Revocare l'accesso utente in Microsoft Entra ID
Gli scenari che potrebbero richiedere a un amministratore di revocare tutti gli accessi per un utente includono account compromessi, terminazione dei dipendenti e altre minacce interne. A seconda della complessità dell'ambiente, gli amministratori possono eseguire diversi passaggi per garantire che l'accesso venga revocato. In alcuni scenari potrebbe verificarsi un periodo tra l'avvio della revoca dell'accesso e il momento in cui l'accesso viene effettivamente revocato.
Per attenuare i rischi, è necessario comprendere il funzionamento dei token. Esistono molti tipi di token, che rientrano in uno dei modelli descritti in questo articolo.
Token di accesso e token di aggiornamento
I token di accesso e i token di aggiornamento vengono spesso usati con applicazioni client spesse e usate anche in applicazioni basate su browser, ad esempio app a pagina singola.
- Quando gli utenti eseguono l'autenticazione in Microsoft Entra ID, parte di Microsoft Entra, i criteri di autorizzazione vengono valutati per determinare se all'utente può essere concesso l'accesso a una risorsa specifica.
- Dopo l'autorizzazione, Microsoft Entra ID rilascia un token di accesso e un token di aggiornamento per la risorsa.
- Se il protocollo di autenticazione lo consente, l'app può ri-autenticare silenziosamente l'utente passando il token di aggiornamento all'ID Microsoft Entra quando il token di accesso scade. Per impostazione predefinita, i token di accesso rilasciati da Microsoft Entra ID durano 1 ora.
- Microsoft Entra ID quindi rivaluta i criteri di autorizzazione. Se l'utente è ancora autorizzato, Microsoft Entra ID rilascia un nuovo token di accesso e aggiorna il token.
I token di accesso possono comportare un rischio per la sicurezza se devono essere revocati entro un periodo più breve rispetto alla durata tipica di un'ora. Per questo motivo, Microsoft sta lavorando attivamente per portare la valutazione continua dell'accesso alle applicazioni di Office 365, che consente di garantire l'invalidazione dei token di accesso quasi in tempo reale.
Token di sessione (cookie)
La maggior parte delle applicazioni basate su browser usa token di sessione anziché token di accesso e aggiornamento.
Quando un utente apre un browser ed esegue l'autenticazione a un'applicazione tramite Microsoft Entra ID, l'utente riceve due token di sessione. Uno da Microsoft Entra ID e un altro dall'applicazione.
Dopo che l'applicazione rilascia il proprio token di sessione, l'applicazione controlla l'accesso in base ai criteri di autorizzazione.
I criteri di autorizzazione di Microsoft Entra ID vengono rivalutati come spesso l'applicazione invia l'utente all'ID Microsoft Entra. La rivalutazione in genere avviene in modo invisibile all'utente, anche se la frequenza dipende dalla modalità di configurazione dell'applicazione. È possibile che l'app non invii mai l'utente all'ID Microsoft Entra, purché il token di sessione sia valido.
Per revocare un token di sessione, l'applicazione deve revocare l'accesso in base ai propri criteri di autorizzazione. Microsoft Entra ID non può revocare direttamente un token di sessione rilasciato da un'applicazione.
Revocare l'accesso per un utente nell'ambiente ibrido
Per un ambiente ibrido con Active Directory locale sincronizzato con Microsoft Entra ID, Microsoft consiglia agli amministratori IT di eseguire le azioni seguenti. Se si dispone di un ambiente microsoft Entra-only, passare alla sezione Ambiente Microsoft Entra .
Ambiente Active Directory locale
In qualità di amministratore in Active Directory, connettersi alla rete locale, aprire PowerShell e eseguire le azioni seguenti:
Disabilitare l'utente in Active Directory. Fare riferimento a Disable-ADAccount.
Disable-ADAccount -Identity johndoeReimpostare la password dell'utente due volte in Active Directory. Fare riferimento a Set-ADAccountPassword.
Nota
Il motivo della modifica della password di un utente due volte consiste nel ridurre il rischio di pass-the-hash, soprattutto se si verificano ritardi nella replica delle password locali. Se è possibile presupporre che questo account non sia compromesso, è possibile reimpostare la password una sola volta.
