微软承认，由于内部系统错误，导致部分Entra账号在上周末被锁定。问题源于微软内部系统错误记录了用户的短期刷新令牌，而非仅记录令牌元数据。这一失误触发了Entra ID Protection系统的警报，导致账户被自动锁定。尽管如此，微软强调目前没有迹象表明令牌被未经授权访问，并提供了恢复账户访问权限的解决方案。

🚨 问题根源：微软内部系统错误记录了用户的短期刷新令牌，而非仅记录令牌元数据。该错误发生在4月18日，导致了后续的账户锁定事件。

🔒 触发机制：错误的令牌记录触发了Entra ID Protection系统的警报，提示用户凭据可能已泄露，导致账户被自动锁定。警报在4月20日凌晨4点至上午9点（UTC时间）之间发出。

🛠️ 解决方案：受影响的客户可通过Microsoft Entra系统中的“Confirm User Safe”选项，为被标记的用户恢复账户访问权限。微软强调，目前没有迹象表明这些令牌被未经授权访问。

IT之家 4 月 22 日消息，科技媒体 bleepingcomputer 昨日（4 月 21 日）发布博文，报道称微软承认由于内部系统错误，导致上周部分 Entra 账号被锁定。

微软 Entra 系统上周末发生了一起账户锁定事件，影响了多个组织。据微软披露，问题起因是公司在内部系统中错误记录了一小部分用户的短期刷新 tokens（user refresh tokens），而非按标准流程仅记录令牌的元数据（metadata）。

IT之家援引博文介绍，这一失误发生在 4 月 18 日（星期五），微软随即发现并纠正了问题。为保护用户安全，公司决定对这些令牌进行失效处理。然而，这一操作意外触发了 Entra ID Protection 系统的警报，提示用户凭据可能已泄露，导致账户被自动锁定。

警报在 4 月 20 日（星期六）凌晨 4 点至上午 9 点（UTC 时间）之间发出。由于在警报发出前几分钟，刚安装企业应用“MACE Credential Revocation”，许多组织在收到警报后，误以为账户锁定与该应用有关。

微软通过公告澄清，问题与该应用无关，而是内部记录失误所致。公司强调，目前没有迹象表明这些令牌被未经授权访问。

如果未来发现任何异常，微软将启动标准的安全事件响应和沟通流程。此外，受影响的客户可通过 Microsoft Entra 系统中的“Confirm User Safe”选项，为被标记的用户恢复账户访问权限。