Freigeben über


Widerrufen des Benutzerzugriffs in Microsoft Entra ID

Szenarien, die einen Administrator dazu zwingen könnten, einem Benutzer jeglichen Zugriff zu entziehen, umfassen kompromittierte Konten, die Kündigung des Beschäftigungsverhältnisses und andere innerbetriebliche Bedrohungen. Je nach Komplexität der Umgebung können Administratoren mehrere Schritte unternehmen, um sicherzustellen, dass der Zugriff widerrufen wird. In einigen Szenarien kann zwischen der Einleitung des Widerrufs des Zugriffs und dem Zeitpunkt, an dem der Zugriff tatsächlich widerrufen wird, eine gewisse Zeitspanne liegen.

Um die Risiken zu entschärfen, müssen Sie verstehen, wie Token funktionieren. Es gibt viele Arten von Token, die zu einem der in diesem Artikel erläuterten Muster gehören.

Zugriffs- und Aktualisierungstoken

Zugriffs- und Aktualisierungstoken werden häufig bei umfangreichen Clientanwendungen verwendet und auch in browserbasierten Anwendungen wie Single-Page-Webanwendungen eingesetzt.

  • Wenn Benutzer sich bei Microsoft Entra ID (Teil von Microsoft Entra) authentifizieren, werden Autorisierungsrichtlinien ausgewertet, um festzustellen, ob dem Benutzer Zugriff auf eine bestimmte Ressource gewährt werden darf.
  • Nach der Autorisierung gibt Microsoft Entra ID ein Zugriffstoken und ein Aktualisierungstoken für die Ressource aus.
  • Wenn das Authentifizierungsprotokoll es zulässt, kann die App den Benutzer unbemerkt erneut authentifizieren, indem das Aktualisierungstoken an die Microsoft Entra-ID übergeben wird, wenn das Zugriffstoken abläuft. Standardmäßig dauern Zugriffstoken, die von Microsoft Entra ID ausgestellt werden, 1 Stunde.
  • Microsoft Entra ID wertet dann die Autorisierungsrichtlinien erneut aus. Wenn der Benutzer weiterhin autorisiert ist, stellt Microsoft Entra ID ein neues Zugriffstoken aus und aktualisiert dieses.

Zugriffstoken können ein Sicherheitsrisiko darstellen, wenn sie innerhalb eines Zeitraums widerrufen werden müssen, der kürzer als die typische einstündige Lebensdauer ist. Aus diesem Grund arbeitet Microsoft aktiv daran, die kontinuierliche Auswertung des Zugriffs in Office 365-Anwendungen vorzunehmen, was dazu beiträgt, die Invalidierung von Zugriffstoken nahezu in Echtzeit zu gewährleisten.

Sitzungstoken (Cookies)

Die meisten browserbasierten Anwendungen verwenden Sitzungstoken anstelle von Zugriffs- und Aktualisierungstoken.

  • Wenn ein Benutzer einen Browser öffnet und sich über Microsoft Entra ID bei einer Anwendung authentifiziert, empfängt der Benutzer zwei Sitzungstoken. Eine aus Microsoft Entra ID und eine andere aus der Anwendung.

  • Sobald die Anwendung ein eigenes Sitzungstoken ausgibt, steuert die Anwendung den Zugriff basierend auf ihren Autorisierungsrichtlinien.

  • Die Autorisierungsrichtlinien von Microsoft Entra ID werden so oft neu ausgewertet, wie die Anwendung den Benutzer zu Microsoft Entra ID zurückleitet. Die erneute Auswertung erfolgt in der Regel automatisch, obwohl die Häufigkeit von der Konfiguration der Anwendung abhängt. Es ist möglich, dass die App den Benutzer keinesfalls zu Microsoft Entra ID zurückleitet, solange das Sitzungstoken gültig ist.

  • Damit ein Sitzungstoken widerrufen werden kann, muss die Anwendung den Zugriff auf der Grundlage ihrer eigenen Autorisierungsrichtlinien widerrufen. Microsoft Entra ID kann ein von einer Anwendung ausgestelltes Sitzungstoken nicht direkt widerrufen.

Widerrufen des Zugriffs eines Benutzers in der Hybridumgebung

Für eine Hybridumgebung mit lokalem Active Directory, das mit Microsoft Entra ID synchronisiert ist, empfiehlt Microsoft IT-Administratoren, die folgenden Maßnahmen zu ergreifen. Wenn Sie über eine Microsoft Entra-only-Umgebung verfügen, fahren Sie mit dem Abschnitt Microsoft Entra-Umgebung fort.

