Отмена доступа пользователей в идентификаторе Microsoft Entra

Обзор

К сценариям, которые могут требовать, чтобы администратор отозвал все права доступа пользователя, относятся компрометация учетных записей, увольнение сотрудников и другие внутренние угрозы. В зависимости от уровня сложности рабочей среды администраторы могут применить ряд действий, чтобы гарантировать отзыв доступа. В некоторых сценариях может присутствовать промежуток времени между инициацией отзыва доступа и фактическим отзывом доступа.

Для снижения рисков необходимо понимать, как работают токены. Существует множество типов маркеров, которые попадают в один из шаблонов, рассмотренных в этой статье.

Необходимые условия

Для действий PowerShell в этой статье требуется следующее:

• Установлен Microsoft Graph PowerShell SDK. Установите необходимые модули:

  Install-Module Microsoft.Graph.Users
  Install-Module Microsoft.Graph.Users.Actions
  Install-Module Microsoft.Graph.Identity.DirectoryManagement
  

• Войдите с помощью учетной записи с соответствующими ролями. Для различных шагов требуются разные роли:

  • Отключите учетные записи пользователей: администратор пользователей, не являющихся администраторами, или администратор привилегированной проверки подлинности для учетных записей администраторов.
  • Отключите устройства: Администратор облачных устройств как минимум.

• Подключитесь к Microsoft Graph с необходимыми разрешениями:

  Connect-MgGraph -Scopes "User.ReadWrite.All","Directory.AccessAsUser.All"
  

Токены доступа и токены обновления

Токены доступа и токены обновления часто используются с толстыми клиентскими приложениями, а также в браузерных приложениях, включая одностраничные приложения.

• Когда пользователи проходят проверку подлинности в Microsoft Entra ID, политика авторизации оценивается, чтобы определить, может ли пользователь получить доступ к определенному ресурсу.
• После авторизации Microsoft Entra ID выдает токен доступа и токен обновления для ресурса.
• Если протокол аутентификации это допускает, приложение может автоматически и без вмешательства пользователя повторно пройти проверку подлинности, передав токен обновления в Microsoft Entra ID при истечении срока действия токена доступа. По умолчанию токены доступа, выдаваемые Microsoft Entra ID, действуют в течение 1 часа.
• Затем Microsoft Entra ID пересматривает свои политики авторизации. Если пользователь по-прежнему авторизован, Microsoft Entra ID выдает новый токен доступа и токен обновления.

Маркеры доступа могут представлять угрозу безопасности, если их нужно отозвать за период короче их обычного часа существования. По этой причине корпорация Майкрософт активно работает над внедрением непрерывной оценки доступа к приложениям Office 365, что помогает обеспечить недействительность маркеров доступа практически в реальном времени.

Маркеры сеансов (файлы cookie)

Большинство приложений на основе браузеров используют маркеры сеансов вместо маркеров доступа и обновления.

• Когда пользователь открывает браузер и проходит проверку подлинности в приложении с помощью идентификатора Microsoft Entra, пользователь получает два маркера сеанса. Один из идентификатора Microsoft Entra и другого из приложения.

• После того как приложение выдает собственный маркер сеанса, приложение управляет доступом на основе политик авторизации.

• Политики авторизации Microsoft Entra ID проверяются так же часто, как приложение отправляет пользователя обратно в Microsoft Entra ID. Как правило, переоценка происходит автоматически, а частота зависит от настроек приложения. Возможно, приложение никогда не отправит пользователя обратно в Microsoft Entra ID, пока токен сеанса действителен.

• Чтобы отменить маркер сеанса, приложение должно отозвать доступ на основе собственных политик авторизации. Идентификатор Microsoft Entra не может напрямую отозвать маркер сеанса, выданный приложением.

Отзыв доступа пользователя в гибридной среде

Для гибридной среды с локальной средой Active Directory, синхронизированной с идентификатором Microsoft Entra, корпорация Майкрософт рекомендует ИТ-администраторам выполнять следующие действия. Если у вас есть среда только для Microsoft Entra, перейдите к разделу среды Microsoft Entra.

Рабочая среда локальной службы Active Directory

В качестве администратора Active Directory подключитесь к локальной сети, откройте PowerShell и выполните следующие действия.

1. Отключите пользователя в Active Directory. См. также Disable-ADAccount.

   Disable-ADAccount -Identity johndoe  
   

2. Сбросьте пароль пользователя в Active Directory дважды. См. также Set-ADAccountPassword.

   Примечание.

   Двукратное изменение пароля пользователя обеспечивает снижение риска атаки Pass-the-Hash, особенно при наличии задержек локальной репликации паролей. Если вы можете безопасно предположить, что эта учетная запись не скомпрометирована, можно сбросить пароль только один раз.

