Udostępnij za pośrednictwem


Odwoływanie dostępu użytkownika w identyfikatorze Entra firmy Microsoft

Scenariusze, które mogą wymagać od administratora odwołania całego dostępu dla użytkownika, obejmują konta z naruszeniem zabezpieczeń, zakończenie pracy pracowników i inne zagrożenia wewnętrzne. W zależności od złożoności środowiska administratorzy mogą wykonać kilka kroków w celu zapewnienia odwołania dostępu. W niektórych scenariuszach może istnieć okres między rozpoczęciem odwoływania dostępu a efektywnym odwoływaniem dostępu.

Aby ograniczyć ryzyko, musisz zrozumieć, jak działają tokeny. Istnieje wiele rodzajów tokenów, które należą do jednego z wzorców omówionych w tym artykule.

Tokeny dostępu i tokeny odświeżania

Tokeny dostępu i tokeny odświeżania są często używane z grubymi aplikacjami klienckimi, a także używane w aplikacjach opartych na przeglądarce, takich jak aplikacje jednostronicowe.

  • Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, część firmy Microsoft Entra, zasady autoryzacji są oceniane w celu określenia, czy użytkownik może uzyskać dostęp do określonego zasobu.
  • Po autoryzacji identyfikator Entra firmy Microsoft wystawia token dostępu i token odświeżania zasobu.
  • Jeśli protokół uwierzytelniania zezwala, aplikacja może dyskretnie ponownie uwierzytelnić użytkownika, przekazując token odświeżania do identyfikatora Entra firmy Microsoft po wygaśnięciu tokenu dostępu. Domyślnie tokeny dostępu wystawione przez identyfikator Entra firmy Microsoft trwają przez 1 godzinę.
  • Identyfikator Entra firmy Microsoft następnie ponownie waliduje zasady autoryzacji. Jeśli użytkownik jest nadal autoryzowany, identyfikator entra firmy Microsoft wystawia nowy token dostępu i odświeża token.

Tokeny dostępu mogą stanowić zagrożenie bezpieczeństwa, jeśli muszą zostać odwołane w okresie krótszym niż ich typowa żywotność jednogodzinna. Z tego powodu firma Microsoft aktywnie pracuje nad zapewnieniem ciągłej oceny dostępu do aplikacji usługi Office 365, co pomaga zapewnić unieważnienie tokenów dostępu niemal w czasie rzeczywistym.

Tokeny sesji (pliki cookie)

Większość aplikacji opartych na przeglądarce używa tokenów sesji zamiast tokenów dostępu i odświeżania.

  • Gdy użytkownik otworzy przeglądarkę i uwierzytelnia się w aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft, użytkownik otrzymuje dwa tokeny sesji. Jeden z identyfikatorów Entra firmy Microsoft i drugi z aplikacji.

  • Gdy aplikacja wystawia własny token sesji, aplikacja kontroluje dostęp na podstawie zasad autoryzacji.

  • Zasady autoryzacji identyfikatora Entra firmy Microsoft są oceniane tak często, jak aplikacja wysyła użytkownika z powrotem do identyfikatora Entra firmy Microsoft. Ponowne ocena zwykle odbywa się w trybie dyskretnym, chociaż częstotliwość zależy od sposobu konfigurowania aplikacji. Możliwe, że aplikacja nigdy nie może wysłać użytkownika z powrotem do identyfikatora Entra firmy Microsoft, o ile token sesji jest prawidłowy.

  • Aby token sesji został odwołany, aplikacja musi odwołać dostęp na podstawie własnych zasad autoryzacji. Identyfikator Entra firmy Microsoft nie może bezpośrednio odwołać tokenu sesji wystawionego przez aplikację.

Odwoływanie dostępu dla użytkownika w środowisku hybrydowym

W przypadku środowiska hybrydowego z lokalna usługa Active Directory zsynchronizowanym z identyfikatorem Entra firmy Microsoft firma Microsoft zaleca administratorom IT wykonanie następujących akcji. Jeśli masz środowisko tylko firmy Microsoft, przejdź do sekcji Środowisko Firmy Microsoft Entra.

