Отмена доступа пользователей в идентификаторе Microsoft Entra

К сценариям, которые могут требовать, чтобы администратор отозвал все права доступа пользователя, относятся компрометация учетных записей, увольнение сотрудников и другие внутренние угрозы. В зависимости от уровня сложности рабочей среды администраторы могут применить ряд действий, чтобы гарантировать отзыв доступа. В некоторых сценариях может присутствовать промежуток времени между инициацией отзыва доступа и фактическим отзывом доступа.

Для снижения рисков необходимо понимать, как работают токены. Существует множество типов маркеров, которые попадают в один из шаблонов, рассмотренных в этой статье.

Токены доступа и токены обновления

Токены доступа и токены обновления часто используются с толстыми клиентскими приложениями, а также в браузерных приложениях, включая одностраничные приложения.

• Когда пользователи проходят проверку подлинности в Microsoft Entra ID, политика авторизации оценивается, чтобы определить, может ли пользователь получить доступ к определенному ресурсу.
• После авторизации Microsoft Entra ID выдает токен доступа и токен обновления для ресурса.
• Если протокол аутентификации это допускает, приложение может автоматически и без вмешательства пользователя повторно пройти проверку подлинности, передав токен обновления в Microsoft Entra ID при истечении срока действия токена доступа. По умолчанию токены доступа, выдаваемые Microsoft Entra ID, действуют в течение 1 часа.
• Затем Microsoft Entra ID пересматривает свои политики авторизации. Если пользователь по-прежнему авторизован, идентификатор Microsoft Entra выдает новый маркер доступа и обновляет маркер.

Маркеры доступа могут представлять угрозу безопасности, если они должны быть отозваны в течение периода, более короткого, чем их типичный срок действия — один час. По этой причине корпорация Майкрософт активно работает над внедрением непрерывной оценки доступа к приложениям Office 365, что помогает обеспечить недействительность маркеров доступа практически в реальном времени.

Маркеры сеансов (файлы cookie)

Большинство приложений на основе браузеров используют маркеры сеансов вместо маркеров доступа и обновления.

• Когда пользователь открывает браузер и проходит проверку подлинности в приложении с помощью идентификатора Microsoft Entra, пользователь получает два маркера сеанса. Один из идентификатора Microsoft Entra и другого из приложения.

• Когда приложение выдает собственный маркер сеанса, приложение управляет доступом на основе политик авторизации.

• Политики авторизации Microsoft Entra ID проверяются так же часто, как приложение отправляет пользователя обратно в Microsoft Entra ID. Как правило, переоценка происходит автоматически, а частота зависит от настроек приложения. Возможно, что приложение может никогда не отправить пользователя обратно в Microsoft Entra ID, пока токен сеанса действителен.

• Чтобы маркер сеанса был отозван, приложение должно отозвать доступ на основе собственных политик авторизации. Идентификатор Microsoft Entra не может напрямую отозвать маркер сеанса, выданный приложением.

Отзыв доступа пользователя в гибридной среде

Для гибридной среды с локальной службой Active Directory, синхронизированной с Microsoft Entra ID, Microsoft рекомендует ИТ-администраторам выполнить следующие действия. Если у вас есть среда только для Microsoft Entra, перейдите к разделу среды Microsoft Entra.

Рабочая среда локальной службы Active Directory

В качестве администратора Active Directory подключитесь к локальной сети, откройте PowerShell и выполните следующие действия.

1. Отключите пользователя в Active Directory. См. также Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Сбросьте пароль пользователя в Active Directory дважды. См. также Set-ADAccountPassword.

   Примечание.

   Двукратное изменение пароля пользователя обеспечивает снижение риска атаки Pass-the-Hash, особенно при наличии задержек локальной репликации паролей. Если можно безопасно предположить, что данная учетная запись не скомпрометирована, допускается сбросить пароль только один раз.

