Отключение пользователя означает, что он больше не может войти в систему и не обновить sh свой идентификационный токен. На практике это означает, что в течение часа после отключения пользователя у него больше не будет request.auth.uid в ваших правилах безопасности.
Но до тех пор, пока их токен ID действителен, вы ничего не можете сделать, чтобы сделать недействительным этот индивидуальный токен. Если вы хотите запретить им немедленный доступ к данным, вам нужно создать список заблокированных UID в вашей базе данных и проверить это в правилах безопасности.