra yetkilendirme ilkelerini yeniden değerlendirir. Kullanıcı hala yetkiliyse, Microsoft Entra ID yeni bir erişim belirteci verir ve belirteci yeniler.

Erişim belirteçleri, tipik bir saatlik kullanım ömründen daha kısa bir süre içinde iptal edilmeleri gerekiyorsa güvenlik riski doğurabilir. Bu nedenle Microsoft, Office 365 uygulamalarına sürekli erişim değerlendirmesi getirmek için etkin bir şekilde çalışmaktadır ve bu da erişim belirteçlerinin neredeyse gerçek zamanlı olarak geçersiz kılınmasını sağlamaya yardımcı olur.

Oturum belirteçleri (tanımlama bilgileri)

Tarayıcı tabanlı uygulamaların çoğu erişim ve yenileme belirteçleri yerine oturum belirteçlerini kullanır.

• Bir kullanıcı bir tarayıcıyı açtığında ve Microsoft Entra Id aracılığıyla bir uygulamada kimlik doğrulaması yaptığınızda, kullanıcı iki oturum belirteci alır. Biri Microsoft Entra Id'den, diğeri de uygulamadan.

• Uygulama kendi oturum belirtecini verdikten sonra, yetkilendirme ilkelerine göre erişimi denetler.

• Microsoft Entra Id yetkilendirme ilkeleri, uygulama kullanıcıyı Microsoft Entra Id'ye geri gönderdiği sıklıkta yeniden değerlendirilir. Yeniden değerlendirme genellikle sessizce gerçekleşir, ancak sıklık uygulamanın nasıl yapılandırıldığına bağlıdır. Oturum belirteci geçerli olduğu sürece uygulama kullanıcıyı Microsoft Entra Id'ye geri göndermeyebilir.

• Bir oturum belirtecinin iptal edilmesi için uygulamanın kendi yetkilendirme ilkelerine göre erişimi iptal etmesi gerekir. Microsoft Entra ID, bir uygulama tarafından verilen oturum belirtecini doğrudan iptal edemez.

Karma ortamdaki bir kullanıcının erişimini iptal etme

Microsoft Entra ID ile eşitlenmiş şirket içi Active Directory olan karma bir ortam için Microsoft, BT yöneticilerinin aşağıdaki eylemleri gerçekleştirmesini önerir. Yalnızca Microsoft Entra ortamınız varsa Microsoft Entra ortamı bölümüne atlayın.

Şirket içi Active Directory ortamı

Active Directory'de yönetici olarak şirket içi ağınıza bağlanın, PowerShell'i açın ve aşağıdaki eylemleri gerçekleştirin:

1. Active Directory'de kullanıcıyı devre dışı bırakın. Disable-ADAccount bölümüne bakın.

   Disable-ADAccount -Identity johndoe  
   

2. Active Directory'de kullanıcının parolasını iki kez sıfırlayın. Bkz. Set-ADAccountPassword.

   Not

   Bir kullanıcının parolasını iki kez değiştirmenin nedeni, özellikle şirket içi parola çoğaltmada gecikmeler varsa karmayı geçirme riskini azaltmaktır. Bu hesabın gizliliğinin tehlikeye girmediğini güvenle varsayabilirseniz parolayı yalnızca bir kez sıfırlayabilirsiniz.

   Önemli

   Aşağıdaki cmdlet'lerde örnek parolaları kullanmayın. Parolaları rastgele bir dizeyle değiştirdiğinizden emin olun.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Microsoft Entra ortamı

Microsoft Entra ID'de yönetici olarak PowerShell'i açın, komutunu çalıştırın Connect-MgGraphve aşağıdaki eylemleri gerçekleştirin:

1. Kullanıcıyı Microsoft Entra Id'de devre dışı bırakın. Bkz. Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Kullanıcının Microsoft Entra Id yenileme belirteçlerini iptal edin. Revoke-MgUserSignInSession bölümüne bakın.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Kullanıcının cihazlarını devre dışı bırakın. Get-MgUserRegisteredDevice öğesine bakın.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Not

Bu adımları gerçekleştirebilecek belirli roller hakkında bilgi için Microsoft Entra yerleşik rollerini gözden geçirin

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Erişim iptal edildiğinde

Yöneticiler yukarıdaki adımları uyguladığında, kullanıcı Microsoft Entra Kimliği'ne bağlı herhangi bir uygulama için yeni belirteçler kazanamaz. İptal ile kullanıcının erişimini kaybetmesi arasındaki geçen süre, uygulamanın erişim izni verme şekline bağlıdır:

• Erişim belirteçleri kullanan uygulamalar için, erişim belirtecinin süresi dolduğunda kullanıcı erişimi kaybeder.

