Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Cómo erradicar la sesión activa de un usuario en Office 365

Si detectamos un uso anómalo y/o malintencionado en Office 365, muchos podemos pensar que bloquear, eliminar la licencia, o eliminar al usuario en cuestión erradicaría el problema. Lo cierto es que no es así, ya que, si por ejemplo ha iniciado sesión en SharePoint Online, ésta permanecerá activa durante 4 horas hasta que expire la sesión.

Cuatro horas son una eternidad cuando hablamos de un acceso no autorizado o amenaza, tiempo más que suficiente para hacerse con cualquier información sensible de la empresa, y nosotros sin poder hacer nada… ¿o tal vez sí?

Por suerte, para estas situaciones tan comprometidas existen tres opciones posibles para revocar o erradicar la sesión activa del usuario.

Opción 1: Desde el panel de administrador

Si te sientes más cómodo con el Admin Center de Office 365, no hay ningún problema, sólo tienes que:

  1. Iniciar sesión como administrador en Office 365 > Usuarios > Usuarios Activos.
  2. Hacemos clic al usuario que queramos eliminar la sesión activa y pulsamos sobre Configuración de OneDrive.
  3. Aquí encontraremos la opción de cerrar sesión. Al pulsar en Iniciar, se iniciará un evento único que cerrará inmediatamente todas las sesiones de Office 365 de este usuario en todos los dispositivos. Si el usuario está descargando algo, también se cortará la descarga.

Al instante se le cerrará la sesión al usuario, indicándole que por motivos de seguridad, esta aplicación requiere que inicie sesión de nuevo.

Aunque esto lo hemos hecho en un apartado llamado “Configuración de OneDrive”, se hace efectivo en todas las sesiones activas de Office 365, incluido SharePoint Online o Exchange Online.

Opción 2: Revocar sesiones con PowerShell

Esta segunda opción nos permite erradicar la sesión activa de un usuario de Office 365 utilizando PowerShell. Para ello vamos a utilizar el cmdlet de Revoke-SPOUserSession, disponible desde el módulo de SharePoint Online.

Con este comando obtendremos el mismo resultado que si utilizamos el Admin Center, explicado en la primera opción. Sin embargo, este método es muy útil si deseamos automatizar flujos de respuesta a incidentes de seguridad, o si necesitamos revocar las sesiones activas de múltiples usuarios.

Opción 3: Revocar sesiones activas en cualquier aplicación AzureAD

Si además de acabar con la sesión activa de Office 365, deseamos hacerlo con CRM Online, Dynamics 365, Azure, etc, esta es la mejor opción. Para ello debemos utilizar el cmdlet Revoke-AzureADUserAllRefreshToken, disponible en el módulo Azure AD V2.

Con estas cualquiera de estas opciones, habremos logrado revocar la sesión activa al instante. Pero para estar seguros de que la información sensible de nuestra organización está a bien protegida, os recomiendo Azure RMS y AIP.

¿Quieres ver cómo se materializa todo esto? Pues no te pierdas el vídeo donde te lo explico todo, paso a paso, en 5 minutos 😉

mm

Sobre Dani Alonso

Daniel Alonso es un apasionado de todas las tecnologías y plataformas, experto en ciberseguridad y soluciones cloud. Cuenta con más de 17 años de experiencia en ciberseguridad y arquitectura IT y desde 2011 forma parte del equipo de MVPs de Microsoft. Actualmente es Cloud Solutions Principal Advisor en ENCAMINA, puesto desde el cual se encarga de seguir impulsando nuestro liderazgo en soluciones Cloud y Office 365.
Esta entrada ha sido publicada en Azure, PowerShell, seguridad, SharePoint y etiquetada como , , , , . Enlace permanente .
ENCAMINA, piensa en colores