Revogar o acesso do usuário no Microsoft Entra ID

Os cenários que podem exigir que um administrador revogue todo o acesso de um usuário incluem contas comprometidas, demissão de funcionários e outras ameaças internas. Dependendo da complexidade do ambiente, os administradores podem tomar várias medidas para garantir que o acesso seja revogado. Em alguns cenários, pode haver um período entre o início da revogação de acesso e quando o acesso é efetivamente revogado.

Para mitigar os riscos, você deve entender como os tokens funcionam. Existem muitos tipos de tokens, que se enquadram em um dos padrões mencionados nas seções abaixo.

Acessar tokens e atualizar tokens

Os tokens de acesso e os tokens de atualização são frequentemente usados com aplicativos cliente espessos e também são usados em aplicativos baseados em navegador, como aplicativos de página única.

  • Quando os usuários se autenticam no Microsoft Entra ID, parte do Microsoft Entra, as políticas de autorização são avaliadas para determinar se o usuário pode ter acesso a um recurso específico.

  • Se autorizado, o Microsoft Entra ID emite um token de acesso e um token de atualização para o recurso.

  • Os tokens de acesso emitidos pelo Microsoft Entra ID por padrão duram 1 hora. Se o protocolo de autenticação permitir, o aplicativo poderá reautenticar silenciosamente o usuário passando o token de atualização para o ID do Microsoft Entra quando o token de acesso expirar.

Em seguida, o Microsoft Entra ID reavalia suas políticas de autorização. Se o usuário ainda estiver autorizado, o Microsoft Entra ID emitirá um novo token de acesso e atualizará o token.

Os tokens de acesso podem ser uma preocupação de segurança se o acesso tiver de ser revogado dentro de um tempo mais curto do que a vida útil do token, que geralmente é de cerca de uma hora. Por esse motivo, a Microsoft está trabalhando ativamente para trazer avaliação de acesso contínuo para aplicativos do Office 365, o que ajuda a garantir a invalidação de tokens de acesso quase em tempo real.

Tokens de sessão (cookies)

A maioria dos aplicativos baseados em navegador usa tokens de sessão em vez de tokens de acesso e atualização.

  • Quando um usuário abre um navegador e se autentica em um aplicativo por meio do Microsoft Entra ID, o usuário recebe dois tokens de sessão. Um do Microsoft Entra ID e outro do aplicativo.

  • Depois que um aplicativo emite seu próprio token de sessão, o acesso ao aplicativo é regido pela sessão do aplicativo. Neste ponto, o usuário é afetado apenas pelas políticas de autorização das quais o aplicativo está ciente.

  • As políticas de autorização do Microsoft Entra ID são reavaliadas com a frequência com que o aplicativo envia o usuário de volta para o Microsoft Entra ID. A reavaliação geralmente acontece silenciosamente, embora a frequência dependa de como o aplicativo está configurado. É possível que o aplicativo nunca envie o usuário de volta para o Microsoft Entra ID, desde que o token de sessão seja válido.

  • Para que um token de sessão seja revogado, o aplicativo deve revogar o acesso com base em suas próprias políticas de autorização. O Microsoft Entra ID não pode revogar diretamente um token de sessão emitido por um aplicativo.

Revogar o acesso de um usuário no ambiente híbrido

Para um ambiente híbrido com o Ative Directory local sincronizado com o Microsoft Entra ID, a Microsoft recomenda que os administradores de TI executem as seguintes ações. Se você tiver um ambiente somente Microsoft Entra, vá para a seção Ambiente do Microsoft Entra .

Ambiente do Ative Directory local

Como administrador no Ative Directory, conecte-se à sua rede local, abra o PowerShell e execute as seguintes ações:

  1. Desative o usuário no Ative Directory. Consulte Disable-ADAccount.

    Disable-ADAccount -Identity johndoe  
    
  2. Redefina a senha do usuário duas vezes no Ative Directory. Consulte Set-ADAccountPassword.

    Nota

    A razão para alterar a senha de um usuário duas vezes é reduzir o risco de pass-the-hash, especialmente se houver atrasos na replicação de senha local. Se puder assumir com segurança que esta conta não está comprometida, pode repor a palavra-passe apenas uma vez.

    Importante

    Não use as senhas de exemplo nos cmdlets a seguir. Certifique-se de alterar as senhas para uma cadeia de caracteres aleatória.

