Поделиться через


Отмена доступа пользователей в идентификаторе Microsoft Entra

К сценариям, которые могут требовать, чтобы администратор отозвал все права доступа пользователя, относятся компрометация учетных записей, увольнение сотрудников и другие внутренние угрозы. В зависимости от уровня сложности рабочей среды администраторы могут применить ряд действий, чтобы гарантировать отзыв доступа. В некоторых сценариях может присутствовать промежуток времени между инициацией отзыва доступа и фактическим отзывом доступа.

Для снижения рисков необходимо понимать, как работают маркеры. Существуют разные виды маркеров, которые относятся к одному из видов, описанных в следующих разделах.

Маркеры доступа и маркеры обновления

Маркеры доступа и маркеры обновления часто используют с полнофункциональными клиентскими приложениями, а также в приложениях на основе браузеров, включая, например, одностраничные приложения.

  • Когда пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, часть Microsoft Entra, политики авторизации оцениваются, чтобы определить, может ли пользователь получить доступ к определенному ресурсу.

  • Если это разрешено, идентификатор Microsoft Entra выдает маркер доступа и маркер обновления для ресурса.

  • Маркеры доступа, выданные идентификатором Microsoft Entra ID по умолчанию, длились 1 час. Если протокол проверки подлинности разрешен, приложение может автоматически повторно выполнить проверку подлинности пользователя, передав маркер обновления идентификатору Microsoft Entra при истечении срока действия маркера доступа.

Затем идентификатор Microsoft Entra повторно вычисляет свои политики авторизации. Если пользователь по-прежнему авторизован, идентификатор Microsoft Entra выдает новый маркер доступа и обновляет маркер.

Маркеры доступа могут создавать проблему безопасности, если доступ должен быть отозван через промежуток времени, меньший чем время существования маркера, обычно составляющее около часа. По этой причине корпорация Майкрософт активно работает над внедрением непрерывной оценки доступа к приложениям Office 365, что помогает обеспечить недействительность маркеров доступа практически в реальном времени.

Маркеры сеансов (файлы cookie)

Большинство приложений на основе браузеров используют маркеры сеансов вместо маркеров доступа и обновления.

  • Когда пользователь открывает браузер и проходит проверку подлинности в приложении с помощью идентификатора Microsoft Entra, пользователь получает два маркера сеанса. Один из идентификатора Microsoft Entra и другого из приложения.

  • Когда приложение выдает собственный маркер сеанса, доступ к приложению контролируется сеансом приложения. На этом этапе на пользователя распространяются только те политики авторизации, о которых известно приложению.

  • Политики авторизации идентификатора Microsoft Entra переоценены так часто, как приложение отправляет пользователя обратно в идентификатор Microsoft Entra. Как правило, переоценка происходит автоматически, а частота зависит от настроек приложения. Возможно, что приложение никогда не отправляет пользователя обратно в идентификатор Microsoft Entra, пока маркер сеанса действителен.

  • Чтобы маркер сеанса был отозван, приложение должно отозвать доступ на основе собственных политик авторизации. Идентификатор Microsoft Entra не может напрямую отозвать маркер сеанса, выданный приложением.

Отзыв доступа пользователя в гибридной среде

Для гибридной среды с локальная служба Active Directory синхронизирована с идентификатором Microsoft Entra, корпорация Майкрософт рекомендует ИТ-администраторам выполнить следующие действия. Если у вас есть среда только для Microsoft Entra, перейдите к разделу среды Microsoft Entra.

Рабочая среда локальной службы Active Directory

В качестве администратора Active Directory подключитесь к локальной сети, откройте PowerShell и выполните следующие действия.

  1. Отключите пользователя в Active Directory. Обратитесь к Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Дважды сбросьте пароль пользователя в Active Directory. Обратитесь к Set-ADAccountPassword.

    Примечание.