Importante
Non usare le password di esempio nei cmdlet seguenti. Assicurarsi di modificare le password in una stringa casuale.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Ambiente Microsoft Entra
In qualità di amministratore in Microsoft Entra ID, aprire PowerShell, eseguire Connect-MgGraphed eseguire le azioni seguenti:
Disabilitare l'utente in Microsoft Entra ID. Fare riferimento a Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseRevocare i token di aggiornamento dell'ID Microsoft Entra dell'utente. Fare riferimento a Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdDisabilitare i dispositivi dell'utente. Fare riferimento a Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Nota
Per informazioni su ruoli specifici che possono eseguire questi passaggi, vedere Ruoli predefiniti di Microsoft Entra
Nota
I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Quando l'accesso viene revocato
Una volta che gli amministratori eseggono i passaggi precedenti, l'utente non può ottenere nuovi token per qualsiasi applicazione associata all'ID Microsoft Entra. Il tempo trascorso tra la revoca e la perdita dell'accesso da parte dell'utente dipende dal modo in cui l'applicazione concede l'accesso:
Per le applicazioni che usano token di accesso, l'utente perde l'accesso alla scadenza del token di accesso.
Per le applicazioni che usano token di sessione, le sessioni esistenti terminano non appena scade il token. Se lo stato disabilitato dell'utente viene sincronizzato con l'applicazione, l'applicazione può revocare automaticamente le sessioni esistenti dell'utente se è configurata per farlo. Il tempo necessario dipende dalla frequenza di sincronizzazione tra l'applicazione e l'ID Microsoft Entra.
Procedure consigliate
Distribuire una soluzione di provisioning e deprovisioning automatizzato. Il deprovisioning degli utenti dalle applicazioni è un modo efficace per revocare l'accesso, in particolare per le applicazioni che usano token di sessione o consentire agli utenti di accedere direttamente senza un token di Microsoft Entra o Windows Server AD. Sviluppare un processo per effettuare anche il deprovisioning degli utenti in app che non supportano il provisioning automatico e il deprovisioning. Assicurarsi che le applicazioni revocano i propri token di sessione e interrompano l'accettazione dei token di accesso di Microsoft Entra anche se sono ancora validi.
Usare il provisioning delle app Microsoft Entra. Il provisioning delle app Microsoft Entra viene in genere eseguito automaticamente ogni 20-40 minuti. Configurare il provisioning di Microsoft Entra per effettuare il deprovisioning o disattivare gli utenti nelle applicazioni SaaS e locali. Se si usa Microsoft Identity Manager per automatizzare il deprovisioning degli utenti dalle applicazioni locali, è possibile usare il provisioning delle app Microsoft Entra per raggiungere le applicazioni locali con un database SQL, un server di directory non AD o altri connettori.
Per le applicazioni locali che usano Windows Server AD, è possibile configurare i flussi di lavoro del ciclo di vita di Microsoft Entra per aggiornare gli utenti in AD (anteprima) quando i dipendenti lasciano.
Identificare e sviluppare un processo per le applicazioni che richiedono la disattivazione manuale. Ad esempio, la creazione automatica di ticket di ServiceNow utilizzando Microsoft Entra Entitlement Management può aprire un ticket quando i dipendenti perdono l'accesso a servizi o risorse. Assicurarsi che gli amministratori e i proprietari delle applicazioni possano eseguire rapidamente le attività manuali necessarie per effettuare il deprovisioning dell'utente da queste app quando necessario.
Gestire i dispositivi e le applicazioni con Microsoft Intune. I dispositivi gestiti da Intune possono essere reimpostati nelle impostazioni predefinite. Se il dispositivo non è gestito, è possibile cancellare i dati aziendali dalle app gestite. Questi processi sono efficaci per rimuovere dati potenzialmente sensibili dai dispositivi degli utenti finali. Tuttavia, per attivare entrambi i processi, il dispositivo deve essere connesso a Internet. Se il dispositivo è offline, ha comunque accesso a tutti i dati archiviati in locale.
Nota
I dati nel dispositivo non possono essere recuperati dopo una cancellazione.
Usare Microsoft Defender per il cloud App per bloccare il download dei dati quando appropriato. Se i dati possono essere accessibili solo online, le organizzazioni possono monitorare le sessioni e ottenere l'applicazione dei criteri in tempo reale.
Usare la valutazione dell'accesso continuo (CAE) in Microsoft Entra ID. CAE consente agli amministratori di revocare i token di sessione e i token di accesso per le applicazioni che supportano CAE.