   Внимание

   Не используйте примеры паролей в нижеуказанных командлетах. Обязательно измените пароли на случайные строки.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Среда Microsoft Entra

Как администратор в идентификаторе Microsoft Entra, откройте PowerShell, запустите Connect-MgGraphи выполните следующие действия:

1. Отключите пользователя в идентификаторе Microsoft Entra. См. раздел Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Отзывите токены обновления идентификатора пользователя Microsoft Entra. Обратитесь к Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Отключите устройства пользователя. См. раздел Get-MgUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Примечание.

Для получения информации о конкретных ролях, которые могут выполнять эти действия, просмотрите встроенные роли Microsoft Entra.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Версии 1.0.x MSOnline могут столкнуться с сбоем в работе после 30 июня 2024 г.

Когда отзывается доступ

После выполнения описанных выше действий администраторы не могут получить новые маркеры для любого приложения, привязанного к идентификатору Microsoft Entra. Промежуток времени с момента отзыва до момента потери доступа зависит от того, каким образом приложение предоставляет доступ.

• В случае приложений, использующих маркеры доступа, пользователь теряет доступ после истечения срока действия маркера доступа.

• В случае приложений, использующих маркеры сеанса, существующие сеансы завершаются, как только истекает срок действия маркера. Если отключенное состояние пользователя синхронизируется с приложением, приложение может автоматически отменить существующие сеансы пользователя, если оно настроено для выполнения этого действия. Время, которое требуется, зависит от частоты синхронизации между приложением и идентификатором Microsoft Entra.

Лучшие практики

• Разверните автоматизированное решение по предоставлению и удалению доступа. Удаление пользователей из приложений — эффективный способ отзыва доступа, особенно для приложений, использующих маркеры сеансов или позволяющих пользователям входить напрямую без токена Microsoft Entra или Windows Server AD. Разработайте процесс для удаления пользователей из приложений, которые не поддерживают автоматическое добавление и удаление. Убедитесь, что приложения отменяют собственные маркеры сеанса и перестают принимать маркеры доступа Microsoft Entra, даже если они по-прежнему действительны.

  • Используйте подготовку приложений Microsoft Entra. Подготовка приложений Microsoft Entra обычно выполняется автоматически каждые 20–40 минут. Настройте процесс подготовки Microsoft Entra для удаления или деактивации пользователей в облачных (SaaS) и локальных приложениях. Если вы использовали Microsoft Identity Manager для автоматизации отключения пользователей из локальных приложений, вы можете использовать Microsoft Entra для подготовки приложений с базой данных SQL, сервером каталогов без AD или другими соединителями.

  • Для локальных приложений с помощью Windows Server AD можно настроить рабочие процессы жизненного цикла Microsoft Entra для обновления пользователей в AD (предварительная версия) при выходе сотрудников.

  • Определите и разработайте процесс для приложений, которые требуют ручного снятия доступа. Например, автоматическое создание билета ServiceNow с помощью Службы управления правами Microsoft Entra может открыть билет, когда сотрудники теряют доступ. Убедитесь, что администраторы и владельцы приложений могут быстро выполнять вручную необходимые задачи по удалению пользователя из этих приложений при необходимости.

• Управление устройствами и приложениями с помощью Microsoft Intune. Устройства под управлением Intune можно сбросить до заводских настроек. Если устройство является неуправляемым, можно удалить корпоративные данные из управляемых приложений. Эти процессы эффективны для удаления потенциально конфиденциальных данных с устройств конечных пользователей. Однако для запуска любого из процессов устройство должно быть подключено к Интернету. Если устройство находится в автономном режиме, он по-прежнему имеет доступ к любым локально хранимым данным.

Примечание.

Данные на устройстве не могут быть восстановлены после очистки.

• При необходимости используйте Microsoft Defender for Cloud Apps для блокировки скачивания данных. Если доступ к данным возможен только через Интернет, организации могут отслеживать сеансы и обеспечить применение политик в режиме реального времени.

• Используйте оценку непрерывного доступа (CAE) в идентификаторе Microsoft Entra. CAE дает администраторам возможность отзывать маркеры сеанса и маркеры доступа для приложений, которые поддерживают CAE.

Следующие шаги

• Методы безопасного доступа для администраторов Microsoft Entra
• Добавление или обновление информации профиля пользователя
• Удаление бывшего сотрудника