Felhasználói hozzáférés visszavonása Azure Active Directory

Olyan forgatókönyvek, amelyek megkövetelik, hogy a rendszergazda visszavonja egy felhasználó összes hozzáférését, például a feltört fiókokat, az alkalmazottak megszüntetését és más belső fenyegetéseket. A környezet összetettségétől függően a rendszergazdák több lépést is elvégezhetnek a hozzáférés visszavonásának biztosítása érdekében. Bizonyos esetekben előfordulhat, hogy a hozzáférés visszavonása kezdeményezése és a hozzáférés tényleges visszavonása között időszak áll fenn.

A kockázatok mérsékléséhez tisztában kell lennie a jogkivonatok működésével. Számos token létezik, amelyek az alábbi szakaszokban említett minták egyikébe tartoznak.

Hozzáférési jogkivonatok és frissítési jogkivonatok

A hozzáférési jogkivonatokat és a frissítési jogkivonatokat gyakran használják vastag ügyfélalkalmazásokkal, valamint böngészőalapú alkalmazásokban, például egyoldalas alkalmazásokban is.

• Amikor a felhasználók a Microsoft Entra részét képező Azure Active Directory (Azure AD) hitelesítik magukat, a rendszer kiértékeli az engedélyezési szabályzatokat annak megállapítására, hogy a felhasználónak lehet-e hozzáférést biztosítani egy adott erőforráshoz.

• Ha engedélyezve van, Azure AD kiad egy hozzáférési és egy frissítési jogkivonatot az erőforráshoz.

• A Azure AD által kiadott hozzáférési jogkivonatok alapértelmezés szerint 1 óráig tartanak. Ha a hitelesítési protokoll lehetővé teszi, az alkalmazás csendesen újrahitelesítheti a felhasználót, ha átadja a frissítési jogkivonatot a Azure AD, amikor a hozzáférési jogkivonat lejár.

Azure AD ezután újraértékeli az engedélyezési házirendeket. Ha a felhasználó továbbra is jogosult, Azure AD kiad egy új hozzáférési jogkivonatot, és frissíti a jogkivonatot.

A hozzáférési jogkivonatok biztonsági problémát jelenthetnek, ha a hozzáférést a jogkivonat élettartamánál rövidebb időn belül kell visszavonni, ami általában körülbelül egy óra. Ezért a Microsoft aktívan dolgozik azon, hogy folyamatos hozzáférés-kiértékelést hozzon Office 365 alkalmazásokhoz, ami közel valós időben biztosítja a hozzáférési jogkivonatok érvénytelenítését.

Munkamenet-jogkivonatok (cookie-k)

A legtöbb böngészőalapú alkalmazás a hozzáférési és frissítési jogkivonatok helyett munkamenet-jogkivonatokat használ.

• Amikor egy felhasználó megnyit egy böngészőt, és Azure AD keresztül hitelesíti magát egy alkalmazásban, a felhasználó két munkamenet-jogkivonatot kap. Egy Azure AD és egy másik az alkalmazásból.

• Ha egy alkalmazás kiadja a saját munkamenet-jogkivonatát, az alkalmazáshoz való hozzáférést az alkalmazás munkamenete szabályozza. Ezen a ponton a felhasználóra csak azok az engedélyezési szabályzatok vannak hatással, amelyekről az alkalmazás tud.

• A Azure AD engedélyezési szabályzatait a rendszer olyan gyakran újraértékeli, amikor az alkalmazás visszaküldi a felhasználót Azure AD. Az újraértékelés általában csendesen történik, bár a gyakoriság az alkalmazás konfigurálásának módjától függ. Előfordulhat, hogy az alkalmazás soha nem küldi vissza a felhasználót Azure AD, amíg a munkamenet-jogkivonat érvényes.

• A munkamenet-jogkivonat visszavonásához az alkalmazásnak vissza kell vonnia a hozzáférést a saját engedélyezési szabályzatai alapján. Azure AD nem vonhatja vissza közvetlenül egy alkalmazás által kiadott munkamenet-jogkivonatot.

Felhasználó hozzáférésének visszavonása a hibrid környezetben

Az Azure Active Directory szinkronizált helyi Active Directory hibrid környezet esetén a Microsoft a következő műveletek végrehajtását javasolja a rendszergazdáknak. Ha csak Azure AD környezettel rendelkezik, ugorjon a Azure Active Directory környezet szakaszra.

Helyszíni Active Directory-környezet

Az Active Directory rendszergazdájaként csatlakozzon a helyszíni hálózathoz, nyissa meg a PowerShellt, és hajtsa végre a következő műveleteket:

1. Tiltsa le a felhasználót az Active Directoryban. Lásd: Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Állítsa alaphelyzetbe kétszer a felhasználó jelszavát az Active Directoryban. Tekintse meg a Set-ADAccountPassword parancsot.

   Megjegyzés

   A felhasználó jelszavának kétszeri módosításának oka az átengedés kockázatának csökkentése, különösen akkor, ha késések tapasztalhatók a helyszíni jelszóreplikálásban. Ha biztonságosan feltételezheti, hogy ez a fiók nem sérült, a jelszót csak egyszer állíthatja vissza.

