撤銷 Microsoft Entra ID 中的使用者存取權
可能需要管理員撤銷使用者的所有存取權的情節包括遭盜用的帳戶、員工終止和其他內部威脅。 根據環境的複雜度而定,管理員可以採取幾個步驟,以確保存取權已撤銷。 在某些情節中,從啟動存取撤銷到有效撤銷存取權之間可能會有一段時間。
若要降低風險,您必須瞭解權杖的運作方式。 有許多類型的權杖,可分為下列各節所述的其中一種模式。
存取權杖和重新整理權杖
存取權杖和重新整理權杖經常與豐富的用戶端應用程式搭配使用,也可用於瀏覽器型應用程式,例如單一頁面應用程式。
當使用者向 Microsoft Entra ID (Microsoft Entra 的一部分) 進行驗證時,系統會評估授權原則,以判斷是否可以授與使用者特定資源的存取權。
如果已獲授權,Microsoft Entra ID 會簽發資源的存取權杖和重新整理權杖。
依預設,Microsoft Entra ID 所簽發的存取權杖預設可持續 1 小時。 如果驗證通訊協定允許,應用程式可以在存取權杖到期時,將重新整理權杖傳遞給 Microsoft Entra ID,以無訊息方式重新驗證使用者。
Microsoft Entra ID 接著重新評估其授權原則。 如果使用者仍獲得授權,Microsoft Entra ID 會簽發新的存取權杖與重新整理權杖。
如果必須在短於權杖存留期的時間內 (通常會在一小時內) 撤銷存取權,存取權杖可能會有安全性問題。 基於這個理由,Microsoft 正積極地將持續存取評估導入 Office 365 應用程式,可協助確保存取權杖近乎即時地失效。
工作階段權杖 (cookie)
大部分的瀏覽器型應用程式會使用工作階段權杖,而不是存取和重新整理權杖。
當使用者開啟瀏覽器並透過 Microsoft Entra ID 驗證應用程式時,使用者會收到兩個工作階段權杖。 一個來自 Microsoft Entra ID,另一個則來自應用程式。
當應用程式簽發自己的工作階段權杖之後,應用程式的存取權就會由應用程式的工作階段進行控管。 此時,使用者只會受到應用程式所知道的授權原則影響。
應用程式將使用者傳回 Microsoft Entra ID 的頻率,就跟重新評估 Microsoft Entra ID 的授權原則的頻率一樣。 重新評估通常會以無訊息模式進行,但頻率取決於應用程式的設定方式。 只要工作階段權杖有效,應用程式可能永遠不會將使用者傳回 Microsoft Entra ID。
針對要撤銷的工作階段權杖,應用程式必須根據其本身的授權原則撤銷存取權。 Microsoft Entra ID 無法直接撤銷應用程式所簽發的工作階段權杖。
撤銷混合式環境中使用者的存取權
針對內部部署 Active Directory 與 Microsoft Entra ID 同步處理的混合式環境,Microsoft 建議 IT 管理員採取下列動作。 如果您擁有僅限於 Microsoft Entra 的環境,請跳至 Microsoft Entra 環境章節。
內部部署 Active Directory 環境
以 Active Directory 中的管理員身分,連接到內部部署網路、開啟 PowerShell,然後採取下列動作:
在 Active Directory 中停用使用者。 請參閱 Disable-ADAccount。
Disable-ADAccount -Identity johndoe在 Active Directory 中重設使用者的密碼兩次。 請參閱 Set-ADAccountPassword。
注意
變更使用者密碼兩次的原因是要減輕傳遞雜湊的風險,特別是在內部部署密碼複寫延遲的情況下。 如果您可以放心地假設此帳戶不會遭到盜用,您可以只重設密碼一次。
重要
請勿在下列 Cmdlet 中使用範例密碼。 務必將密碼變更為隨機字串。
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Microsoft Entra 環境
以 Microsoft Entra ID 的管理員身分開啟 PowerShell,執行 Connect-MgGraph 並採取下列動作:
停用 Microsoft Entra ID 中的使用者。 請參閱 Update-MgUser。
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$false撤銷使用者的 Microsoft Entra ID 重新整理權杖。 請參閱 Revoke-MgUserSignInSession。
Revoke-MgUserSignInSession -UserId $User.Id停用使用者的裝置。 請參閱 Get-MgUserRegisteredDevice。
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
注意
如需可執行這些步驟的特定角色資訊,請檢閱 Microsoft Entra 內建角色
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
撤銷存取權時
當管理員執行上述步驟之後,使用者就無法為任何繫結至 Microsoft Entra ID 的應用程式取得新的權杖。 撤銷和使用者遺失其存取權的已耗用時間,取決於應用程式授與存取權的方式:
針對使用存取權杖的應用程式,當存取權杖到期時,使用者就會失去存取權。
針對使用工作階段權杖的應用程式,現有的工作階段會在權杖到期時立即結束。 如果使用者的停用狀態已同步處理至應用程式,則應用程式可以自動撤銷使用者的現有工作階段 (如果已設定)。 花費的時間取決於應用程式與 Microsoft Entra ID 之間的同步處理頻率。
最佳作法
部署自動化佈建和取消佈建解決方案。 取消佈建應用程式的使用者是撤銷存取的有效方式,特別是針對使用工作階段權杖或允許使用者直接登入的應用程式,而不需要Microsoft Entra 或 Windows Server AD 權杖。 開發一個程序,也將使用者取消佈建至不支援自動佈建和取消佈建的應用程式。 請確保應用程式會撤銷自己的工作階段權杖,並停止接受 Microsoft Entra 存取權杖,即使其仍然有效也是一樣。
使用 Microsoft Entra 應用程式佈建。 Microsoft Entra 應用程式佈建通常每隔 20-40 分鐘會自動執行一次。 設定 Microsoft Entra 佈建以取消佈建或停用 SaaS 和內部部署應用程式中的使用者。 如果您使用 Microsoft Identity Manager 將使用者從內部部署應用程式取消佈建自動化,您可以使用 Microsoft Entra 應用程式佈建,透過 SQL 資料庫、非 AD 目錄伺服器或其他連接器連線到內部部署應用程式。
針對使用 Windows Server AD 的內部部署應用程式,您可以設定 Microsoft Entra 生命週期工作流程,以在員工離職時 更新 AD (預覽) 中的使用者。
識別並開發需要手動取消佈建的應用程式程式,例如使用 Microsoft Entra Entitlement Management 建立自動 ServiceNow 票證建立,以在員工失去存取權時開啟票證。 請確定管理員和應用程式擁有者可以快速執行必要的手動工作,以便在需要時將使用者從這些應用程式取消佈建。
使用 Microsoft Intune 管理裝置和應用程式。 Intune 管理的裝置可以重設為原廠設定。 如果裝置未受管理,您可以從受管理的應用程式抹除公司資料。 這些程序能有效地從終端使用者的裝置移除可能的敏感性資料。 不過,若要觸發任一程序,裝置必須連線到網際網路。 如果裝置已離線,裝置仍可存取任何本地儲存的資料。
注意
抹除之後,無法復原裝置上的資料。
使用適用於雲端的 Microsoft Defender 應用程式來封鎖資料下載 (如適用)。 如果資料只能在線上存取,則組織可以監視工作階段,並達成即時原則的強制執行。
使用 Microsoft Entra ID 中的持續性存取評估 (CAE)。 CAE 可讓管理員撤銷具有 CAE 功能之應用程式的工作階段權杖和存取權杖。