Återkalla användaråtkomst i Microsoft Entra-ID
Scenarier som kan kräva att en administratör återkallar all åtkomst för en användare inkluderar komprometterade konton, uppsägning av anställda och andra insiderhot. Beroende på miljöns komplexitet kan administratörer vidta flera åtgärder för att säkerställa att åtkomsten återkallas. I vissa scenarier kan det finnas en period mellan inledandet av återkallande av åtkomst och när åtkomsten återkallas effektivt.
För att minimera riskerna måste du förstå hur token fungerar. Det finns många typer av token som ingår i ett av de mönster som nämns i avsnitten nedan.
Åtkomsttoken och uppdateringstoken
Åtkomsttoken och uppdateringstoken används ofta med tjocka klientprogram och används även i webbläsarbaserade program, till exempel ensidesappar.
När användare autentiserar till Microsoft Entra-ID, en del av Microsoft Entra, utvärderas auktoriseringsprinciper för att avgöra om användaren kan beviljas åtkomst till en specifik resurs.
Om det är godkänt utfärdar Microsoft Entra-ID en åtkomsttoken och en uppdateringstoken för resursen.
Åtkomsttoken som utfärdats av Microsoft Entra-ID varar som standard i 1 timme. Om autentiseringsprotokollet tillåter kan appen tyst autentisera användaren igen genom att skicka uppdateringstoken till Microsoft Entra-ID:t när åtkomsttoken upphör att gälla.
Microsoft Entra-ID utvärderar sedan sina auktoriseringsprinciper på nytt. Om användaren fortfarande har behörighet utfärdar Microsoft Entra-ID en ny åtkomsttoken och uppdaterar token.
Åtkomsttoken kan vara ett säkerhetsproblem om åtkomsten måste återkallas inom en tid som är kortare än tokens livslängd, vilket vanligtvis är ungefär en timme. Därför arbetar Microsoft aktivt med att få kontinuerlig åtkomstutvärdering till Office 365-program, vilket säkerställer att åtkomsttoken blir ogiltiga nästan i realtid.
Sessionstoken (cookies)
De flesta webbläsarbaserade program använder sessionstoken i stället för åtkomst och uppdateringstoken.
När en användare öppnar en webbläsare och autentiserar till ett program via Microsoft Entra-ID får användaren två sessionstoken. Ett från Microsoft Entra-ID och ett annat från programmet.
När ett program utfärdar en egen sessionstoken styrs åtkomsten till programmet av programmets session. I det här läget påverkas användaren endast av de auktoriseringsprinciper som programmet känner till.
Auktoriseringsprinciperna för Microsoft Entra-ID omvärderas så ofta programmet skickar tillbaka användaren till Microsoft Entra-ID. Omvärdering sker vanligtvis tyst, även om frekvensen beror på hur programmet konfigureras. Det är möjligt att appen aldrig skickar tillbaka användaren till Microsoft Entra-ID så länge sessionstoken är giltig.
För att en sessionstoken ska återkallas måste programmet återkalla åtkomst baserat på sina egna auktoriseringsprinciper. Microsoft Entra-ID kan inte direkt återkalla en sessionstoken som utfärdats av ett program.
Återkalla åtkomst för en användare i hybridmiljön
För en hybridmiljö med lokal Active Directory synkroniserad med Microsoft Entra-ID rekommenderar Microsoft IT-administratörer att vidta följande åtgärder. Om du har en Microsoft Entra-miljö går du vidare till avsnittet Microsoft Entra-miljö .
Lokal Active Directory-miljö
Som administratör i Active Directory ansluter du till ditt lokala nätverk, öppnar PowerShell och vidtar följande åtgärder:
Inaktivera användaren i Active Directory. Se Disable-ADAccount.
Disable-ADAccount -Identity johndoe
Återställ användarens lösenord två gånger i Active Directory. Se Set-ADAccountPassword.
Kommentar
Anledningen till att ändra en användares lösenord två gånger är att minska risken för pass-the-hash, särskilt om det uppstår fördröjningar i den lokala lösenordsreplikeringen. Om du på ett säkert sätt kan anta att det här kontot inte har komprometterats kan du bara återställa lösenordet en gång.