• Oturum belirteçleri kullanan uygulamalar için mevcut oturumlar, belirtecin süresi dolduğunda biter. Kullanıcının devre dışı durumu uygulamayla eşitlenmişse, uygulama bunu yapacak şekilde yapılandırılmışsa kullanıcının mevcut oturumlarını otomatik olarak iptal edebilir. Bu süre, uygulama ile Microsoft Entra Id arasındaki eşitleme sıklığına bağlıdır.

En iyi yöntemler

• Otomatik sağlama ve sağlamayı kaldırma çözümü dağıtma. Kullanıcıların erişimini uygulamalardan iptal etmek, özellikle belirteçlerle oturum açma işlemi gerçekleştiren veya kullanıcıların Microsoft Entra veya Windows Server AD simgesi olmadan doğrudan oturum açılmasına olanak tanıyan uygulamalar için erişimi iptal etmenin etkili bir yoludur. Otomatik sağlama ve kaldırmayı desteklemeyen uygulamalardaki kullanıcıların erişimini kaldırmaya yönelik bir süreç geliştirin. Uygulamaların kendi oturum belirteçlerini iptal etmelerini ve hala geçerli olsalar bile Microsoft Entra erişim belirteçlerini kabul etmeyi durdurmalarını sağlayın.

  • Microsoft Entra uygulama sağlamasını kullanın. Microsoft Entra uygulaması sağlama genellikle 20-40 dakikada bir otomatik olarak gerçekleşir. Microsoft Entra sağlamayı SaaS ve şirket içi uygulamalarda kullanıcıların sağlamasını iptal etmek veya devre dışı bırakmak için yapılandırın. Eğer kullanıcıların yerleşik uygulamalardan kaldırılmasını otomatikleştirmek için Microsoft Identity Manager kullanıyorsanız, bir SQL veritabanı, AD dışı dizin sunucusu veya diğer bağlayıcılarla yerleşik uygulamalara ulaşmak için Microsoft Entra uygulama sağlama özelliğini kullanabilirsiniz.

  • Windows Server AD kullanan şirket içi uygulamalar için Microsoft Entra Yaşam Döngüsü İş Akışlarını, çalışanlar ayrıldığında AD'deki (önizleme) kullanıcıları güncelleştirecek şekilde yapılandırabilirsiniz.

  • Manuel hizmet dışı bırakma gerektiren uygulamalar için bir süreç belirleyin ve geliştirin. Örneğin, Microsoft Entra Yetkilendirme Yönetimi ile otomatik ServiceNow bilet oluşturma işlemi, çalışanlar erişimi kaybettiğinde bir bilet açabilir. Yöneticilerin ve uygulama sahiplerinin, gerektiğinde kullanıcıyı bu uygulamalardan kaldırmak için gerekli el ile görevleri hızla çalıştırabileceklerinden emin olun.

• Microsoft Intune ile cihazlarınızı ve uygulamalarınızı yönetin. Intune tarafından yönetilen cihazlar fabrika ayarlarına sıfırlanabilir. Cihaz yönetilmezse, yönetilen uygulamalardan şirket verilerini silebilirsiniz. Bu işlemler, hassas olabilecek verileri son kullanıcıların cihazlarından kaldırmak için etkilidir. Ancak her iki işlemin de tetiklenebilmesi için cihazın İnternet'e bağlı olması gerekir. Cihaz çevrimdışıysa, yerel olarak depolanan verilere erişmeye devam eder.

Not

Temizleme sonrasında cihazdaki veriler kurtarılamaz.

• Uygun olduğunda veri indirmeyi engellemek için Bulut için Microsoft Defender Uygulamalarını kullanın. Verilere yalnızca çevrimiçi olarak erişilebiliyorsa, kuruluşlar oturumları izleyebilir ve gerçek zamanlı ilke uygulama elde edebilir.

• Microsoft Entra Id'de Sürekli Erişim Değerlendirmesi 'ni (CAE) kullanın. CAE, yöneticilerin CAE özellikli uygulamalar için oturum belirteçlerini ve erişim belirteçlerini iptal etmesine olanak tanır.

Sonraki adımlar

• Microsoft Entra yöneticileri için güvenli erişim uygulamaları
• Kullanıcı profili bilgilerini ekleme veya güncelleştirme
• Eski çalışanı kaldırma veya silme