Lokale Active Directory-Umgebung

Stellen Sie als Active Directory-Administrator eine Verbindung mit Ihrem lokalen Netzwerk her, öffnen Sie PowerShell, und führen Sie die folgenden Aktionen durch:

  1. Deaktivieren Sie den Benutzer in Active Directory. Weitere Informationen finden Sie unter Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Setzen Sie das Kennwort des Benutzers in Active Directory zweimal zurück. Weitere Informationen finden Sie unter Set-ADAccountPassword.

    Hinweis

    Der Grund für das zweimalige Ändern des Kennworts eines Benutzers besteht darin, das Pass-the-Hash-Risiko zu verringern, insbesondere wenn es zu Verzögerungen bei der Replikation des lokalen Kennworts kommt. Wenn Sie sicher davon ausgehen können, dass dieses Konto nicht kompromittiert ist, genügt es, das Kennwort nur einmal zurückzusetzen.

    Wichtig

    Verwenden Sie die Beispielkennwörter nicht in den folgenden Cmdlets. Stellen Sie sicher, dass Sie die Kennwörter in eine Zufallszeichenfolge ändern.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Microsoft Entra-Umgebung

Öffnen Sie als Microsoft Entra ID-Administrator PowerShell. Führen Sie dann Connect-MgGraph und die folgenden Aktionen aus:

  1. Deaktivieren Sie den Benutzer in Microsoft Entra ID. Weitere Informationen finden Sie unter Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Widerrufen Sie die Microsoft Entra ID-Aktualisierungstoken des Benutzers. Weitere Informationen finden Sie unter Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Deaktivieren Sie die Geräte des Benutzers. Weitere Informationen finden Sie unter Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Hinweis

Informationen zu bestimmten Rollen, welche diese Schritte ausführen können, finden Sie unter Integrierte Microsoft Entra-Rollen

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Wann der Zugriff widerrufen wird

Sobald Administratoren die oben genannten Schritte ausführen, kann der Benutzer keine neuen Token für eine Anwendung erhalten, die an microsoft Entra-ID gebunden ist. Die Zeit, die zwischen dem Widerruf und dem Entzug des Zugriffs durch den Benutzer vergeht, hängt davon ab, wie die Anwendung Zugriff gewährt:

  • Bei Anwendungen, die Zugriffstoken verwenden, verliert der Benutzer den Zugriff, wenn das Zugriffstoken abläuft.

  • Bei Anwendungen, in denen Sitzungstoken verwendet werden, enden die bestehenden Sitzungen, sobald das Token abläuft. Wenn der deaktivierte Zustand des Benutzers mit der Anwendung synchronisiert ist, kann die Anwendung die bestehenden Sitzungen des Benutzers automatisch widerrufen, sofern sie entsprechend konfiguriert ist. Die Zeitspanne hängt von der Häufigkeit der Synchronisierung zwischen Anwendung und Microsoft Entra ID ab.

Bewährte Methoden

  • Stellen Sie eine automatisierte Lösung für Bereitstellung und Aufhebung bereit. Das Aufheben der Bereitstellung von Benutzern in Anwendungen ist eine effektive Möglichkeit zum Widerrufen des Zugriffs, insbesondere für Anwendungen, die Sitzungstoken verwenden oder es Benutzern erlauben, sich direkt ohne ein Microsoft Entra- oder Windows Server AD-Token anzumelden. Entwickeln Sie einen Prozess, um die Bereitstellung von Benutzern auch in Apps aufzuheben, die keine automatische Bereitstellung und Aufhebung der Bereitstellung unterstützen. Stellen Sie sicher, dass Anwendungen ihre eigenen Sitzungstoken widerrufen und keine Microsoft Entra-Zugriffstoken akzeptieren, auch wenn diese noch gültig sind.

  • Verwalten Sie Geräte und Anwendungen mit Microsoft Intune. Mit Intune verwaltete Geräte können auf die Werkseinstellungen zurückgesetzt werden. Wenn das Gerät nicht verwaltet wird, können Sie Unternehmensdaten aus verwalteten Apps löschen. Diese Prozesse sind effektiv, um potenziell vertrauliche Daten von Endbenutzergeräten zu entfernen. Allerdings muss das Gerät mit dem Internet verbunden sein, damit diese Prozesse ausgelöst werden können. Wenn das Gerät offline ist, hat es weiterhin Zugriff auf lokal gespeicherte Daten.

Hinweis

Daten auf dem Gerät können nach dem Zurücksetzen nicht wiederhergestellt werden.

Nächste Schritte