Revogar o acesso do usuário na ID do Microsoft Entra

Os cenários que podem exigir que um administrador revogue todo o acesso de um usuário incluem contas comprometidas, demissão de funcionários e outras ameaças internas. Dependendo da complexidade do ambiente, os administradores podem executar várias etapas para garantir que o acesso seja revogado. Em alguns cenários, pode haver um período entre a inicialização da revogação de acesso e a revogação efetiva do acesso.

Para reduzir os riscos, você deve entender como os tokens funcionam. Há muitos tipos de tokens, que se enquadram em um dos padrões mencionados nas seções a seguir.

Tokens de acesso e tokens de atualização

Tokens de acesso e tokens de atualização são frequentemente usados com aplicativos cliente densos e são usados em aplicativos baseados em navegador, como aplicativos de página única.

  • Quando os usuários se autenticam na ID do Microsoft Entra, parte do Microsoft Entra, as diretivas de autorização são avaliadas para determinar se o usuário pode receber acesso a um recurso específico.

  • Se autorizado, a ID do Microsoft Entra emite um token de acesso e um token de atualização para o recurso.

  • Os tokens de acesso emitidos pela ID do Microsoft Entra por padrão duram 1 hora. Se o protocolo de autenticação permitir, o aplicativo poderá reautenticar silenciosamente o usuário passando o token de atualização para a ID do Microsoft Entra quando o token de acesso expirar.

Em seguida, a ID do Microsoft Entra reavalia suas diretivas de autorização. Se o usuário ainda estiver autorizado, a ID do Microsoft Entra emitirá um novo token de acesso e atualizará o token.

Os tokens de acesso poderão ser uma preocupação de segurança se o acesso precisar ser revogado em um tempo menor do que o tempo de vida do token, que geralmente é de uma hora. Por esse motivo, a Microsoft está trabalhando ativamente para levar a Avaliação contínua de acesso aos aplicativos do Office 365, o que ajuda a garantir a invalidação de tokens de acesso quase em tempo real.

Tokens de sessão (cookies)

A maioria dos aplicativos baseados em navegador usa tokens de sessão, em vez de tokens de acesso e de atualização.

  • Quando um usuário abre um navegador e se autentica em um aplicativo via ID do Microsoft Entra, o usuário recebe dois tokens de sessão. Um da ID do Microsoft Entra e outro do aplicativo.

  • Quando um aplicativo emite o próprio token de sessão, o acesso ao aplicativo é regido pela sessão do aplicativo. Neste ponto, o usuário é afetado apenas pelas políticas de autorização das quais o aplicativo está ciente.

  • As políticas de autorização da ID do Microsoft Entra são reavaliadas com a mesma frequência com que o aplicativo envia o usuário de volta para a ID do Microsoft Entra. A reavaliação costuma ocorrer silenciosamente, embora a frequência dependa de como o aplicativo é configurado. É possível que o aplicativo nunca envie o usuário de volta para a ID do Microsoft Entra, desde que o token de sessão seja válido.

  • Para que um token de sessão seja revogado, o aplicativo deverá revogar o acesso com base nas próprias políticas de autorização. a ID do Microsoft Entra não pode revogar diretamente um token de sessão emitido por um aplicativo.

Revogar o acesso de um usuário no ambiente híbrido

Para um ambiente híbrido com o Active Directory local sincronizado com a ID do Microsoft Entra, a Microsoft recomenda que os administradores de TI executem as seguintes ações. Se você tiver um ambiente somente do Microsoft Entra, vá para a seção Ambiente do Microsoft Entra.

Ambiente do Active Directory local

Como administrador no Active Directory, conecte-se à sua rede local, abra o PowerShell e execute as seguintes ações:

  1. Desabilite o usuário no Active Directory. Veja Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Redefina a senha do usuário duas vezes no Active Directory. Veja set-ADAccountPassword.

    Observação

    O motivo para alterar a senha de um usuário duas vezes é reduzir o risco de Pass-the-Hash, especialmente se houver atrasos na replicação de senha local. Se você puder presumir com segurança que essa conta não está comprometida, poderá redefinir a senha apenas uma vez.

    Importante

    Não use as senhas de exemplo nos cmdlets a seguir. Altere as senhas para uma cadeia de caracteres aleatória.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Ambiente Microsoft Entra

Como administrador na ID do Microsoft Entra, abra o PowerShell, execute o Connect-MgGraph e execute as seguintes ações:

  1. Desative o usuário na ID do Microsoft Entra. Consulte Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Revogue os tokens de atualização da ID do Microsoft Entra do usuário. Consulte Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Desabilite os dispositivos do usuário. Consulte Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Observação

Para obter informações sobre funções específicas que podem executar essas etapas, consulte funções internas do Microsoft Entra

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Quando o acesso é revogado

Depois que os administradores tiverem seguido as etapas acima, o usuário não poderá obter novos tokens para nenhum aplicativo vinculado à ID do Microsoft Entra. O tempo decorrido entre a revogação e o usuário que está perdendo o acesso depende de como o aplicativo está concedendo acesso:

  • Para aplicativos que usam tokens de acesso, o usuário perde o acesso quando o token de acesso expira.

  • Para aplicativos que usam tokens de sessão, as sessões são encerradas assim que o token expira. Se o estado desabilitado do usuário for sincronizado com o aplicativo, o aplicativo poderá revogar automaticamente as sessões do usuário se estiver configurado para fazer isso. O tempo necessário depende da frequência de sincronização entre o aplicativo e a ID do Microsoft Entra.

Práticas recomendadas

  • Implante uma solução automatizada de provisionamento e desprovisionamento. O desprovisionamento de usuários de aplicativos é uma forma eficaz de revogar o acesso, especialmente para aplicativos que usam tokens de sessão ou permitem que os usuários entrem diretamente sem um token do Microsoft Entra ou do Windows Server AD. Desenvolva um processo para também desprovisionar usuários para aplicativos que não dão suporte ao provisionamento e desprovisionamento automáticos. Certifique-se de que os aplicativos revoguem seus tokens de sessão e parem de aceitar os tokens de acesso à Microsoft Entra, mesmo que eles ainda sejam válidos.

  • Gerencie seus dispositivos e aplicativos com o Microsoft Intune. Os dispositivos gerenciados pelo Intune podem ser redefinidos para as configurações de fábrica. Se o dispositivo não for gerenciado, você poderá apagar os dados corporativos dos aplicativos gerenciados. Esses processos são eficazes para remover dados potencialmente confidenciais dos dispositivos dos usuários finais. No entanto, para que qualquer processo seja disparado, o dispositivo deverá estar conectado à Internet. Se o dispositivo estiver offline, ele ainda terá acesso a qualquer dado armazenado localmente.

Observação

Os dados no dispositivo não podem ser recuperados depois de uma limpeza.

Próximas etapas