Správa účtů pro nouzový přístup v Microsoft Entra ID

Je důležité, abyste zabránili náhodnému uzamčení vaší organizace Microsoft Entra, protože se nemůžete přihlásit nebo aktivovat roli. Abyste zmírnili dopad náhodné nemožnosti přístupu správce, vytvořte v organizaci dva nebo více účtů pro nouzový přístup.

Uživatelské účty s rolí globálního správce mají v systému vysoká oprávnění, to zahrnuje účty pro nouzový přístup s rolí globálního správce. Účty pro nouzový přístup jsou omezené na nouzové nebo kritické situace, kdy se nedají použít běžné administrativní účty. Doporučujeme zachovat cíl omezení použití účtu tísňového volání jenom na časy, kdy je to naprosto nezbytné.

Tento článek obsahuje pokyny pro správu účtů pro nouzový přístup v Microsoft Entra ID.

Proč používat účet pro nouzový přístup

Organizace může potřebovat použít účet pro nouzový přístup v následujících situacích:

• Uživatelské účty jsou federované a federace je momentálně nedostupná kvůli přerušení buňky nebo výpadku zprostředkovatele identity. Pokud se například hostitel zprostředkovatele identity ve vašem prostředí přestal používat, nemusí se uživatelé při přesměrování Microsoft Entra ID na svého zprostředkovatele identity přihlásit.
• Správci jsou zaregistrovaní prostřednictvím vícefaktorového ověřování Microsoft Entra a všechna jejich jednotlivá zařízení nejsou k dispozici nebo služba není k dispozici. Uživatelé nemusí kvůli aktivaci role dokončit vícefaktorové ověřování. Například výpadek mobilní sítě jim brání v přijímání telefonních hovorů nebo příjmu textových zpráv, což jsou pouze dva mechanismy ověřování, které zaregistrovali pro své zařízení.
• Osoba s nejnovějším přístupem globálního správce opustila organizaci. Id Microsoft Entra zabraňuje odstranění posledního účtu globálního správce, ale nezabrání tomu, aby se účet odstranil nebo zakázal místně. V obou situacích se může stát, že organizace nemůže účet obnovit.
• Nepředvídatelné okolnosti, jako je přírodní katastrofa, kdy může být mobilní telefon nebo jiné sítě nedostupné.
• Pokud jsou přiřazení rolí pro role globálního správce a správce privilegovaných rolí způsobilá, je vyžadováno schválení pro aktivaci, ale nejsou vybráni žádní schvalovatelé (nebo jsou všichni schvalovatelé z adresáře odebráni). Aktivní globální správci a správci privilegovaných rolí jsou výchozí schvalovatelé. Nebudou však aktivní globální správci a správci privilegovaných rolí a správa tenanta budou efektivně uzamčeny, pokud nebudou použity účty pro nouzový přístup.

Vytvoření účtů pro nouzový přístup

Vytvořte dva nebo více účtů pro nouzový přístup. Tyto účty by měly být jenom cloudové účty, které používají doménu *.onmicrosoft.com a které nejsou federované nebo synchronizované z místního prostředí. Na vysoké úrovni postupujte podle těchto kroků.

1. Vyhledejte stávající účty pro nouzový přístup nebo vytvořte nové účty s rolí globálního správce.

   

2. Vyberte jednu z těchto metod ověřování bez hesla pro vaše účty pro nouzový přístup. Tyto metody splňují povinné požadavky na vícefaktorové ověřování.

   • Heslo (FIDO2) (doporučeno)
   • ověřování na základě certifikátů, pokud už vaše organizace má nastavenou infrastrukturu veřejných klíčů (PKI).

3. Nakonfigurujte účty pro nouzový přístup tak, aby používaly ověřování bez hesla.

   • Povolení přístupových klíčů (FIDO2) pro vaši organizaci
   • Registrace přístupového klíče (FIDO2)
   • Konfigurace ověřování na základě certifikátů

4. U všech vašich kritických účtů vyžadujte vícestupňové ověřování odolné vůči phishingu.

5. Bezpečně ukládejte přihlašovací údaje k účtu.

6. Monitorujte protokoly přihlášení a auditu.

7. Pravidelně ověřujte účty.

Požadavky na konfiguraci

Při konfiguraci těchto účtů musí být splněny následující požadavky:

• Ve většině organizací nejsou účty pro nouzový přístup přidružené k žádnému jednotlivému uživateli v organizaci. Přihlašovací údaje jsou ve známém zabezpečeném umístění, které je k dispozici více členům týmu pro správu, a nejsou připojeny k žádným zařízením zadaným zaměstnanci, jako jsou telefony. Tento přístup se běžně používá ke sjednocení správy účtů pro nouzový přístup: většina organizací potřebuje účty pro nouzový přístup nejen pro infrastrukturu cloudu Microsoftu, ale také místní prostředí, federované aplikace SaaS a další důležité systémy.

  Případně můžete vytvořit individuální účty pro nouzový přístup pro správce. Toto řešení podporuje odpovědnost a umožňuje správcům používat účty pro nouzový přístup ze vzdálených umístění.