    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd1" -Force)
    Set-ADAccountPassword -Identity johndoe -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "p@ssw0rd2" -Force)
    

Ambiente Microsoft Entra

Como administrador no Microsoft Entra ID, abra o PowerShell, execute Connect-MgGraphe execute as seguintes ações:

  1. Desative o usuário no Microsoft Entra ID. Consulte Update-MgUser.

    $User = Get-MgUser -Search UserPrincipalName:'johndoe@contoso.com' -ConsistencyLevel eventual
    Update-MgUser -UserId $User.Id -AccountEnabled:$false
    
  2. Revogar os tokens de atualização do Microsoft Entra ID do usuário. Consulte Revoke-MgUserSignInSession.

    Revoke-MgUserSignInSession -UserId $User.Id
    
  3. Desative os dispositivos do usuário. Consulte Get-MgUserRegisteredDevice.

    $Device = Get-MgUserRegisteredDevice -UserId $User.Id 
    Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
    

Nota

Para obter informações sobre funções específicas que podem executar estas etapas, consulte Funções internas do Microsoft Entra

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Quando o acesso é revogado

Depois que os administradores seguirem as etapas acima, o usuário não poderá obter novos tokens para nenhum aplicativo vinculado ao Microsoft Entra ID. O tempo decorrido entre a revogação e a perda de acesso pelo usuário depende de como o aplicativo está concedendo acesso:

  • Para aplicativos que usam tokens de acesso, o usuário perde o acesso quando o token de acesso expira.

  • Para aplicativos que usam tokens de sessão, as sessões existentes terminam assim que o token expira. Se o estado desativado do usuário estiver sincronizado com o aplicativo, o aplicativo poderá revogar automaticamente as sessões existentes do usuário se estiver configurado para isso. O tempo necessário depende da frequência de sincronização entre o aplicativo e o ID do Microsoft Entra.

Melhores práticas

  • Implante uma solução automatizada de provisionamento e desprovisionamento. O desprovisionamento de usuários de aplicativos é uma maneira eficaz de revogar o acesso, especialmente para aplicativos que usam tokens de sessão ou permitem que os usuários entrem diretamente sem um token do Microsoft Entra ou do Windows Server AD. Desenvolva um processo para também desprovisionar usuários para aplicativos que não oferecem suporte ao provisionamento e desprovisionamento automáticos. Certifique-se de que os aplicativos revoguem seus próprios tokens de sessão e parem de aceitar tokens de acesso do Microsoft Entra, mesmo que ainda sejam válidos.

    • Use o provisionamento do aplicativo Microsoft Entra. O provisionamento do aplicativo Microsoft Entra normalmente é executado automaticamente a cada 20-40 minutos. Configure o provisionamento do Microsoft Entra para desprovisionar ou desativar usuários em SaaS e aplicativos locais. Se você estava usando o Microsoft Identity Manager para automatizar o desprovisionamento de usuários de aplicativos locais, pode usar o provisionamento de aplicativos do Microsoft Entra para alcançar aplicativos locais com um banco de dados SQL, um servidor de diretório não AD ou outros conectores.

    • Para aplicativos locais que usam o Windows Server AD, você pode configurar os Fluxos de Trabalho do Ciclo de Vida do Microsoft Entra para atualizar os usuários no AD (visualização) quando os funcionários saírem.

    • Identifique e desenvolva um processo para aplicativos que exija desprovisionamento manual, como a criação automatizada de tíquetes do ServiceNow com o Microsoft Entra Entitlement Management para abrir um tíquete quando os funcionários perderem o acesso. Certifique-se de que os administradores e proprietários de aplicativos possam executar rapidamente as tarefas manuais necessárias para desprovisionar o usuário desses aplicativos quando necessário.

  • Gerencie seus dispositivos e aplicativos com o Microsoft Intune. Os dispositivos geridos pelo Intune podem ser repostos para as definições de fábrica. Se o dispositivo não for gerenciado, você poderá limpar os dados corporativos de aplicativos gerenciados. Esses processos são eficazes para remover dados potencialmente confidenciais dos dispositivos dos usuários finais. No entanto, para que qualquer um dos processos seja acionado, o dispositivo deve estar conectado à internet. Se o dispositivo estiver offline, ele ainda terá acesso a todos os dados armazenados localmente.

Nota

Os dados no dispositivo não podem ser recuperados após uma limpeza.

Próximos passos