    Двукратное изменение пароля пользователя обеспечивает снижение риска атаки Pass-the-Hash, особенно при наличии задержек локальной репликации паролей. Если можно безопасно предположить, что данная учетная запись не скомпрометирована, допускается сбросить пароль только один раз.

    Внимание

    Не используйте примеры паролей в нижеуказанных командлетах. Обязательно измените пароли на случайные строки.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Среда Microsoft Entra

Как администратор в идентификаторе Microsoft Entra, откройте PowerShell, запустите Connect-MgGraphи выполните следующие действия:

  1. Отключите пользователя в идентификаторе Microsoft Entra. См. раздел Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Отмените маркеры обновления идентификатора пользователя Microsoft Entra. Обратитесь к Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Отключите устройства пользователя. См. раздел Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Примечание.

Дополнительные сведения о конкретных ролях, которые могут выполнять эти действия, см . в встроенных ролях Microsoft Entra

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Когда отзывается доступ

После выполнения описанных выше действий администраторы не могут получить новые маркеры для любого приложения, привязанного к идентификатору Microsoft Entra. Промежуток времени с момента отзыва до момента потери доступа зависит от того, каким образом приложение предоставляет доступ.

  • В случае приложений, использующих маркеры доступа, пользователь теряет доступ после истечения срока действия маркера доступа.

  • В случае приложений, использующих маркеры сеанса, существующие сеансы завершаются, как только истекает срок действия маркера. Если отключенное состояние пользователя синхронизируется с приложением, приложение может автоматически отменить существующие сеансы пользователя, если оно настроено для выполнения этого действия. Время, которое требуется, зависит от частоты синхронизации между приложением и идентификатором Microsoft Entra.

Рекомендации

  • Разверните автоматизированное решение по подготовке и отзыву. Отмена подготовки пользователей из приложений — эффективный способ отзыва доступа, особенно для приложений, использующих маркеры сеансов или разрешающих пользователям выполнять вход непосредственно без маркера Microsoft Entra или Windows Server AD. Разработка процесса для отмены подготовки пользователей к приложениям, которые не поддерживают автоматическую подготовку и отмену подготовки. Убедитесь, что приложения отменяют собственные маркеры сеанса и перестают принимать маркеры доступа Microsoft Entra, даже если они по-прежнему действительны.

    • Используйте подготовку приложений Microsoft Entra. Подготовка приложений Microsoft Entra обычно выполняется автоматически каждые 20–40 минут. Настройте подготовку Microsoft Entra для отмены или деактивации пользователей в SaaS и локальных приложениях. Если вы использовали Microsoft Identity Manager для автоматизации отмены подготовки пользователей из локальных приложений, вы можете использовать подготовку приложений Microsoft Entra для доступа к локальным приложениям с базой данных SQL, сервером каталогов без AD или другими соединителями.

    • Для локальных приложений с помощью Windows Server AD можно настроить рабочие процессы жизненного цикла Microsoft Entra для обновления пользователей в AD (предварительная версия) при выходе сотрудников.

    • Определение и разработка процесса для приложений, требующих ручной отмены подготовки, например автоматического создания билета ServiceNow с помощью Microsoft Entra Entitlement Management , чтобы открыть билет, когда сотрудники теряют доступ. Убедитесь, что администраторы и владельцы приложений могут быстро выполнять необходимые задачи вручную для отмены подготовки пользователя из этих приложений при необходимости.

  • Управление устройствами и приложениями с помощью Microsoft Intune. Устройства под управлением Intune можно сбросить до заводских настроек. Если устройство является неуправляемым, можно удалить корпоративные данные из управляемых приложений. Эти процессы эффективны для удаления потенциально конфиденциальных данных с устройств конечных пользователей. Однако для запуска любого из процессов устройство должно быть подключено к Интернету. Если устройство находится в режиме автономной работы, оно по-прежнему будет иметь доступ к любым локальным хранящимся данным.

Примечание.

После очистки восстановить данные на устройстве невозможно.

Следующие шаги