Revocar el acceso de usuario en Microsoft Entra ID

Entre los escenarios que podrían requerir que un administrador revoque todo el acceso de un usuario, se incluyen cuentas en peligro, rescisión de empleados y otras amenazas internas. En función de la complejidad del entorno, los administradores pueden realizar varios pasos para garantizar la revocación del acceso. En algunos escenarios, puede haber un período entre el inicio de la revocación del acceso y el momento en que se revoca realmente.

Para mitigar los riesgos, debe comprender cómo funcionan los tokens. Hay muchos tipos de tokens, que se encuentran en uno de los patrones que se mencionan en las secciones siguientes.

Tokens de acceso y tokens de actualización

Los tokens de acceso y los tokens de actualización se usan con frecuencia con aplicaciones cliente pesado y también se usan en aplicaciones basadas en explorador, como las aplicaciones de una sola página.

• Cuando un usuario se autentica en Microsoft Entra ID, que forma parte de Microsoft Entra, se evalúan las directivas de autorización para determinar si se puede conceder acceso a un recurso específico para ese usuario.

• Si se autoriza, Microsoft Entra ID emite un token de acceso y un token de actualización para el recurso.

• Los tokens de acceso que emite Microsoft Entra ID duran 1 hora de forma predeterminada. Si el protocolo de autenticación lo permite, la aplicación puede pasar el token de actualización a Microsoft Entra ID cuando expire el token de acceso con la finalidad de volver a autenticar al usuario de forma silenciosa.

A continuación, Microsoft Entra ID vuelve a evaluar sus directivas de autorización. Si el usuario sigue autorizado, Microsoft Entra ID emite un nuevo token de acceso y un token de actualización.

Los tokens de acceso pueden ser un problema de seguridad si el acceso se debe revocar en un período de tiempo menor que la duración del token, que suele ser de una hora aproximadamente. Por esta razón, Microsoft trabaja activamente para incorporar la evaluación del acceso continua a las aplicaciones de Office 365, lo que ayuda a garantizar la invalidación de los tokens de acceso casi en tiempo real.

Tokens de sesión (cookies)

La mayoría de las aplicaciones basadas en explorador usan tokens de sesión en lugar de tokens de acceso y de actualización.

• Cuando un usuario abre un explorador y se autentica en una aplicación a través de Microsoft Entra ID, recibe dos tokens de sesión. Uno de Microsoft Entra ID y otro de la aplicación.

• Una vez que una aplicación emite su propio token de sesión, el acceso a la aplicación se rige por la sesión de la aplicación. En este momento, el usuario solo se ve afectado por las directivas de autorización de las que la aplicación es consciente.

• Las directivas de autorización de Microsoft Entra ID se vuelven a evaluar con la frecuencia con la que la aplicación vuelve a enviar al usuario a Microsoft Entra ID. Normalmente, la reevaluación se produce de forma silenciosa, aunque la frecuencia depende de cómo esté configurada la aplicación. Es posible que la aplicación nunca vuelva a enviar al usuario a Microsoft Entra ID siempre y cuando el token de sesión sea válido.

• Para poder revocar un token de sesión, la aplicación debe revocar el acceso en función de sus propias directivas de autorización. Microsoft Entra ID no puede revocar directamente un token de sesión emitido por una aplicación.

Revocar el acceso de un usuario en el entorno híbrido

Para un entorno híbrido con Active Directory local sincronizado con Microsoft Entra ID, Microsoft recomienda a los administradores de TI que realicen las siguientes acciones. Si tiene un entorno solo de Microsoft Entra, vaya directamente a la sección entorno de Microsoft Entra.

Entorno de Active Directory local

Como administrador de Active Directory, conéctese a la red local, abra PowerShell y realice las siguientes acciones:

1. Deshabilite al usuario en Active Directory. Consulte Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Restablezca la contraseña del usuario dos veces en Active Directory. Consulte Set-ADAccountPassword.

   Nota:

   La razón para cambiar la contraseña de un usuario dos veces es mitigar el riesgo de ataques Pass-the-hash, especialmente si hay retrasos en la replicación de contraseñas local. Si puede suponer con seguridad que esta cuenta no está en peligro, puede restablecer la contraseña solo una vez.

