Microsoft подтвердила, что блокировки учётных записей Entra на выходных были вызваны аннулированием краткосрочных токенов обновления пользователей, которые были ошибочно введены во внутренние системы.
В субботу утром многие организации сообщили, что начали получать оповещения Microsoft Entra о блокировке учётных записей. Первоначально клиенты подумали, что блокировки связаны с развёртыванием нового корпоративного приложения под названием «MACE Credential Revocation», установленного за несколько минут до отправки оповещений.
Однако администратор одной из пострадавших организаций поделился рекомендациями, отправленными Microsoft, в которых говорилось, что проблема была вызвана ошибочной регистрацией токенов обновления пользователей, а не только метаданных. Когда компания начали аннулировать их, то случайно сгенерировала оповещения и блокировки.
«В пятницу 18.04.25 компания Microsoft обнаружила, что ведёт внутреннюю регистрацию подмножества краткосрочных токенов обновления пользователей для небольшого процента пользователей, тогда как наш стандартный процесс регистрации заключается только в регистрации метаданных о таких токенах. Проблема внутренней регистрации была немедленно устранена, и команда выполнила процедуру аннулирования этих токенов для защиты клиентов. В рамках процесса аннулирования мы непреднамеренно сгенерировали оповещения в Entra ID Protection, указывающие на то, что учётные данные пользователя могли быть скомпрометированы», — говорится в сообщении компании.
В Microsoft отметили, что не зарегистрировали несанкционированный доступ к токенам, но готовы задействовать стандартные процессы реагирования на подобные инциденты. Затронутые клиенты могут оставить отзыв «Подтвердить безопасность пользователя» в Microsoft Entra, чтобы восстановить доступ к своим учётным записям.
В феврале Microsoft устранила проблему, которая вызывала сбои аутентификации DNS Entra ID при использовании единого входа и синхронизации Microsoft Entra Connect. Сбои были спровоцированы изменением DNS, которое вызвало ошибку разрешения DNS для домена autologon.microsoftazuread.sso.com, если клиенты пытались получить доступ к службам Azure.
Источник: habr.com
