Отмена доступа пользователей в идентификаторе Microsoft Entra
К сценариям, которые могут требовать, чтобы администратор отозвал все права доступа пользователя, относятся компрометация учетных записей, увольнение сотрудников и другие внутренние угрозы. В зависимости от уровня сложности рабочей среды администраторы могут применить ряд действий, чтобы гарантировать отзыв доступа. В некоторых сценариях может присутствовать промежуток времени между инициацией отзыва доступа и фактическим отзывом доступа.
Для снижения рисков необходимо понимать, как работают маркеры. Существует множество типов маркеров, которые попадают в один из шаблонов, рассмотренных в этой статье.
Маркеры доступа и маркеры обновления
Маркеры доступа и маркеры обновления часто используют с полнофункциональными клиентскими приложениями, а также в приложениях на основе браузеров, включая, например, одностраничные приложения.
- Когда пользователи проходят проверку подлинности в идентификаторе Microsoft Entra, часть Microsoft Entra, политики авторизации оцениваются, чтобы определить, может ли пользователь получить доступ к определенному ресурсу.
- После авторизации Microsoft Entra ID выдает токен доступа и токен обновления для ресурса.
- Если протокол аутентификации это допускает, приложение может автоматически и без вмешательства пользователя повторно пройти проверку подлинности, передав токен обновления в Microsoft Entra ID при истечении срока действия токена доступа. По умолчанию токены доступа, выдаваемые Microsoft Entra ID, действуют в течение 1 часа.
- Затем идентификатор Microsoft Entra повторно вычисляет свои политики авторизации. Если пользователь по-прежнему авторизован, идентификатор Microsoft Entra выдает новый маркер доступа и обновляет маркер.
Маркеры доступа могут представлять угрозу безопасности, если они должны быть отозваны в течение периода, более короткого, чем их типичный срок действия — один час. По этой причине корпорация Майкрософт активно работает над внедрением непрерывной оценки доступа к приложениям Office 365, что помогает обеспечить недействительность маркеров доступа практически в реальном времени.
Маркеры сеансов (файлы cookie)
Большинство приложений на основе браузеров используют маркеры сеансов вместо маркеров доступа и обновления.
Когда пользователь открывает браузер и проходит проверку подлинности в приложении с помощью идентификатора Microsoft Entra, пользователь получает два маркера сеанса. Один из идентификатора Microsoft Entra и другого из приложения.
Когда приложение выдает собственный маркер сеанса, приложение управляет доступом на основе политик авторизации.
Политики авторизации идентификатора Microsoft Entra переоценены так часто, как приложение отправляет пользователя обратно в идентификатор Microsoft Entra. Как правило, переоценка происходит автоматически, а частота зависит от настроек приложения. Возможно, что приложение никогда не отправляет пользователя обратно в идентификатор Microsoft Entra, пока маркер сеанса действителен.
Чтобы маркер сеанса был отозван, приложение должно отозвать доступ на основе собственных политик авторизации. Идентификатор Microsoft Entra не может напрямую отозвать маркер сеанса, выданный приложением.
Отзыв доступа пользователя в гибридной среде
Для гибридной среды с локальная служба Active Directory синхронизирована с идентификатором Microsoft Entra, корпорация Майкрософт рекомендует ИТ-администраторам выполнить следующие действия. Если у вас есть среда только для Microsoft Entra, перейдите к разделу среды Microsoft Entra.
Рабочая среда локальной службы Active Directory
В качестве администратора Active Directory подключитесь к локальной сети, откройте PowerShell и выполните следующие действия.
Отключите пользователя в Active Directory. Обратитесь к Disable-ADAccount.
Disable-ADAccount -Identity johndoeДважды сбросьте пароль пользователя в Active Directory. Обратитесь к Set-ADAccountPassword.
Примечание.
Двукратное изменение пароля пользователя обеспечивает снижение риска атаки Pass-the-Hash, особенно при наличии задержек локальной репликации паролей. Если можно безопасно предположить, что данная учетная запись не скомпрометирована, допускается сбросить пароль только один раз.
