Odvolání přístupu uživatele v Microsoft Entra ID
Mezi scénáře, které můžou vyžadovat, aby správce odvolal veškerý přístup pro uživatele, zahrnují ohrožené účty, ukončení zaměstnance a další vnitřní hrozby. V závislosti na složitosti prostředí můžou správci provést několik kroků, aby se zajistilo odvolání přístupu. V některých scénářích může existovat období mezi zahájením odvolání přístupu a efektivním odvoláním přístupu.
Pokud chcete rizika zmírnit, musíte pochopit, jak tokeny fungují. Existuje mnoho druhů tokenů, které spadají do jednoho ze vzorů probíraných v tomto článku.
Přístupové tokeny a obnovovací tokeny
Přístupové tokeny a obnovovací tokeny se často používají v silných klientských aplikacích a používají se také v aplikacích založených na prohlížeči, jako jsou jednostrákové aplikace.
- Když se uživatelé ověřují v Microsoft Entra ID, což je součást Microsoft Entra, vyhodnocují se zásady autorizace, které určují, zda uživatel může získat přístup k určitému prostředku.
- Po autorizaci Microsoft Entra ID vydá token přístupu a obnovovací token pro prostředek.
- Pokud ověřovací protokol povolí, může aplikace bezobslužně znovu ověřit uživatele předáním obnovovacího tokenu do Microsoft Entra ID, když vyprší platnost přístupového tokenu. Ve výchozím nastavení trvají přístupové tokeny vydané ID Microsoft Entra po dobu 1 hodiny.
- Microsoft Entra ID pak znovu vyhodnocuje své zásady autorizace. Pokud je uživatel stále autorizovaný, Microsoft Entra ID vydá nový přístupový token a aktualizuje token.
Přístupové tokeny mohou představovat bezpečnostní riziko v případě, že je potřeba je odvolat během období kratšího než jejich typická hodinová životnost. Proto Microsoft aktivně pracuje na průběžném vyhodnocování přístupu k aplikacím Office 365, což pomáhá zajistit zneplatnění přístupových tokenů téměř v reálném čase.
Relační tokeny (soubory cookie)
Většina aplikací založených na prohlížeči používá tokeny relací místo přístupových a obnovovacích tokenů.
Když uživatel otevře prohlížeč a ověří se v aplikaci přes Microsoft Entra ID, uživatel obdrží dva tokeny relace. Jeden z Microsoft Entra ID a druhý z aplikace.
Jakmile aplikace vydá vlastní token relace, aplikace řídí přístup na základě svých zásad autorizace.
Zásady autorizace Microsoft Entra ID se přehodnocují tak často, jak aplikace odesílá uživatele zpět do Microsoft Entra ID. K opakovanému hodnocení obvykle dochází bezobslužně, i když frekvence závisí na tom, jak je aplikace nakonfigurovaná. Může se stát, že aplikace nikdy neodešle uživatele zpět do Microsoft Entra ID, dokud je token relace platný.
Aby mohl být zrušen token relace, musí aplikace zrušit přístup na základě vlastních zásad autorizace. Microsoft Entra ID nemůže přímo odvolat token relace vystavený aplikací.
Odvolání přístupu pro uživatele v hybridním prostředí
V případě hybridního prostředí s místní Active Directory synchronizovaným s ID Microsoft Entra doporučuje Microsoft, aby správci IT podnikli následující akce. Pokud máte prostředí pouze pro Microsoft Entra, přejděte do části prostředí Microsoft Entra.
Místní prostředí Active Directory
Jako správce ve službě Active Directory se připojte k místní síti, otevřete PowerShell a proveďte následující akce:
Zakažte uživatele ve službě Active Directory. Projděte si disable-ADAccount.
Disable-ADAccount -Identity johndoeResetujte heslo uživatele dvakrát ve službě Active Directory. Podívejte se na Set-ADAccountPassword.
Poznámka:
Důvodem, proč změnit heslo uživatele dvakrát, je zmírnit riziko pass-the-hash, zejména pokud dochází ke zpoždění v místní replikaci hesel. Pokud můžete bezpečně předpokládat, že tento účet není ohrožený, můžete heslo resetovat jenom jednou.
