Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Scenariusze, które mogą wymagać od administratora odwołania całego dostępu dla użytkownika, obejmują konta z naruszeniem zabezpieczeń, zakończenie pracy pracowników i inne zagrożenia wewnętrzne. W zależności od złożoności środowiska administratorzy mogą wykonać kilka kroków w celu zapewnienia odwołania dostępu. W niektórych scenariuszach może istnieć okres między rozpoczęciem odwoływania dostępu a efektywnym odwoływaniem dostępu.
Aby ograniczyć ryzyko, musisz zrozumieć, jak działają tokeny. Istnieje wiele rodzajów tokenów, które należą do jednego z wzorców omówionych w tym artykule.
Tokeny dostępu i tokeny odświeżania
Tokeny dostępu i tokeny odświeżania są często używane z grubymi aplikacjami klienckimi, a także używane w aplikacjach opartych na przeglądarce, takich jak aplikacje jednostronicowe.
- Gdy użytkownicy uwierzytelniają się w usłudze Microsoft Entra ID, część firmy Microsoft Entra, zasady autoryzacji są oceniane w celu określenia, czy użytkownik może uzyskać dostęp do określonego zasobu.
- Po autoryzacji identyfikator Entra firmy Microsoft wystawia token dostępu i token odświeżania zasobu.
- Jeśli protokół uwierzytelniania zezwala, aplikacja może dyskretnie ponownie uwierzytelnić użytkownika, przekazując token odświeżania do identyfikatora Entra firmy Microsoft po wygaśnięciu tokenu dostępu. Domyślnie tokeny dostępu wystawione przez identyfikator Entra firmy Microsoft trwają przez 1 godzinę.
- Identyfikator Entra firmy Microsoft następnie ponownie waliduje zasady autoryzacji. Jeśli użytkownik jest nadal autoryzowany, Microsoft Entra ID wystawia nowy token dostępu i odświeża token.
Tokeny dostępu mogą stanowić zagrożenie bezpieczeństwa, jeśli muszą zostać odwołane w okresie krótszym niż ich typowa żywotność jednogodzinna. Z tego powodu firma Microsoft aktywnie pracuje nad zapewnieniem ciągłej oceny dostępu do aplikacji usługi Office 365, co pomaga zapewnić unieważnienie tokenów dostępu niemal w czasie rzeczywistym.
Tokeny sesji (pliki cookie)
Większość aplikacji opartych na przeglądarce używa tokenów sesji zamiast tokenów dostępu i odświeżania.
Gdy użytkownik otworzy przeglądarkę i uwierzytelnia się w aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft, użytkownik otrzymuje dwa tokeny sesji. Jeden z identyfikatorów Entra firmy Microsoft i drugi z aplikacji.
Gdy aplikacja wystawia własny token sesji, aplikacja kontroluje dostęp na podstawie zasad autoryzacji.
Zasady autoryzacji Microsoft Entra ID są ponownie oceniane za każdym razem, gdy aplikacja odsyła użytkownika z powrotem do Microsoft Entra ID. Ponowne ocena zwykle odbywa się w trybie dyskretnym, chociaż częstotliwość zależy od sposobu konfigurowania aplikacji. Możliwe, że aplikacja nigdy nie może wysłać użytkownika z powrotem do identyfikatora Entra firmy Microsoft, o ile token sesji jest prawidłowy.
Aby token sesji został odwołany, aplikacja musi odwołać dostęp na podstawie własnych zasad autoryzacji. Identyfikator Entra firmy Microsoft nie może bezpośrednio odwołać tokenu sesji wystawionego przez aplikację.
Odwoływanie dostępu dla użytkownika w środowisku hybrydowym
W przypadku środowiska hybrydowego z lokalną usługą Active Directory zsynchronizowanej z Microsoft Entra ID, firma Microsoft zaleca administratorom IT podjęcie następujących działań. Jeśli masz środowisko tylko firmy Microsoft, przejdź do sekcji Środowisko Firmy Microsoft Entra.
Lokalne środowisko usługi Active Directory
Jako administrator w usłudze Active Directory połącz się z siecią lokalną, otwórz program PowerShell i wykonaj następujące czynności:
Wyłącz użytkownika w usłudze Active Directory. Zobacz Disable-ADAccount.
Disable-ADAccount -Identity johndoeZresetuj hasło użytkownika dwa razy w usłudze Active Directory. Zapoznaj się z artykułem Set-ADAccountPassword.
Uwaga
Przyczyną dwukrotnej zmiany hasła użytkownika jest ograniczenie ryzyka ataku pass-the-hash, zwłaszcza jeśli występują opóźnienia w replikacji haseł w siedzibie. Jeśli możesz bezpiecznie założyć, że to konto nie zostanie naruszone, możesz zresetować hasło tylko raz.
Ważne
Nie używaj przykładowych haseł w następujących poleceniach cmdlet. Pamiętaj, aby zmienić hasła na losowy ciąg.
Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force) Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
Środowisko Microsoft Entra
Jako administrator w usłudze Microsoft Entra ID otwórz program PowerShell, uruchom polecenie Connect-MgGraphi wykonaj następujące czynności:
Wyłącz użytkownika w identyfikatorze Entra firmy Microsoft. Zapoznaj się z artykułem Update-MgUser.