Viktigt!
Använd inte exempellösenorden i följande cmdletar. Se till att ändra lösenorden till en slumpmässig sträng.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra-miljö
Som administratör i Microsoft Entra-ID öppnar du PowerShell, kör Connect-MgGraph
och vidtar följande åtgärder:
Inaktivera användaren i Microsoft Entra-ID. Se Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false
Återkalla användarens Uppdateringstoken för Microsoft Entra-ID. Se Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.Id
Inaktivera användarens enheter. Se Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Kommentar
Information om specifika roller som kan utföra dessa steg finns i Inbyggda Microsoft Entra-roller
Kommentar
Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
När åtkomst återkallas
När administratörerna har vidtagit stegen ovan kan användaren inte få nya token för något program som är kopplat till Microsoft Entra-ID. Den förflutna tiden mellan återkallelsen och användaren som förlorar sin åtkomst beror på hur programmet beviljar åtkomst:
För program som använder åtkomsttoken förlorar användaren åtkomst när åtkomsttoken upphör att gälla.
För program som använder sessionstoken avslutas de befintliga sessionerna så snart token upphör att gälla. Om användarens inaktiverade tillstånd synkroniseras med programmet kan programmet automatiskt återkalla användarens befintliga sessioner om det har konfigurerats för att göra det. Hur mycket tid det tar beror på synkroniseringsfrekvensen mellan programmet och Microsoft Entra-ID: t.
Bästa praxis
Distribuera en automatiserad etablerings- och avetableringslösning. Avetablering av användare från program är ett effektivt sätt att återkalla åtkomst, särskilt för program som använder sessionstoken eller tillåter användare att logga in direkt utan en Microsoft Entra- eller Windows Server AD-token. Utveckla en process för att även avetablera användare till appar som inte stöder automatisk etablering och avetablering. Se till att program återkallar sina egna sessionstoken och slutar acceptera Microsoft Entra-åtkomsttoken även om de fortfarande är giltiga.
Använd Microsoft Entra-appetablering. Microsoft Entra-appetablering körs vanligtvis automatiskt var 20–40:e minut. Konfigurera Microsoft Entra-etablering för att avetablera eller inaktivera användare i SaaS och lokala program. Om du använder Microsoft Identity Manager för att automatisera avetablering av användare från lokala program kan du använda Microsoft Entra-appetablering för att nå lokala program med en SQL-databas, en icke-AD-katalogserver eller andra anslutningsappar.
För lokala program som använder Windows Server AD kan du konfigurera Microsoft Entra Lifecycle Workflows för att uppdatera användare i AD (förhandsversion) när anställda lämnar.
Identifiera och utveckla en process för program som kräver manuell avetablering, till exempel automatisk skapande av ServiceNow-biljetter med Microsoft Entra Entitlement Management för att öppna ett ärende när anställda förlorar åtkomst. Se till att administratörer och programägare snabbt kan köra nödvändiga manuella uppgifter för att avetablera användaren från dessa appar när det behövs.
Hantera dina enheter och program med Microsoft Intune. Intune-hanterade enheter kan återställas till fabriksinställningarna. Om enheten inte hanteras kan du rensa företagsdata från hanterade appar. Dessa processer är effektiva för att ta bort potentiellt känsliga data från slutanvändarenheter. För att någon av processerna ska utlösas måste enheten dock vara ansluten till Internet. Om enheten är offline har enheten fortfarande åtkomst till alla lokalt lagrade data.
Kommentar
Det går inte att återställa data på enheten efter en rensning.
Använd Microsoft Defender för molnet-appar för att blockera nedladdning av data när det är lämpligt. Om data bara kan nås online kan organisationer övervaka sessioner och uppnå principframtvingande i realtid.
Använd Kontinuerlig åtkomstutvärdering (CAE) i Microsoft Entra-ID. MED CAE kan administratörer återkalla sessionstoken och åtkomsttoken för program som är CAE-kompatibla.