Správa účtů pro nouzový přístup v Azure Active Directory B2C
Je důležité, abyste zabránili náhodnému uzamčení vaší organizace Azure Active Directory B2C (Azure AD B2C), protože se nemůžete přihlásit nebo aktivovat účet jiného uživatele jako správce. Abyste zmírnili dopad náhodné nemožnosti přístupu správce, vytvořte v organizaci dva nebo více účtů pro nouzový přístup.
Při konfiguraci těchto účtů je potřeba splnit následující požadavky:
Účty pro nouzový přístup by neměly být přidružené k žádnému jednotlivému uživateli v organizaci. Ujistěte se, že vaše účty nejsou připojené k žádným mobilním telefonům, hardwarovým tokenům, které cestují s jednotlivými zaměstnanci nebo jinými přihlašovacími údaji specifickými pro zaměstnance. Toto opatření se týká případů, kdy je jednotlivý zaměstnanec nedostupný, když je potřeba přihlašovací údaje. Je důležité zajistit, aby se všechna registrovaná zařízení uchovávala ve známém zabezpečeném umístění, které má více prostředků komunikace s Azure AD B2C.
Používejte silné ověřování pro účty pro nouzový přístup a ujistěte se, že nepoužívá stejné metody ověřování jako ostatní účty pro správu.
Zařízení nebo přihlašovací údaje nesmí vypršet nebo nesmí být v rozsahu automatizovaného čištění kvůli nedostatku použití.
Požadavky
- Pokud jste ještě nevytvořili vlastního tenanta Azure AD B2C, vytvořte ho teď. Můžete použít existujícího tenanta Azure AD B2C.
- Seznamte se s uživatelskými účty v Azure AD B2C.
- Seznamte se s rolemi uživatelů pro řízení přístupu k prostředkům.
- Principy podmíněného přístupu
Vytvoření účtu pro nouzový přístup
Vytvořte dva nebo více účtů pro nouzový přístup. Tyto účty by měly být jenom cloudové účty, které používají doménu .onmicrosoft.com a které nejsou federované nebo synchronizované z místního prostředí.
Pomocí následujícího postupu vytvořte účet pro nouzový přístup:
Přihlaste se k webu Azure Portal jako existující globální Správa istrator. Pokud používáte účet Microsoft Entra, ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C:
Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .
V nastavení portálu | Adresářů a stránka předplatných , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.
V části Služby Azure vyberte Azure AD B2C. Nebo na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
V nabídce vlevo v části Spravovat vyberte Uživatelé.
Vyberte + Nový uživatel.
Vyberte Vytvořit uživatele.
V části Identita:
Do pole Uživatelské jméno zadejte jedinečné uživatelské jméno, například účet tísňového volání.
Jako název zadejte název, například účet tísňového volání.
V části Heslo zadejte své jedinečné heslo.
V části Skupiny a role
Vyberte uživatele.
V podokně, které se zobrazí, vyhledejte a vyberte Globální správce a pak vyberte tlačítko Vybrat .
V části Nastavení vyberte příslušné umístění využití.
Vyberte Vytvořit.
Bezpečně ukládejte přihlašovací údaje k účtu.
Monitorujte protokoly přihlášení a auditu.
Pravidelně ověřujte účty.
Jakmile vytvoříte účty tísňového volání, musíte udělat toto:
Ujistěte se, že z vícefaktorového ověřování založeného na telefonu vyloučíte aspoň jeden účet.
Pokud používáte podmíněný přístup, musí být alespoň jeden účet pro nouzový přístup vyloučen ze všech zásad podmíněného přístupu.