• Používejte silné ověřování pro účty pro nouzový přístup a ujistěte se, že nepoužívá stejné metody ověřování jako ostatní účty pro správu. Pokud například váš běžný účet správce používá aplikaci Microsoft Authenticator k silnému ověřování, použijte pro své účty tísňového volání klíč zabezpečení FIDO2. Zvažte závislosti různých metod ověřování, abyste se vyhnuli přidávání externích požadavků do procesu ověřování.

• Zařízení nebo přihlašovací údaje nesmí vypršet nebo nesmí být v rozsahu automatizovaného čištění kvůli nedostatku použití.

• Ve službě Microsoft Entra Privileged Identity Management byste měli přiřazení role globálního správce pro vaše účty pro nouzový přístup nastavit jako trvalé aktivní místo toho, abyste je ponechali jako způsobilé.

• Jednotlivci, kteří mají oprávnění používat tyto účty pro nouzový přístup, musí využívat určené, zabezpečené pracovní stanice nebo podobné klientské výpočetní prostředí, jako je pracovní stanice s privilegovaným přístupem. Tyto pracovní stanice by se měly používat při interakci s účty pro nouzový přístup. Další informace o konfiguraci tenanta Microsoft Entra, kde jsou určené pracovní stanice, najdete v tématu nasazení řešení s privilegovaným přístupem.

Pokyny k federaci

Některé organizace používají službu Active Directory Domain Services a službu AD FS (Active Directory Federation Service) nebo podobného zprostředkovatele identity k federaci s ID Microsoft Entra. Nouzový přístup pro místní systémy a nouzový přístup ke cloudovým službám by se měl udržovat odlišný, bez závislosti na jednom na druhém. Zvládnutí ověřování účtů s oprávněními pro nouzový přístup z jiných systémů zvyšuje zbytečné riziko v případě výpadku těchto systémů.

Bezpečné ukládání přihlašovacích údajů k účtu

Organizace musí zajistit, aby přihlašovací údaje pro účty pro nouzový přístup byly zabezpečené a známé pouze jednotlivcům, kteří mají oprávnění je používat. Můžete například použít klíče zabezpečení FIDO2 pro Microsoft Entra ID nebo čipové karty pro Windows Server Active Directory. Přihlašovací údaje by měly být uloženy v zabezpečených, protipožárních trezorech, které jsou v zabezpečených samostatných umístěních.

Monitorování protokolů přihlašování a auditu

Organizace by měly monitorovat aktivitu protokolu přihlášení a auditu z účtů tísňového volání a aktivovat oznámení ostatním správcům. Při monitorování aktivity pro účty pro nouzový přístup můžete ověřit, že se tyto účty používají pouze pro testování nebo skutečné nouzové situace. Pomocí služby Azure Monitor, Microsoft Sentinel nebo jiných nástrojů můžete monitorovat protokoly přihlášení a aktivovat upozornění e-mailu a SMS správcům, kdykoli se přihlásíte k účtům tísňového přístupu. Tato část ukazuje použití služby Azure Monitor.

Požadavky

• Odešlete protokoly přihlašování Microsoft Entra do služby Azure Monitor.

Získání ID objektů účtů pro nouzový přístup

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.

2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

3. Vyhledejte účet pro nouzový přístup a vyberte jméno uživatele.

4. Zkopírujte a uložte atribut ID objektu, abyste ho mohli použít později.

5. Opakujte předchozí kroky pro druhý účet pro nouzový přístup.

Vytvoření pravidla výstrahy

1. Přihlaste se k webu Azure Portal jako alespoň přispěvatel monitorování.

2. Přejděte k monitorování>pracovních prostorů služby Log Analytics.

3. Výběr pracovního prostoru.

4. V pracovním prostoru vyberte Upozornění>nové pravidlo upozornění.

   1. V části Prostředek ověřte, že předplatné je předplatné, ke kterému chcete přidružit pravidlo upozornění.

   2. V části Podmínka vyberte Přidat.

   3. V části Název signálu vyberte vlastní prohledávání protokolu.

   4. V části Vyhledávací dotazzadejte následující dotaz a vložte ID objektů dvou účtů pro nouzový přístup.

      Poznámka:

      Pro každý další účet pro nouzový přístup, který chcete zahrnout, přidejte do dotazu další or UserId == "ObjectGuid".

      Ukázkové dotazy:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. V části Logika upozornění zadejte následující:

      • Na základě: Počet výsledků
      • Operátor: Větší než
      • Prahová hodnota: 0

   6. V části Vyhodnoceno na základě vyberte období (v minutách) na dobu, po kterou má dotaz běžet, a frekvenci (v minutách) pro četnost spuštění dotazu. Frekvence by měla být menší nebo rovna období.

      

   7. Vyberte Hotovo. Teď můžete zobrazit odhadované měsíční náklady na toto upozornění.

5. Vyberte skupinu akcí uživatelů, kteří mají být upozorněním upozorněni. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření skupiny akcí.

