איך לבטל גישה מיידית למשתמש בשירות Office365
אחת הבעיות העיקריות והקטנות שאני נתקל בהם בארגונים היא חסימת גישה מיידית של משתמש למשאבי הענן השונים בין אם Azure או Office365 והפתרון לכך הוא סופר פשוט.
כאשר מבטלים משתמש ומבצעים רק Disable Account אותו משתמש עדיין יכול לגשת למשאבי הענן עם אותן אפליקציות ללא הפרעה ולדוגמא כאשר מבטלים חשבון בשירות Office 365 משתמש עדיין יכול לגשת עם Outlook לשירות Exchange Online.
חשוב להדגיש שבמידה ומבטלים את הגישה למשתמש באופן הרגיל עם ביטול החשבון (Disable) או ביטול הרישוי אנו לא מבטלים את הגישה באופן מיידי כי עדיין ישנו Cache ולכן המשתמש עדיין יכול לגשת לחשבון ולבצע פעולות רגילות.
איך מבטלים גישה מיידית
בממשק Azure AD PowerShell נעבוד עם הפקודות הבאות:
פרטים לגבי המשתמש כולל Token ואובייקט
Get-AzureADUser -ObjectId eshlomo@elishlomo.us |fl DisplayName, ObjectId, RefreshTokensValidFromDateTime
ביטול הגישה
Revoke-AzureADUserAllRefreshToken -ObjectId eshlomo@elishlomo.us
לאחר מכן נריץ שוב את הפקודה הראשונה (Get-AzureADUser) ונוודא שהערך RefreshTokensValidFromDateTime השתנה.
הערות
ישנם אפשרויות שונות להגדרת Token מול שירותי הענן השונים בכדי להגביל את הגישה במקרה של ביטול משתמש או במקרים אחרים, בכל אפליקציה הגדרת Token היא שונה.
