次の方法で共有

Microsoft Entra ID でユーザー アクセスを取り消す

  • [アーティクル]

管理者がユーザーのすべてのアクセス権を取り消す必要があるシナリオとしては、侵害されたアカウント、従業員の解雇、およびその他のインサイダーの脅威があります。 環境の複雑さに応じて、管理者はアクセスが確実に取り消されるようにいくつかの手順を実行できます。 シナリオによっては、アクセスの取り消しが開始されてから、アクセスが実質的に取り消されるまでに一定の時間がかかることがあります。

リスクを軽減するには、トークンのしくみを理解しておく必要があります。 トークンにはさまざまな種類があり、この記事で説明するパターンの 1 つに分類されます。

アクセス トークンと更新トークン

アクセス トークンと更新トークンは、シック クライアント アプリケーションでよく使用されます。また、シングル ページ アプリなどのブラウザーベースのアプリケーションでも使用されます。

  • ユーザーが Microsoft Entra の一部である Microsoft Entra ID に対して認証を行うと、承認ポリシーが評価され、そのユーザーに特定のリソースへのアクセスを許可できるかどうかが判断されます。
  • 承認されると、Microsoft Entra ID はリソースのアクセス トークンと更新トークンを発行します。
  • 認証プロトコルで許可されている場合、アプリは、アクセス トークンの有効期限が切れたときに Microsoft Entra ID に更新トークンを渡すことで、ユーザーを自動的に再認証できます。 既定では、Microsoft Entra ID によって発行されたアクセス トークンは 1 時間続きます。
  • その後、Microsoft Entra ID によってその承認ポリシーが再評価されます。 ユーザーがまだ許可されている場合は、Microsoft Entra ID によって新しいアクセス トークンが発行され、トークンが更新されます。

アクセス トークンは、一般的な 1 時間の有効期間よりも短い期間内に取り消す必要がある場合、セキュリティ リスクを引き起こす可能性があります。 このため、Microsoft は、Office 365 アプリケーションに継続的アクセス評価を行うために積極的に取り組んでいます。これにより、アクセス トークンをほぼリアルタイムで確実に無効化できます。

セッション トークン (Cookie)

ほとんどのブラウザーベースのアプリケーションでは、アクセス トークンと更新トークンではなく、セッション トークンが使用されます。

  • ユーザーがブラウザーを開いて、Microsoft Entra ID 経由でアプリケーションに対して認証を行うと、ユーザーは 2 つのセッション トークンを受け取ります。 1 つは Microsoft Entra ID から、もう 1 つはアプリケーションから受け取ります。

  • アプリケーションが独自のセッション トークンを発行すると、アプリケーションは承認ポリシーに基づいてアクセスを制御します。

  • Microsoft Entra ID の承認ポリシーは、アプリケーションがユーザーを Microsoft Entra ID に送り返すたびに再評価されます。 通常、再評価は自動的に行われますが、頻度はアプリケーションの構成方法によって異なります。 セッション トークンが有効である限り、アプリがユーザーを Microsoft Entra ID に送り返すことはありません。

  • セッション トークンを取り消すには、アプリケーションが独自の承認ポリシーに基づいてアクセスを取り消す必要があります。 Microsoft Entra ID では、アプリケーションによって発行されたセッション トークンを直接取り消すことはできません。

ハイブリッド環境でユーザーのアクセスを取り消す

オンプレミスの Active Directory が Microsoft Entra ID と同期されているハイブリッド環境では、IT 管理者が次の操作を実行することをお勧めします。 Microsoft Entra 専用の環境を持っている場合は、「Microsoft Entra 環境」セクションまでスキップしてください。

オンプレミスの Active Directory 環境

Active Directory の管理者として、オンプレミス ネットワークに接続し、PowerShell を開き、次の操作を実行します。

  1. Active Directory でユーザーを無効にします。 「Disable-ADAccount」を参照してください。

    Disable-ADAccount -Identity johndoe

  2. Active Directory でユーザーのパスワードを 2 回リセットします。 「Set-ADAccountPassword」を参照してください。

    Note

    ユーザーのパスワードを 2 回変更する理由は、特にオンプレミスのパスワード レプリケーションで遅延が発生した場合に、Pass-the-Hash のリスクを軽減するためです。 このアカウントが侵害されていないと想定できる場合は、パスワードのリセットを 1 回だけにすることができます。