$User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual Update-MgUser -UserId $User.Id -AccountEnabled:$falseCofnij tokeny odświeżania identyfikatora Microsoft Entra użytkownika. Zapoznaj się z Revoke-MgUserSignInSession.
Revoke-MgUserSignInSession -UserId $User.IdWyłącz urządzenia użytkownika. Odwołaj się do Get-MgUserRegisteredDevice.
$Device = Get-MgUserRegisteredDevice -UserId $User.Id Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
Uwaga
Aby uzyskać informacje na temat określonych ról, które mogą wykonać te kroki, zapoznaj się z wbudowanymi rolami firmy Microsoft
Uwaga
Moduły Azure AD i MSOnline programu PowerShell zostaną wycofane z dniem 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: Wersje 1.0.x usługi MSOnline mogą doświadczyć zakłóceń po 30 czerwca 2024 r.
Po odwołaniu dostępu
Po podjęciu powyższych kroków przez administratorów użytkownik nie może uzyskać nowych tokenów dla żadnej aplikacji powiązanej z identyfikatorem Entra firmy Microsoft. Czas, który upłynął między odwołaniem a utratą dostępu przez użytkownika, zależy od tego, jak aplikacja udziela dostępu:
W przypadku aplikacji korzystających z tokenów dostępu użytkownik traci dostęp po wygaśnięciu tokenu dostępu.
W przypadku aplikacji korzystających z tokenów sesji istniejące sesje kończą się zaraz po wygaśnięciu tokenu. Jeśli nieaktywny stan użytkownika jest synchronizowany z aplikacją, aplikacja może automatycznie odwołać istniejące sesje użytkownika, jeśli jest skonfigurowana do tego celu. Czas potrzebny na synchronizację zależy od częstotliwości synchronizacji między aplikacją a identyfikatorem Entra firmy Microsoft.
Najlepsze rozwiązania
Wdróż zautomatyzowane rozwiązanie aprowizacji i deaprowizacji. Dezaprowizacja użytkowników z aplikacji to skuteczny sposób odwołania dostępu, zwłaszcza w przypadku aplikacji korzystających z tokenów sesji lub zezwalających użytkownikom na bezpośrednie logowanie się bez tokenu Microsoft Entra lub Windows Server AD. Opracuj proces anulowania aprowizacji użytkowników w aplikacjach, które nie obsługują automatycznej aprowizacji i anulowania aprowizacji. Upewnij się, że aplikacje odwołują własne tokeny sesji i przestają akceptować tokeny dostępu firmy Microsoft, nawet jeśli są one nadal prawidłowe.
Użyj aprowizacji aplikacji Microsoft Entra. Aprowizowanie aplikacji Firmy Microsoft Entra jest zwykle uruchamiane automatycznie co 20–40 minut. Skonfiguruj aprowizację Microsoft Entra w celu wycofywania aprowizacji lub dezaktywacji użytkowników w aplikacjach SaaS i lokalnych. Jeśli używałeś Microsoft Identity Manager do automatyzacji wyłączania użytkowników z aplikacji lokalnych, możesz użyć aprowizacji aplikacji Microsoft Entra, aby uzyskać dostęp do aplikacji lokalnych za pomocą bazy danych SQL, serwera katalogowego nie-AD lub innych łączników.
W przypadku aplikacji lokalnych korzystających z usługi AD w systemie Windows Server można skonfigurować Microsoft Entra Lifecycle Workflows, aby aktualizować użytkowników w usłudze AD (wersja zapoznawcza) po odejściu pracowników z firmy.
Identyfikowanie i opracowywanie procesu dla aplikacji, które wymagają ręcznej dezaprowizacji. Na przykład automatyczne tworzenie zgłoszeń ServiceNow z Microsoft Entra Entitlement Management może otworzyć zgłoszenie, gdy pracownicy utracą dostęp. Upewnij się, że administratorzy i właściciele aplikacji mogą szybko uruchamiać wymagane zadania ręczne w celu anulowania aprowizacji użytkownika z tych aplikacji w razie potrzeby.
Zarządzanie urządzeniami i aplikacjami za pomocą usługi Microsoft Intune. Urządzenia zarządzane przez usługę Intune można zresetować do ustawień fabrycznych. Jeśli urządzenie jest niezarządzane, możesz wyczyścić dane firmowe z zarządzanych aplikacji. Te procesy są skuteczne w przypadku usuwania potencjalnie poufnych danych z urządzeń użytkowników końcowych. Jednak aby można było wyzwolić dowolny proces, urządzenie musi być połączone z Internetem. Jeśli urządzenie jest w trybie offline, nadal ma dostęp do dowolnych lokalnie przechowywanych danych.
Uwaga
Nie można odzyskać danych na urządzeniu po wyczyszczeniu.
Użyj usługi Microsoft Defender dla Chmury Apps, aby zablokować pobieranie danych w razie potrzeby. Jeśli dostęp do danych można uzyskać tylko w trybie online, organizacje mogą monitorować sesje i osiągać wymuszanie zasad w czasie rzeczywistym.
Użyj Continuous Access Evaluation (CAE) w Microsoft Entra ID. Funkcja CAE umożliwia administratorom odwoływanie tokenów sesji i tokenów dostępu dla aplikacji, które są w stanie obsługiwać usługę CAE.