Lokalne środowisko usługi Active Directory

Jako administrator w usłudze Active Directory połącz się z siecią lokalną, otwórz program PowerShell i wykonaj następujące czynności:

  1. Wyłącz użytkownika w usłudze Active Directory. Zobacz Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Zresetuj hasło użytkownika dwa razy w usłudze Active Directory. Zapoznaj się z artykułem Set-ADAccountPassword.

    Uwaga

    Przyczyną dwukrotnego zmiany hasła użytkownika jest ograniczenie ryzyka przejścia skrótu, zwłaszcza jeśli występują opóźnienia w lokalnej replikacji haseł. Jeśli możesz bezpiecznie założyć, że to konto nie zostanie naruszone, możesz zresetować hasło tylko raz.

    Ważne

    Nie używaj przykładowych haseł w następujących poleceniach cmdlet. Pamiętaj, aby zmienić hasła na losowy ciąg.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Środowisko Firmy Microsoft Entra

Jako administrator w usłudze Microsoft Entra ID otwórz program PowerShell, uruchom polecenie Connect-MgGraphi wykonaj następujące czynności:

  1. Wyłącz użytkownika w identyfikatorze Entra firmy Microsoft. Zapoznaj się z artykułem Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Odwoływanie tokenów odświeżania identyfikatora entra użytkownika firmy Microsoft. Zapoznaj się z tematem Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Wyłącz urządzenia użytkownika. Zapoznaj się z tematem Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Uwaga

Aby uzyskać informacje na temat określonych ról, które mogą wykonać te kroki, zapoznaj się z wbudowanymi rolami firmy Microsoft

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Po odwołaniu dostępu

Po podjęciu powyższych kroków przez administratorów użytkownik nie może uzyskać nowych tokenów dla żadnej aplikacji powiązanej z identyfikatorem Entra firmy Microsoft. Czas, który upłynął między odwołaniem a utratą dostępu przez użytkownika, zależy od tego, jak aplikacja udziela dostępu:

  • W przypadku aplikacji korzystających z tokenów dostępu użytkownik traci dostęp po wygaśnięciu tokenu dostępu.

  • W przypadku aplikacji korzystających z tokenów sesji istniejące sesje kończą się zaraz po wygaśnięciu tokenu. Jeśli wyłączony stan użytkownika jest synchronizowany z aplikacją, aplikacja może automatycznie odwołać istniejące sesje użytkownika, jeśli jest skonfigurowany do tego celu. Czas potrzebny na synchronizację zależy od częstotliwości synchronizacji między aplikacją a identyfikatorem Entra firmy Microsoft.

Najlepsze rozwiązania

  • Wdrażanie zautomatyzowanego rozwiązania aprowizacji i anulowania aprowizacji. Anulowanie aprowizacji użytkowników z aplikacji to skuteczny sposób odwoływanie dostępu, zwłaszcza w przypadku aplikacji korzystających z tokenów sesji lub zezwalających użytkownikom na logowanie się bezpośrednio bez tokenu usługi AD firmy Microsoft lub Windows Server. Opracuj proces anulowania aprowizacji użytkowników w aplikacjach, które nie obsługują automatycznej aprowizacji i anulowania aprowizacji. Upewnij się, że aplikacje odwołują własne tokeny sesji i przestają akceptować tokeny dostępu firmy Microsoft, nawet jeśli są one nadal prawidłowe.

  • Zarządzanie urządzeniami i aplikacjami za pomocą usługi Microsoft Intune. Urządzenia zarządzane przez usługę Intune można zresetować do ustawień fabrycznych. Jeśli urządzenie jest niezarządzane, możesz wyczyścić dane firmowe z zarządzanych aplikacji. Te procesy są skuteczne w przypadku usuwania potencjalnie poufnych danych z urządzeń użytkowników końcowych. Jednak aby można było wyzwolić dowolny proces, urządzenie musi być połączone z Internetem. Jeśli urządzenie jest w trybie offline, nadal ma dostęp do dowolnych lokalnie przechowywanych danych.

Uwaga

Nie można odzyskać danych na urządzeniu po wyczyszczeniu.

Następne kroki