   Внимание

   Не используйте примеры паролей в нижеуказанных командлетах. Обязательно измените пароли на случайные строки.

   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
   Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
   

Среда Microsoft Entra

Как администратор в идентификаторе Microsoft Entra откройте PowerShell, подключитесь к Microsoft Graph с необходимыми областями (см. предварительные требования) и выполните следующие действия:

1. Отключите пользователя в идентификаторе Microsoft Entra. См. раздел Update-MgUser.

   $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
   Update-MgUser -UserId $User.Id -AccountEnabled:$false
   

2. Отзывите токены обновления идентификатора пользователя Microsoft Entra. Обратитесь к Revoke-MgUserSignInSession.

   Revoke-MgUserSignInSession -UserId $User.Id
   

3. Отключите устройства пользователя. См. раздел Get-MgUserRegisteredDevice.

   Get-MgUserRegisteredDevice -UserId $User.Id -All | ForEach-Object {
       Update-MgDevice -DeviceId $_.Id -AccountEnabled:$false
   }
   

Когда отзывается доступ

После выполнения описанных выше действий администраторы не могут получить новые маркеры для любого приложения, привязанного к идентификатору Microsoft Entra. Промежуток времени с момента отзыва до момента потери доступа зависит от того, каким образом приложение предоставляет доступ.

• В случае приложений, использующих маркеры доступа, пользователь теряет доступ после истечения срока действия маркера доступа.

• В случае приложений, использующих маркеры сеанса, существующие сеансы завершаются, как только истекает срок действия маркера. Если отключенное состояние пользователя синхронизируется с приложением, приложение может автоматически отменить существующие сеансы пользователя, если оно настроено для выполнения этого действия. Время, которое требуется, зависит от частоты синхронизации между приложением и идентификатором Microsoft Entra.

Лучшие практики

• Разверните автоматизированное решение по предоставлению и удалению доступа. Удаление пользователей из приложений — эффективный способ отзыва доступа, особенно для приложений, использующих маркеры сеансов или позволяющих пользователям входить напрямую без токена Microsoft Entra или Windows Server AD. Разработайте процесс для удаления пользователей из приложений, которые не поддерживают автоматическое добавление и удаление. Убедитесь, что приложения отменяют собственные маркеры сеанса и перестают принимать маркеры доступа Microsoft Entra, даже если они по-прежнему действительны.

  • Используйте подготовку приложений Microsoft Entra. Подготовка приложений Microsoft Entra обычно выполняется автоматически каждые 20–40 минут. Настройте процесс подготовки Microsoft Entra для удаления или деактивации пользователей в облачных (SaaS) и локальных приложениях. Если вы использовали Microsoft Identity Manager для автоматизации отключения пользователей из локальных приложений, вы можете использовать Microsoft Entra для подготовки приложений с базой данных SQL, сервером каталогов без AD или другими соединителями.

  • Для локальных приложений с помощью Windows Server AD можно настроить рабочие процессы жизненного цикла Microsoft Entra для обновления пользователей в AD (предварительная версия) при выходе сотрудников.

  • Определите и разработайте процесс для приложений, которые требуют ручного снятия доступа. Например, автоматическое создание билета ServiceNow с помощью Службы управления правами Microsoft Entra может открыть билет, когда сотрудники теряют доступ. Убедитесь, что администраторы и владельцы приложений могут быстро выполнять вручную необходимые задачи по удалению пользователя из этих приложений при необходимости.

• Управление устройствами и приложениями с помощью Microsoft Intune. Устройства под управлением Intune можно сбросить до заводских настроек. Если устройство является неуправляемым, можно удалить корпоративные данные из управляемых приложений. Эти процессы эффективны для удаления потенциально конфиденциальных данных с устройств конечных пользователей. Однако для запуска любого из процессов устройство должно быть подключено к Интернету. Если устройство находится в автономном режиме, он по-прежнему имеет доступ к любым локально хранимым данным.

• При необходимости используйте Microsoft Defender for Cloud Apps для блокировки скачивания данных. Если доступ к данным возможен только через Интернет, организации могут отслеживать сеансы и обеспечить применение политик в режиме реального времени.

• Используйте оценку непрерывного доступа (CAE) в идентификаторе Microsoft Entra. CAE дает администраторам возможность отзывать маркеры сеанса и маркеры доступа для приложений, которые поддерживают CAE.

Следующие шаги

• Методы безопасного доступа для администраторов Microsoft Entra
• Добавление или обновление информации профиля пользователя
• Удаление бывшего сотрудника