Återkalla användaråtkomst i Microsoft Entra-ID

Artikel
03/15/2024

Scenarier som kan kräva att en administratör återkallar all åtkomst för en användare inkluderar komprometterade konton, uppsägning av anställda och andra insiderhot. Beroende på miljöns komplexitet kan administratörer vidta flera åtgärder för att säkerställa att åtkomsten återkallas. I vissa scenarier kan det finnas en period mellan inledandet av återkallande av åtkomst och när åtkomsten återkallas effektivt.

För att minimera riskerna måste du förstå hur token fungerar. Det finns många typer av token som ingår i ett av de mönster som nämns i avsnitten nedan.

Åtkomsttoken och uppdateringstoken

Åtkomsttoken och uppdateringstoken används ofta med tjocka klientprogram och används även i webbläsarbaserade program, till exempel ensidesappar.

När användare autentiserar till Microsoft Entra-ID, en del av Microsoft Entra, utvärderas auktoriseringsprinciper för att avgöra om användaren kan beviljas åtkomst till en specifik resurs.
Om det är godkänt utfärdar Microsoft Entra-ID en åtkomsttoken och en uppdateringstoken för resursen.
Åtkomsttoken som utfärdats av Microsoft Entra-ID varar som standard i 1 timme. Om autentiseringsprotokollet tillåter kan appen tyst autentisera användaren igen genom att skicka uppdateringstoken till Microsoft Entra-ID:t när åtkomsttoken upphör att gälla.

Microsoft Entra-ID utvärderar sedan sina auktoriseringsprinciper på nytt. Om användaren fortfarande har behörighet utfärdar Microsoft Entra-ID en ny åtkomsttoken och uppdaterar token.

Åtkomsttoken kan vara ett säkerhetsproblem om åtkomsten måste återkallas inom en tid som är kortare än tokens livslängd, vilket vanligtvis är ungefär en timme. Därför arbetar Microsoft aktivt med att få kontinuerlig åtkomstutvärdering till Office 365-program, vilket säkerställer att åtkomsttoken blir ogiltiga nästan i realtid.

Sessionstoken (cookies)

De flesta webbläsarbaserade program använder sessionstoken i stället för åtkomst och uppdateringstoken.

När en användare öppnar en webbläsare och autentiserar till ett program via Microsoft Entra-ID får användaren två sessionstoken. Ett från Microsoft Entra-ID och ett annat från programmet.
När ett program utfärdar en egen sessionstoken styrs åtkomsten till programmet av programmets session. I det här läget påverkas användaren endast av de auktoriseringsprinciper som programmet känner till.
Auktoriseringsprinciperna för Microsoft Entra-ID omvärderas så ofta programmet skickar tillbaka användaren till Microsoft Entra-ID. Omvärdering sker vanligtvis tyst, även om frekvensen beror på hur programmet konfigureras. Det är möjligt att appen aldrig skickar tillbaka användaren till Microsoft Entra-ID så länge sessionstoken är giltig.
För att en sessionstoken ska återkallas måste programmet återkalla åtkomst baserat på sina egna auktoriseringsprinciper. Microsoft Entra-ID kan inte direkt återkalla en sessionstoken som utfärdats av ett program.

Återkalla åtkomst för en användare i hybridmiljön

För en hybridmiljö med lokal Active Directory synkroniserad med Microsoft Entra-ID rekommenderar Microsoft IT-administratörer att vidta följande åtgärder. Om du har en Microsoft Entra-miljö går du vidare till avsnittet Microsoft Entra-miljö .

Lokal Active Directory-miljö

Som administratör i Active Directory ansluter du till ditt lokala nätverk, öppnar PowerShell och vidtar följande åtgärder:

Inaktivera användaren i Active Directory. Se Disable-ADAccount.
```
Disable-ADAccount -Identity johndoe  
```
Återställ användarens lösenord två gånger i Active Directory. Se Set-ADAccountPassword.

Kommentar

Anledningen till att ändra en användares lösenord två gånger är att minska risken för pass-the-hash, särskilt om det uppstår fördröjningar i den lokala lösenordsreplikeringen. Om du på ett säkert sätt kan anta att det här kontot inte har komprometterats kan du bara återställa lösenordet en gång.

Viktigt!

Använd inte exempellösenorden i följande cmdletar. Se till att ändra lösenorden till en slumpmässig sträng.
```
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
```

Microsoft Entra-miljö

Som administratör i Microsoft Entra-ID öppnar du PowerShell, kör Connect-MgGraphoch vidtar följande åtgärder:

Inaktivera användaren i Microsoft Entra-ID. Se Update-MgUser.

$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
Update-MgUser -UserId $User.Id -AccountEnabled:$false

Återkalla användarens Uppdateringstoken för Microsoft Entra-ID. Se Revoke-MgUserSignInSession.
```
Revoke-MgUserSignInSession -UserId $User.Id
```

Inaktivera användarens enheter. Se Get-MgUserRegisteredDevice.

$Device = Get-MgUserRegisteredDevice -UserId $User.Id 
Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false

Kommentar

Information om specifika roller som kan utföra dessa steg finns i Inbyggda Microsoft Entra-roller

Viktigt!

Azure AD PowerShell planeras för utfasning den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Microsoft Graph PowerShell ger åtkomst till alla Microsoft Graph-API:er och är tillgängligt i PowerShell 7. Svar på vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering.

När åtkomst återkallas

När administratörerna har vidtagit stegen ovan kan användaren inte få nya token för något program som är kopplat till Microsoft Entra-ID. Den förflutna tiden mellan återkallelsen och användaren som förlorar sin åtkomst beror på hur programmet beviljar åtkomst:

För program som använder åtkomsttoken förlorar användaren åtkomst när åtkomsttoken upphör att gälla.
För program som använder sessionstoken avslutas de befintliga sessionerna så snart token upphör att gälla. Om användarens inaktiverade tillstånd synkroniseras med programmet kan programmet automatiskt återkalla användarens befintliga sessioner om det har konfigurerats för att göra det. Hur mycket tid det tar beror på synkroniseringsfrekvensen mellan programmet och Microsoft Entra-ID: t.

Bästa praxis

Distribuera en automatiserad etablerings- och avetableringslösning. Avetablering av användare från program är ett effektivt sätt att återkalla åtkomst, särskilt för program som använder sessionstoken. Utveckla en process för att avetablera användare till appar som inte stöder automatisk etablering och avetablering. Se till att program återkallar sina egna sessionstoken och slutar acceptera Microsoft Entra-åtkomsttoken även om de fortfarande är giltiga.
- Använd Microsoft Entra SaaS-appetablering. Microsoft Entra SaaS App Provisioning körs vanligtvis automatiskt var 20–40:e minut. Konfigurera Microsoft Entra-etablering för att avetablera eller inaktivera inaktivera inaktiverade användare i program.
- För program som inte använder Microsoft Entra SaaS-appetablering använder du Identity Manager (MIM) eller en tredjepartslösning för att automatisera avetablering av användare.
- Identifiera och utveckla en process för program som kräver manuell avetablering. Se till att administratörer snabbt kan köra nödvändiga manuella uppgifter för att avetablera användaren från dessa appar när det behövs.
Hantera dina enheter och program med Microsoft Intune. Intune-hanterade enheter kan återställas till fabriksinställningarna. Om enheten inte hanteras kan du rensa företagsdata från hanterade appar. Dessa processer är effektiva för att ta bort potentiellt känsliga data från slutanvändarenheter. För att någon av processerna ska utlösas måste enheten dock vara ansluten till Internet. Om enheten är offline har enheten fortfarande åtkomst till alla lokalt lagrade data.