Důležité
Nepoužívejte ukázková hesla v následujících rutinách. Nezapomeňte změnit hesla na náhodný řetězec.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Prostředí Microsoft Entra
Jako správce v Microsoft Entra ID otevřete PowerShell, spusťte Connect-MgGrapha proveďte následující akce:
Zakažte uživatele v Microsoft Entra ID. Podívejte se na Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseZrušit uživatelské obnovovací tokeny Microsoft Entra ID. Viz Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdZakažte zařízení uživatele. Další informace najdete v tématu Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Poznámka:
Informace o konkrétních rolích, které můžou provést tyto kroky, najdete v tématu Předdefinované role Microsoft Entra.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci ukončení podpory. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou zaznamenat výpadky po 30. červnu 2024.
Při odvolání přístupu
Jakmile správci provede výše uvedené kroky, uživatel nemůže získat nové tokeny pro žádnou aplikaci svázanou s ID Microsoft Entra. Uplynulý čas mezi odvoláním a ztrátou přístupu uživatele závisí na tom, jak aplikace uděluje přístup:
U aplikací používajících přístupové tokeny uživatel ztratí přístup, když vyprší platnost přístupového tokenu.
U aplikací, které používají tokeny relace, končí stávající relace hned po vypršení platnosti tokenu. Pokud je zakázaný stav uživatele synchronizován s aplikací, může aplikace automaticky odvolat stávající relace uživatele, pokud je tak nakonfigurovaná. Doba trvání závisí na frekvenci synchronizace mezi aplikací a ID Microsoft Entra.
Osvědčené postupy
Nasazení řešení pro automatizované zřizování a odebrání. Odstranění uživatelů z aplikací je efektivní způsob odnětí přístupu, zejména pro aplikace, které používají session tokens nebo umožňují uživatelům přímé přihlášení bez tokenu Microsoft Entra nebo Windows Server AD. Vyvinout proces pro odebrání uživatelů do aplikací, které nepodporují automatické zřizování a odebírání. Zajistěte, aby aplikace odvolaly vlastní tokeny relace a přestaly přijímat přístupové tokeny Microsoft Entra, i když jsou stále platné.
Použijte zřizování aplikací Microsoft Entra. Obvykle se poskytování aplikací v Microsoft Entra automaticky spustí každých 20 až 40 minut. Nakonfigurujte zřizování Microsoft Entra pro zrušení nebo deaktivaci uživatelů v aplikacích SaaS a na místních serverech. Pokud jste k automatizaci rušení zřizování uživatelů z místních aplikací používali Microsoft Identity Manager , můžete pomocí zřizování aplikací Microsoft Entra spojit místní aplikace s databází SQL, adresářovým serverem mimo AD nebo jinými konektory.
U místních aplikací používajících Windows Server AD můžete nakonfigurovat pracovní postupy životního cyklu Microsoft Entra tak, aby aktualizovaly uživatele v AD (Preview), když zaměstnanci odejdou.
Identifikujte a vypracujte proces pro aplikace, které vyžadují ruční odebrání. Například automatizované vytváření lístků ServiceNow pomocí nástroje Microsoft Entra Entitlement Management může otevřít lístek, když zaměstnanci ztratí přístup. Zajistěte, aby správci a vlastníci aplikací mohli rychle spouštět požadované ruční úlohy pro odebrání uživatele z těchto aplikací, když je to potřeba.
Správa zařízení a aplikací pomocí Microsoft Intune Zařízení spravovaná pomocí Intune je možné obnovit do továrního nastavení. Pokud zařízení není spravované, můžete z spravovaných aplikací vymazat podniková data. Tyto procesy jsou účinné pro odebrání potenciálně citlivých dat ze zařízení koncových uživatelů. Aby se ale aktivoval některý z procesů, musí být zařízení připojené k internetu. Pokud je zařízení offline, stále má přístup k jakýmkoli místně uloženým datům.
Poznámka:
Data v zařízení se po vymazání nedají obnovit.
Pokud je to vhodné, použijte Microsoft Defender for Cloud Apps k blokování stahování dat. Pokud se k datům dostanete jenom online, můžou organizace monitorovat relace a vynucovat zásady v reálném čase.
Použití funkce CaE (Continuous Access Evaluation) v Microsoft Entra ID. CAE umožňuje správcům zrušit tokeny relace a přístupové tokeny pro aplikace, které jsou schopné používat CAE.