   Fontos

   Ne használja a példajelszavakat a következő parancsmagokban. Ügyeljen arra, hogy a jelszavakat véletlenszerű sztringre módosítsa.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Azure Active Directory környezet

A Azure Active Directory rendszergazdájaként nyissa meg a PowerShellt, futtassa Connect-AzureADés hajtsa végre a következő műveleteket:

1. Tiltsa le a felhasználót a Azure AD. Lásd: Set-AzureADUser.

   Set-AzureADUser -ObjectId johndoe@contoso.com -AccountEnabled $false
   

2. A felhasználó Azure AD frissítési jogkivonatainak visszavonása. Lásd: Revoke-AzureADUserAllRefreshToken.

   Revoke-AzureADUserAllRefreshToken -ObjectId johndoe@contoso.com
   

3. Tiltsa le a felhasználó eszközeit. Lásd: Get-AzureADUserRegisteredDevice.

   Get-AzureADUserRegisteredDevice -ObjectId johndoe@contoso.com | Set-AzureADDevice -AccountEnabled $false
   

A hozzáférés visszavonása

Miután a rendszergazdák elvégezték a fenti lépéseket, a felhasználó nem szerezhet új jogkivonatokat a Azure Active Directory kapcsolódó alkalmazásokhoz. A visszavonás és a felhasználó hozzáférése közötti eltelt idő attól függ, hogy az alkalmazás hogyan biztosít hozzáférést:

• Hozzáférési jogkivonatokat használó alkalmazások esetén a felhasználó elveszíti a hozzáférést a hozzáférési jogkivonat lejáratakor.

• A munkamenet-jogkivonatokat használó alkalmazások esetében a meglévő munkamenetek a jogkivonat lejárata után befejeződnek. Ha a felhasználó letiltott állapota szinkronizálva van az alkalmazáshoz, az alkalmazás automatikusan visszavonhatja a felhasználó meglévő munkameneteit, ha erre van konfigurálva. Az időtartam az alkalmazás és a Azure AD közötti szinkronizálás gyakoriságától függ.

Ajánlott eljárások

• Automatizált kiépítési és megszüntetési megoldás üzembe helyezése. A felhasználók alkalmazásokból való kivonása hatékony módja a hozzáférés visszavonásának, különösen a munkamenet-jogkivonatokat használó alkalmazások esetében. Olyan folyamat fejlesztése, amely a felhasználókat olyan alkalmazásokra bontja, amelyek nem támogatják az automatikus kiépítést és megszüntetést. Győződjön meg arról, hogy az alkalmazások visszavonják a saját munkamenet-jogkivonataikat, és nem fogadnak el Azure AD hozzáférési jogkivonatokat, még akkor is, ha még érvényesek.

  • Használja Azure AD SaaS-alkalmazáskiépítést. Azure AD SaaS-alkalmazáskiépítés általában 20–40 percenként automatikusan fut. Konfigurálja Azure AD kiépítést az alkalmazások letiltott felhasználóinak megszüntetéséhez vagy inaktiválásához.

  • A Azure AD SaaS-alkalmazáskiépítést nem használó alkalmazások esetében az Identity Manager (MIM) vagy egy külső megoldás használatával automatizálhatja a felhasználók kivonását.

  • Olyan alkalmazások folyamatának azonosítása és fejlesztése, amelyek manuális leépítést igényelnek. Győződjön meg arról, hogy a rendszergazdák gyorsan le tudják futtatni a szükséges manuális feladatokat, hogy szükség esetén eltávolíthassák a felhasználót ezekről az alkalmazásokról.

• Eszközök és alkalmazások kezelése Microsoft Intune. Intune felügyelt eszközök visszaállíthatók a gyári beállításokra. Ha az eszköz nem felügyelt, törölheti a vállalati adatokat a felügyelt alkalmazásokból. Ezek a folyamatok hatékonyan távolítják el a potenciálisan bizalmas adatokat a végfelhasználók eszközeiről. Ahhoz azonban, hogy bármelyik folyamat aktiválódjon, az eszköznek csatlakoznia kell az internethez. Ha az eszköz offline állapotban van, az eszköz továbbra is hozzáférhet a helyileg tárolt adatokhoz.

Megjegyzés

Az eszközön lévő adatok nem állíthatók helyre törlés után.

• Szükség esetén az Microsoft Defender for Cloud Apps használatával letilthatja az adatletöltést. Ha az adatok csak online érhetők el, a szervezetek figyelhetik a munkameneteket, és valós idejű szabályzatkényszerítést érhetnek el.

• Engedélyezze a folyamatos hozzáférés-kiértékelést (CAE) Azure AD. A CAE lehetővé teszi a rendszergazdák számára, hogy visszavonják a munkamenet-jogkivonatokat és hozzáférési jogkivonatokat a CAE-kompatibilis alkalmazásokhoz.

Következő lépések

• Biztonságos hozzáférési eljárások Azure AD rendszergazdák számára
• Felhasználói profil adatainak hozzáadása vagy frissítése
• Korábbi alkalmazott eltávolítása vagy törlése