共用方式為


撤銷 Microsoft Entra ID 中的使用者存取權

可能需要管理員撤銷使用者的所有存取權的情節包括遭盜用的帳戶、員工終止和其他內部威脅。 根據環境的複雜度而定,管理員可以採取幾個步驟,以確保存取權已撤銷。 在某些情節中,從啟動存取撤銷到有效撤銷存取權之間可能會有一段時間。

若要降低風險,您必須瞭解權杖的運作方式。 有許多類型的權杖,可分為下列各節所述的其中一種模式。

存取權杖和重新整理權杖

存取權杖和重新整理權杖經常與豐富的用戶端應用程式搭配使用,也可用於瀏覽器型應用程式,例如單一頁面應用程式。

  • 當使用者向 Microsoft Entra ID (Microsoft Entra 的一部分) 進行驗證時,系統會評估授權原則,以判斷是否可以授與使用者特定資源的存取權。

  • 如果已獲授權,Microsoft Entra ID 會簽發資源的存取權杖和重新整理權杖。

  • 依預設,Microsoft Entra ID 所簽發的存取權杖預設可持續 1 小時。 如果驗證通訊協定允許,應用程式可以在存取權杖到期時,將重新整理權杖傳遞給 Microsoft Entra ID,以無訊息方式重新驗證使用者。

Microsoft Entra ID 接著重新評估其授權原則。 如果使用者仍獲得授權,Microsoft Entra ID 會簽發新的存取權杖與重新整理權杖。

如果必須在短於權杖存留期的時間內 (通常會在一小時內) 撤銷存取權,存取權杖可能會有安全性問題。 基於這個理由,Microsoft 正積極地將持續存取評估導入 Office 365 應用程式,可協助確保存取權杖近乎即時地失效。

工作階段權杖 (cookie)

大部分的瀏覽器型應用程式會使用工作階段權杖,而不是存取和重新整理權杖。

  • 當使用者開啟瀏覽器並透過 Microsoft Entra ID 驗證應用程式時,使用者會收到兩個工作階段權杖。 一個來自 Microsoft Entra ID,另一個則來自應用程式。

  • 當應用程式簽發自己的工作階段權杖之後,應用程式的存取權就會由應用程式的工作階段進行控管。 此時,使用者只會受到應用程式所知道的授權原則影響。

  • 應用程式將使用者傳回 Microsoft Entra ID 的頻率,就跟重新評估 Microsoft Entra ID 的授權原則的頻率一樣。 重新評估通常會以無訊息模式進行,但頻率取決於應用程式的設定方式。 只要工作階段權杖有效,應用程式可能永遠不會將使用者傳回 Microsoft Entra ID。

  • 針對要撤銷的工作階段權杖,應用程式必須根據其本身的授權原則撤銷存取權。 Microsoft Entra ID 無法直接撤銷應用程式所簽發的工作階段權杖。

撤銷混合式環境中使用者的存取權

針對內部部署 Active Directory 與 Microsoft Entra ID 同步處理的混合式環境,Microsoft 建議 IT 管理員採取下列動作。 如果您擁有僅限於 Microsoft Entra 的環境,請跳至 Microsoft Entra 環境章節。

內部部署 Active Directory 環境

以 Active Directory 中的管理員身分,連接到內部部署網路、開啟 PowerShell,然後採取下列動作:

  1. 在 Active Directory 中停用使用者。 請參閱 Disable-ADAccount

    Disable-ADAccount -Identity johndoe  
    
  2. 在 Active Directory 中重設使用者的密碼兩次。 請參閱 Set-ADAccountPassword

    注意

    變更使用者密碼兩次的原因是要減輕傳遞雜湊的風險,特別是在內部部署密碼複寫延遲的情況下。 如果您可以放心地假設此帳戶不會遭到盜用,您可以只重設密碼一次。

    重要

    請勿在下列 Cmdlet 中使用範例密碼。 務必將密碼變更為隨機字串。

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Microsoft Entra 環境

以 Microsoft Entra ID 的管理員身分開啟 PowerShell,執行 Connect-MgGraph 並採取下列動作:

  1. 停用 Microsoft Entra ID 中的使用者。 請參閱 Update-MgUser

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. 撤銷使用者的 Microsoft Entra ID 重新整理權杖。 請參閱 Revoke-MgUserSignInSession

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. 停用使用者的裝置。 請參閱 Get-MgUserRegisteredDevice

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

注意

如需可執行這些步驟的特定角色資訊,請檢閱 Microsoft Entra 內建角色

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

撤銷存取權時

當管理員執行上述步驟之後,使用者就無法為任何繫結至 Microsoft Entra ID 的應用程式取得新的權杖。 撤銷和使用者遺失其存取權的已耗用時間,取決於應用程式授與存取權的方式:

  • 針對使用存取權杖的應用程式,當存取權杖到期時,使用者就會失去存取權。

  • 針對使用工作階段權杖的應用程式,現有的工作階段會在權杖到期時立即結束。 如果使用者的停用狀態已同步處理至應用程式,則應用程式可以自動撤銷使用者的現有工作階段 (如果已設定)。 花費的時間取決於應用程式與 Microsoft Entra ID 之間的同步處理頻率。

最佳作法

  • 部署自動化佈建和取消佈建解決方案。 取消佈建應用程式的使用者是撤銷存取的有效方式,特別是針對使用工作階段權杖或允許使用者直接登入的應用程式,而不需要Microsoft Entra 或 Windows Server AD 權杖。 開發一個程序,也將使用者取消佈建至不支援自動佈建和取消佈建的應用程式。 請確保應用程式會撤銷自己的工作階段權杖,並停止接受 Microsoft Entra 存取權杖,即使其仍然有效也是一樣。

  • 使用 Microsoft Intune 管理裝置和應用程式。 Intune 管理的裝置可以重設為原廠設定。 如果裝置未受管理,您可以從受管理的應用程式抹除公司資料。 這些程序能有效地從終端使用者的裝置移除可能的敏感性資料。 不過,若要觸發任一程序,裝置必須連線到網際網路。 如果裝置已離線,裝置仍可存取任何本地儲存的資料。

注意

抹除之後,無法復原裝置上的資料。

下一步