    重要

    次のコマンドレット内のサンプルのパスワードは使用しないでください。 パスワードは必ずランダムな文字列に変更してください。

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)

Microsoft Entra 環境

Microsoft Entra ID の管理者として、PowerShell を開き、Connect-MgGraph を実行して、次の操作を実行します。

  1. Microsoft Entra ID でユーザーを無効にします。 「Update-MgUser」を参照してください。

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
Update-MgUser -UserId $User.Id -AccountEnabled:$false

  2. ユーザーの Microsoft Entra ID 更新トークンを取り消します。 「Revoke-MgUserSignInSession」を参照してください。

    Revoke-MgUserSignInSession -UserId $User.Id

  3. ユーザーのデバイスを無効にします。 「Get-MgUserRegisteredDevice」を参照してください。

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false

Note

これらのステップを実行できる特定のロールの詳細については、Microsoft Entra 組み込みロールを参照してください

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

アクセスが取り消されたとき

管理者が上記の手順を実行すると、ユーザーは Microsoft Entra ID に関連付けられているアプリケーションの新しいトークンを取得できなくなります。 取り消してからユーザーがアクセスを失うまでの経過時間は、アプリケーションがアクセスを許可する方法によって異なります。

  • アクセス トークンを使用するアプリケーションの場合、アクセス トークンの有効期限が切れると、ユーザーはアクセスを失います。

  • セッション トークンを使用するアプリケーションでは、トークンの有効期限が切れるとすぐに既存のセッションが終了します。 ユーザーの無効状態がアプリケーションに同期されている場合、そのアプリケーションはユーザーの既存のセッションを自動的に取り消すことができます (そのように構成されている場合)。 所要時間は、アプリケーションと Microsoft Entra ID 間の同期の頻度によって異なります。

ベスト プラクティス

  • 自動化されたプロビジョニングとプロビジョニング解除ソリューションをデプロイします。 アプリケーションからユーザーのプロビジョニングを解除することは、特にセッション トークンを使用するアプリケーションや、ユーザーが Microsoft Entra または Windows Server AD トークンを使用せずに直接サインインできるようにするアプリケーションの場合、アクセスを取り消す効果的な方法です。 自動プロビジョニングとプロビジョニング解除がサポートされていないアプリに対してもユーザーのプロビジョニング解除を行うプロセスを開発します。 アプリケーションがユーザー独自のセッション トークンを取り消し、まだ有効であっても Microsoft Entra アクセス トークンの受け入れを停止するようにします。

    • Microsoft Entra アプリ プロビジョニングを使用します。 Microsoft Entra アプリ プロビジョニングは、通常、20 から 40 分ごとに自動的に実行されます。 SaaS およびオンプレミスのアプリケーションでユーザーをプロビジョニング解除または非アクティブ化するように、Microsoft Entra プロビジョニングを構成します。 Microsoft Identity Manager を使用してオンプレミス アプリケーションからのユーザーのプロビジョニング解除を自動化していた場合は、Microsoft Entra アプリ プロビジョニングを使用して、SQL データベースAD 以外のディレクトリ サーバーまたはその他のコネクタを使用してオンプレミス アプリケーションに接続できます。

    • Windows Server AD を使用するオンプレミス アプリケーションの場合、従業員が退職したときに AD 内のユーザーを更新する (プレビュー)ように Microsoft Entra ライフサイクル ワークフローを構成できます。

    • 手動プロビジョニング解除を必要とするアプリケーションのプロセスを特定して開発します。 たとえば、Microsoft Entra Entitlement Management を使用して ServiceNow チケットの自動作成を すると、従業員がアクセスできなくなったときにチケットを開くことができます。 管理者とアプリケーション所有者が、必要に応じて、これらのアプリからユーザーをプロビジョニング解除するために必要な手動タスクを迅速に実行できるようにします。

  • Microsoft Intune を使用してデバイスとアプリケーションを管理します。 Intune で管理されているデバイスは、出荷時の設定にリセットできます。 デバイスが管理されていない場合は、管理対象アプリから会社のデータをワイプできます。 これらのプロセスは、機密の可能性があるデータをエンド ユーザーのデバイスから削除するのに効果的です。 ただし、いずれのプロセスをトリガーするにも、デバイスがインターネットに接続されている必要があります。 デバイスがオフラインの場合でも、ローカルに保存されているデータにアクセスできます。

Note

ワイプ後にデバイス上のデータを回復することはできません。

次のステップ