一、 快速响应流程 (UI 操作)
在 Microsoft 365 管理中心 (https://www.google.com/search?q=admin.microsoft.com),对 "活跃用户" 执行以下操作:
- 重置密码:
- 操作:选择用户 > 点击"重置密码"。
- 目的:立即废除该员工已知的登录凭据。
- 禁止登录 (Block sign-in):
- 操作:在用户信息页点击"阻止登录",并勾选"阻止此用户登录"。
- 状态确认 :用户状态会更新为 Sign-in blocked。
- 设置邮件转发 (业务接管):
- 操作:进入"邮件"选项卡 > "管理电子邮件转发"。
- 配置:开启转发并输入接管人地址,建议勾选"在转发邮箱中保留副本"。
- 提示 :系统可能会因此触发
MailRedirect安全警报,这是正常的审计行为。
二、 立即下线会话 (PowerShell 方案)
由于 UI 界面有时可能因为加载延迟而不显示"退出所有会话"链接,使用 PowerShell 7 可以在秒级强制失效所有已登录设备的令牌。
1. 连接环境
powershell
# 安装模块(如已安装可跳过)
Install-Module Microsoft.Graph -Scope CurrentUser
# 登录(需全局管理员权限)
Connect-MgGraph -Scopes "User.ReadWrite.All"2. 快速下线核心命令
powershell
# 定义目标用户
$TargetUser = "xxx@company.ai"
# 强制撤销所有活动会话(踢出手机、电脑等所有已登录设备)
Revoke-MgUserSignInSession -UserId $TargetUser
# 确认操作成功:如果返回 True,则说明 Token 已失效3. 一键封禁脚本 (快速备用)
powershell
$TargetUser = "xxx@company.ai"
# 1. 踢出会话
Revoke-MgUserSignInSession -UserId $TargetUser
# 2. 禁用账号
Update-MgUser -UserId $TargetUser -AccountEnabled:$false
Write-Host "用户 $TargetUser 已被强制下线并禁止登录。" -ForegroundColor Yellow三、 管理员操作总结清单
| 任务 | UI 路径 / 命令 | 核心作用 |
|---|---|---|
| 切断凭据 | 重置密码 | 防止用户再次通过旧密码验证 |
| 封锁入口 | 阻止登录 (Block sign-in) | 从 Entra ID 层面禁止所有 M365 服务访问 |
| 强制下线 | Revoke-MgUserSignInSession |
最关键步:让已登录的 Teams/Outlook 立即失效 |
| 邮件承接 | 邮件转发 / 共享邮箱 | 确保外部客户发给离职员工的邮件不丢失 |
| 安全审计 | 处理 MailRedirect 警报 | 确认转发规则是由于 IT 正常操作触发的 |