6. Pokud chcete přizpůsobit e-mailové oznámení odeslané členům skupiny akcí, vyberte akce v části Přizpůsobit akce.

7. V části Podrobnosti výstrahy zadejte název pravidla upozornění a přidejte volitelný popis.

8. Nastavte úroveň závažnosti události. Doporučujeme, abyste ho nastavili na Kritické (Sev 0).

9. V části Povolit pravidlo při vytváření ponechte toto pravidlo nastavené jako ano.

10. Chcete-li upozornění na chvíli vypnout, zaškrtněte políčko Potlačit výstrahy a zadejte dobu čekání před dalším upozorňováním a pak vyberte Uložit.

11. Vyberte Vytvořit pravidlo upozornění.

Vytvoření skupiny akcí

1. Vyberte Vytvořit skupinu akcí.

   

2. Zadejte název skupiny akcí a krátký název.

3. Ověřte předplatné a skupinu prostředků.

4. V části Typ akce vyberte e-mail, SMS, nabízené oznámení nebo hlas.

5. Zadejte název akce, například Oznámit globálnímu správci.

6. Vyberte typ akce jako e-mail, SMS, nabízení nebo hlas.

7. Vyberte Upravit podrobnosti a vyberte metody oznámení, které chcete nakonfigurovat, a zadejte požadované kontaktní informace a pak výběrem ok uložte podrobnosti.

8. Přidejte další akce, které chcete aktivovat.

9. Vyberte OK.

Příprava týmu po mortemu k vyhodnocení použití přihlašovacích údajů jednotlivých účtů pro nouzový přístup

Pokud se upozornění aktivuje, zachovejte protokoly z Microsoft Entra a dalších úloh. Zkontrolujte okolnosti a výsledky použití účtu pro nouzový přístup. Tato kontrola určí, jestli se účet použil:

• Pro plánované cvičení, které ověří jeho vhodnost
• V reakci na skutečný nouzový stav, kdy by žádný správce nemohl používat své běžné účty
• Nebo v důsledku zneužití nebo neoprávněného použití účtu

Dále zkontrolujte protokoly a zjistěte, jaké akce provedl jednotlivec s účtem pro nouzový přístup, abyste zajistili, že tyto akce odpovídají autorizovanému použití účtu.

Pravidelné ověřování účtů

Kromě školení pedagogů, kteří používají účty pro nouzový přístup, byste měli mít také probíhající proces ověření, že účty pro nouzový přístup zůstanou přístupné oprávněným pracovníkům. Pravidelná podrobná analýza by měla být provedena za účelem ověření funkčnosti účtů a ověření, že pravidla monitorování a upozorňování se aktivují v případě následného zneužití účtu. Minimálně by se měly v pravidelných intervalech provádět následující kroky:

• Ujistěte se, že pracovníci monitorování zabezpečení vědí, že aktivita kontroly účtů probíhá.
• Zkontrolujte a aktualizujte seznam jednotlivců, kteří mají oprávnění používat přihlašovací údaje účtu pro nouzový přístup.
• Ujistěte se, že proces nouzového prolomení tísňového volání pro použití těchto účtů je zdokumentovaný a aktuální.
• Ujistěte se, že správci a bezpečnostní pracovníci, kteří mohou potřebovat provést tyto kroky během tísňového volání, jsou vytrénovaní v procesu.
• Ověřte, že se účty pro nouzový přístup můžou přihlašovat a provádět úlohy správy.
• Ujistěte se, že uživatelé nezaregistrovali vícefaktorové ověřování nebo samoobslužné resetování hesla (SSPR) k zařízení nebo personálním údajům žádného jednotlivého uživatele.
• Pokud jsou účty zaregistrované pro vícefaktorové ověřování na zařízení, aby bylo možné je použít při aktivaci přihlášení nebo role, ujistěte se, že je zařízení přístupné všem správcům, kteří ho můžou potřebovat použít během tísňového volání. Ověřte také, že zařízení může komunikovat nejméně dvěma síťovými cestami, které nesdílely společný režim selhání. Zařízení může například komunikovat s internetem prostřednictvím bezdrátové sítě zařízení i sítě poskytovatele buněk.
• Změňte kombinace na všech trezorech poté, co někdo s přístupem opustí organizaci, a také pravidelně.

Tyto kroky by se měly provádět v pravidelných intervalech a pro klíčové změny:

• Nejméně každých 90 dnů
• Pokud došlo k nedávné změně pracovníků IT, například po ukončení nebo změně pozice
• Když se předplatná Microsoft Entra v organizaci změnila

Další kroky

• Jak ověřit, že jsou uživatelé nastaveni pro povinné vícefaktorové ověřování
• Vyžadovat vícefaktorové ověřování proti útokům phishing pro správce
• Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID
• Konfigurace dalších ochrany pro privilegované role v Microsoftu 365, pokud používáte Microsoft 365
• Spusťte kontrolu přístupu privilegovaných rolí a převést stávající přiřazení privilegovaných rolí na konkrétnější role správce.