Внимание
Не используйте примеры паролей в нижеуказанных командлетах. Обязательно измените пароли на случайные строки.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Среда Microsoft Entra
Как администратор в идентификаторе Microsoft Entra, откройте PowerShell, запустите Connect-MgGraphи выполните следующие действия:
Отключите пользователя в идентификаторе Microsoft Entra. См. раздел Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseОтмените маркеры обновления идентификатора пользователя Microsoft Entra. Обратитесь к Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdОтключите устройства пользователя. См. раздел Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Примечание.
Дополнительные сведения о конкретных ролях, которые могут выполнять эти действия, см . в встроенных ролях Microsoft Entra
Примечание.
Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.
Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.
Когда отзывается доступ
После выполнения описанных выше действий администраторы не могут получить новые маркеры для любого приложения, привязанного к идентификатору Microsoft Entra. Промежуток времени с момента отзыва до момента потери доступа зависит от того, каким образом приложение предоставляет доступ.
В случае приложений, использующих маркеры доступа, пользователь теряет доступ после истечения срока действия маркера доступа.
В случае приложений, использующих маркеры сеанса, существующие сеансы завершаются, как только истекает срок действия маркера. Если отключенное состояние пользователя синхронизируется с приложением, приложение может автоматически отменить существующие сеансы пользователя, если оно настроено для выполнения этого действия. Время, которое требуется, зависит от частоты синхронизации между приложением и идентификатором Microsoft Entra.
Рекомендации
Разверните автоматизированное решение по подготовке и отзыву. Отмена подготовки пользователей из приложений — эффективный способ отзыва доступа, особенно для приложений, использующих маркеры сеансов или разрешающих пользователям выполнять вход непосредственно без маркера Microsoft Entra или Windows Server AD. Разработка процесса для отмены подготовки пользователей к приложениям, которые не поддерживают автоматическую подготовку и отмену подготовки. Убедитесь, что приложения отменяют собственные маркеры сеанса и перестают принимать маркеры доступа Microsoft Entra, даже если они по-прежнему действительны.
Используйте подготовку приложений Microsoft Entra. Подготовка приложений Microsoft Entra обычно выполняется автоматически каждые 20–40 минут. Настройте подготовку Microsoft Entra для отмены или деактивации пользователей в SaaS и локальных приложениях. Если вы использовали Microsoft Identity Manager для автоматизации отмены подготовки пользователей из локальных приложений, вы можете использовать подготовку приложений Microsoft Entra для доступа к локальным приложениям с базой данных SQL, серверомкаталогов без AD или другими соединителями.
Для локальных приложений с помощью Windows Server AD можно настроить рабочие процессы жизненного цикла Microsoft Entra для обновления пользователей в AD (предварительная версия) при выходе сотрудников.
Определение и разработка процесса для приложений, требующих отмены подготовки вручную. Например, автоматическое создание билета ServiceNow с помощью Службы управления правами Microsoft Entra может открыть билет, когда сотрудники теряют доступ. Убедитесь, что администраторы и владельцы приложений могут быстро выполнять необходимые задачи вручную для отмены подготовки пользователя из этих приложений при необходимости.
Управление устройствами и приложениями с помощью Microsoft Intune. Устройства под управлением Intune можно сбросить до заводских настроек. Если устройство является неуправляемым, можно удалить корпоративные данные из управляемых приложений. Эти процессы эффективны для удаления потенциально конфиденциальных данных с устройств конечных пользователей. Однако для запуска любого из процессов устройство должно быть подключено к Интернету. Если устройство находится в автономном режиме, он по-прежнему имеет доступ к любым локально хранимым данным.
Примечание.
Данные на устройстве не могут быть восстановлены после очистки.
При необходимости используйте Microsoft Defender for Cloud Apps для блокировки скачивания данных. Если доступ к данным возможен только через Интернет, организации могут отслеживать сеансы и обеспечить применение политик в режиме реального времени.
Используйте оценку непрерывного доступа (CAE) в идентификаторе Microsoft Entra. CAE дает администраторам возможность отзывать маркеры сеанса и маркеры доступа для приложений, которые поддерживают CAE.