   Importante

   No use las contraseñas de ejemplo en los siguientes cmdlets. Asegúrese de cambiar las contraseñas por una cadena aleatoria.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Entorno de Microsoft Entra

Como administrador de Microsoft Entra ID, abra PowerShell, ejecute Connect-MgGraph y realice las siguientes acciones:

1. Deshabilita el usuario en Microsoft Entra ID. Consulta Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Revoca los tokens de actualización del usuario de Microsoft Entra ID. Consulta Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Deshabilite los dispositivos del usuario. Consulta Get-AzureADUserRegisteredDevice.

   $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
   Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
   

Nota:

Para obtener información sobre los roles específicos que pueden realizar estos pasos, consulte Roles integrados de Microsoft Entra

Importante

Está previsto que PowerShell de Azure AD quede en desuso el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). PowerShell de Microsoft Graph permite acceder a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas comunes sobre migración, consulte las preguntas más frecuentes sobre la migración.

Cuando se revoca el acceso

Una vez que los administradores han realizado los pasos anteriores, el usuario no puede obtener nuevos tokens para ninguna aplicación asociada a Microsoft Entra ID. El tiempo transcurrido entre la revocación y el momento en que el usuario pierde el acceso depende del modo en que la aplicación concede el acceso:

• Para las aplicaciones que usan tokens de acceso, el usuario pierde el acceso cuando expira el token de acceso.

• En el caso de las aplicaciones que usan tokens de sesión, las sesiones existentes finalizan cuando expira el token. Si el estado deshabilitado del usuario se sincroniza con la aplicación, la aplicación puede revocar automáticamente las sesiones existentes del usuario si está configurada para hacerlo. El tiempo que se tarda depende de la frecuencia de sincronización entre la aplicación y Microsoft Entra ID.

procedimientos recomendados

• Implementación de una solución de aprovisionamiento y desaprovisionamiento automatizada. El desaprovisionamiento de usuarios de las aplicaciones es una manera eficaz de revocar el acceso, especialmente en el caso de las aplicaciones que usan tokens de sesión. Desarrolle un proceso para desaprovisionar a los usuarios de las aplicaciones que no admiten el aprovisionamiento y desaprovisionamiento automáticos. Asegúrese de que las aplicaciones revocan sus propios tokens de sesión y deje de aceptar tokens de acceso de Microsoft Entra aunque sigan siendo válidos.

  • Use el aprovisionamiento de aplicaciones SaaS de Microsoft Entra. El aprovisionamiento de aplicaciones SaaS de Microsoft Entra normalmente se ejecuta automáticamente cada 20-40 minutos. Configuración del aprovisionamiento de Microsoft Entra para desaprovisionar o desactivar los usuarios deshabilitados en las aplicaciones.

  • En el caso de las aplicaciones que no usen el aprovisionamiento de aplicaciones SaaS de Microsoft Entra, use el Administrador de identidades (MIM) o una solución de terceros para automatizar el desaprovisionamiento de usuarios.

  • Identifique y desarrolle un proceso para las aplicaciones que requieren realizar el desaprovisionamiento manual. Asegúrese de que los administradores puedan ejecutar rápidamente las tareas manuales necesarias para desaprovisionar al usuario de estas aplicaciones cuando sea necesario.

• Administración de dispositivos y aplicaciones con Microsoft Intune. Los dispositivos que administra Intune se pueden restablecer a la configuración de fábrica. Si el dispositivo no está administrado, puede borrar los datos corporativos de las aplicaciones administradas. Estos procesos son eficaces para quitar datos potencialmente confidenciales de los dispositivos de los usuarios finales. Sin embargo, para cualquier proceso que se desencadene, el dispositivo debe estar conectado a Internet. Si el dispositivo está sin conexión, este seguirá teniendo acceso a los datos almacenados localmente.

Nota:

Los datos del dispositivo no se pueden recuperar después de un borrado.

• Use Microsoft Defender for Cloud Apps para bloquear la descarga de datos cuando sea necesario. Si solo se puede obtener acceso a los datos en línea, las organizaciones pueden supervisar las sesiones y lograr el cumplimiento de las directivas en tiempo real.

• Use la Evaluación continua de acceso en Microsoft Entra ID. CAE permite a los administradores revocar los tokens de sesión y los tokens de acceso para las aplicaciones que son compatibles con CAE.

Pasos siguientes

• Procedimientos de acceso seguro para los administradores de Microsoft Entra
• Agregar o actualizar la información del perfil de usuario
• Eliminación de un ex empleado