Microsoft Entra ID でユーザー アクセスを取り消す
管理者がユーザーのすべてのアクセス権を取り消す必要があるシナリオとしては、侵害されたアカウント、従業員の解雇、およびその他のインサイダーの脅威があります。 環境の複雑さに応じて、管理者はアクセスが確実に取り消されるようにいくつかの手順を実行できます。 シナリオによっては、アクセスの取り消しが開始されてから、アクセスが実質的に取り消されるまでに一定の時間がかかることがあります。
リスクを軽減するには、トークンのしくみを理解しておく必要があります。 トークンにはさまざまな種類があり、以下のセクションで説明するパターンのいずれかに分類されます。
アクセス トークンと更新トークン
アクセス トークンと更新トークンは、シック クライアント アプリケーションでよく使用されます。また、シングル ページ アプリなどのブラウザーベースのアプリケーションでも使用されます。
ユーザーが Microsoft Entra の一部である Microsoft Entra ID に対して認証を行うと、承認ポリシーが評価され、そのユーザーに特定のリソースへのアクセスを許可できるかどうかが判断されます。
承認されると、Microsoft Entra ID によってリソースのアクセス トークンと更新トークンが発行されます。
Microsoft Entra ID によって発行されたアクセス トークンの有効期限は、既定では 1 時間です。 認証プロトコルで許可されている場合、アプリは、アクセス トークンの有効期限が切れたときに更新トークンを Microsoft Entra ID に渡すことで、ユーザーを自動で再認証できます。
その後、Microsoft Entra ID によってその承認ポリシーが再評価されます。 ユーザーがまだ許可されている場合は、Microsoft Entra ID によって新しいアクセス トークンが発行され、トークンが更新されます。
アクセス トークンは、トークンの有効期間 (通常は約 1 時間) より短い時間内にアクセスを取り消す必要がある場合に、セキュリティ上の問題になることがあります。 このため、Microsoft は、Office 365 アプリケーションに継続的アクセス評価を行うために積極的に取り組んでいます。これにより、アクセス トークンをほぼリアルタイムで確実に無効化できます。
セッション トークン (Cookie)
ほとんどのブラウザーベースのアプリケーションでは、アクセス トークンと更新トークンではなく、セッション トークンが使用されます。
ユーザーがブラウザーを開いて、Microsoft Entra ID 経由でアプリケーションに対して認証を行うと、ユーザーは 2 つのセッション トークンを受け取ります。 1 つは Microsoft Entra ID から、もう 1 つはアプリケーションから受け取ります。
アプリケーションが独自のセッション トークンを発行すると、アプリケーションへのアクセスはアプリケーションのセッションによって管理されます。 この時点で、ユーザーが影響を受けるのは、アプリケーションが認識している承認ポリシーのみになります。
Microsoft Entra ID の承認ポリシーは、アプリケーションがユーザーを Microsoft Entra ID に送り返すたびに再評価されます。 通常、再評価は自動的に行われますが、頻度はアプリケーションの構成方法によって異なります。 セッション トークンが有効である限り、アプリがユーザーを Microsoft Entra ID に送り返すことはありません。
セッション トークンを取り消すには、アプリケーションが独自の承認ポリシーに基づいてアクセスを取り消す必要があります。 Microsoft Entra ID では、アプリケーションによって発行されたセッション トークンを直接取り消すことはできません。
ハイブリッド環境でユーザーのアクセスを取り消す
オンプレミスの Active Directory が Microsoft Entra ID と同期されているハイブリッド環境では、IT 管理者が次の操作を実行することをお勧めします。 Microsoft Entra 専用の環境を持っている場合は、「Microsoft Entra 環境」セクションまでスキップしてください。
オンプレミスの Active Directory 環境
Active Directory の管理者として、オンプレミス ネットワークに接続し、PowerShell を開き、次の操作を実行します。
Active Directory でユーザーを無効にします。 「Disable-ADAccount」を参照してください。
Disable-ADAccount -Identity johndoe
Active Directory でユーザーのパスワードを 2 回リセットします。 「Set-ADAccountPassword」を参照してください。
Note
ユーザーのパスワードを 2 回変更する理由は、特にオンプレミスのパスワード レプリケーションで遅延が発生した場合に、Pass-the-Hash のリスクを軽減するためです。 このアカウントが侵害されていないと想定できる場合は、パスワードのリセットを 1 回だけにすることができます。
重要
次のコマンドレット内のサンプルのパスワードは使用しないでください。 パスワードは必ずランダムな文字列に変更してください。
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra 環境
Microsoft Entra ID の管理者として、PowerShell を開き、Connect-MgGraph
を実行して、次の操作を実行します。
