微软

微软坦承，由于内部Log系统错误，导致上周部分企业用户的Entra帐号遭到锁定无法存取。

上周多家组织反映在登入Entra帐号时，接获系统端发出帐号密码疑似外洩的讯息，为了确保用户帐号安全而自动将Entra帐号锁定。用户一度认定元兇是新上线的安全功能MACE凭证注销（MACE Credential Revocation）。不过微软管理员周末对影响用户说明，原因是内部Log系统摆乌龙。

用户登入Entra时，微软管理系统标準程序应该只记录用户token的metadata，像是发行时间或用户ID等，但在4月18日却将部分用户的短效更新令牌（refresh token）本体记录下来。更新令牌是一种凭证，用于获取新的存取令牌（access tokens），而无需用户重新进行身分验证，可提升用户体验。

这次Log系统出包，微软团队很快就发现并修正问题。为了保护用户于是主动让这些令牌失效，可是失效程序意外触发Entra ID Protection的警示讯息，发送给用户，同时将其帐号锁定。这批警示是在台北时间4月20日中午12:00到下午5:00左右发出。

微软说这些令牌没有遭到未授权存取的迹象。此外，若微软发现真的有未经授权存取令牌，也会启动标準安全事件回应和通报流程。

微软提醒受影响的管理员，可以在某些使用者被Entra标注为高风险时，利用「Confirm User Safe」的管理员功能解除警报。