Microsoft Entra ID でユーザーを無効にします。 「Update-MgUser」を参照してください。
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
ユーザーの Microsoft Entra ID 更新トークンを取り消します。 「Revoke-MgUserSignInSession」を参照してください。
Revoke-MgUserSignInSession -UserId $User.Id
ユーザーのデバイスを無効にします。 「Get-MgUserRegisteredDevice」を参照してください。
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Note
これらのステップを実行できる特定のロールの詳細については、Microsoft Entra 組み込みロールを参照してください
Note
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
アクセスが取り消されたとき
管理者が上記の手順を実行すると、ユーザーは Microsoft Entra ID に関連付けられているすべてのアプリケーションの新しいトークンを取得できなくなります。 取り消してからユーザーがアクセスを失うまでの経過時間は、アプリケーションがアクセスを許可する方法によって異なります。
アクセス トークンを使用するアプリケーションの場合、アクセス トークンの有効期限が切れると、ユーザーはアクセスを失います。
セッション トークンを使用するアプリケーションでは、トークンの有効期限が切れるとすぐに既存のセッションが終了します。 ユーザーの無効状態がアプリケーションに同期されている場合、そのアプリケーションはユーザーの既存のセッションを自動的に取り消すことができます (そのように構成されている場合)。 所要時間は、アプリケーションと Microsoft Entra ID 間の同期の頻度によって異なります。
ベスト プラクティス
自動化されたプロビジョニングとプロビジョニング解除ソリューションをデプロイします。 アプリケーションからユーザーのプロビジョニングを解除することは、特にセッション トークンを使用するアプリケーションや、ユーザーが Microsoft Entra または Windows Server AD トークンを使用せずに直接サインインできるようにするアプリケーションの場合、アクセスを取り消す効果的な方法です。 自動プロビジョニングとプロビジョニング解除がサポートされていないアプリに対してもユーザーのプロビジョニング解除を行うプロセスを開発します。 アプリケーションがユーザー独自のセッション トークンを取り消し、まだ有効であっても Microsoft Entra アクセス トークンの受け入れを停止するようにします。
Microsoft Entra アプリ プロビジョニングを使用します。 Microsoft Entra アプリ プロビジョニングは、通常、20 から 40 分ごとに自動的に実行されます。 SaaS およびオンプレミスのアプリケーションでユーザーをプロビジョニング解除または非アクティブ化するように、Microsoft Entra プロビジョニングを構成します。 Microsoft Identity Manager を使用してオンプレミス アプリケーションからのユーザーのプロビジョニング解除を自動化していた場合は、Microsoft Entra アプリ プロビジョニングを使用して、SQL データベース、AD 以外のディレクトリ サーバーまたはその他のコネクタを使用してオンプレミス アプリケーションに接続できます。
Windows Server AD を使用するオンプレミス アプリケーションの場合、従業員が退職したときに AD 内のユーザーを更新する (プレビュー)ように Microsoft Entra ライフサイクル ワークフローを構成できます。
従業員がアクセス権を失ったときにチケットを開くための Microsoft Entra エンタイトルメント管理を使用した ServiceNow チケットの自動作成など、手動によるプロビジョニング解除が必要なアプリケーションを特定し、そのためのプロセスを開発します。 管理者とアプリケーション所有者が、必要に応じて、これらのアプリからユーザーをプロビジョニング解除するために必要な手動タスクを迅速に実行できるようにします。
Microsoft Intune を使用してデバイスとアプリケーションを管理します。 Intune で管理されているデバイスは、出荷時の設定にリセットできます。 デバイスが管理されていない場合は、管理対象アプリから会社のデータをワイプできます。 これらのプロセスは、機密の可能性があるデータをエンド ユーザーのデバイスから削除するのに効果的です。 ただし、いずれのプロセスをトリガーするにも、デバイスがインターネットに接続されている必要があります。 デバイスがオフラインの場合、デバイスはローカルに格納されているデータに引き続きアクセスできます。
Note
ワイプ後にデバイス上のデータを復元することはできません。
必要に応じて、データのダウンロードをブロックするために Microsoft Defender for Cloud Apps を使用します。 オンラインでのみデータにアクセスできる場合、組織はセッションを監視し、リアルタイム ポリシーの適用を実現できます。
Microsoft Entra ID での継続的アクセス評価 (CAE) を使用します。 CAE を使用すると、管理者は CAE 対応アプリケーションのセッション トークンとアクセス トークンを取り消すことができます。