Erstellen und Verwalten von Konten für den Notfallzugriff

  • 7 Minuten

Sie müssen verhindern, dass Sie versehentlich aus Ihrer Microsoft Entra ID-Instanz ausgesperrt werden. Mit Microsoft Entra ID können Sie sich nicht als Administrator anmelden oder das Konto eines anderen Benutzers zum Administratorkonto machen. Sie können das Risiko eines versehentlich fehlenden Administratorzugriffs reduzieren. Das Geheimnis besteht darin, mindestens zwei Konten für den Notfallzugriff in Ihrer Organisation zu erstellen.

Konten für den Notfallzugriff verfügen über umfangreiche Rechte und werden keinen Einzelpersonen zugewiesen. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können. Es wird empfohlen, den Zugriff auf das Notfallkonto einzuschränken. Verwenden Sie die Konten nur, wenn dies erforderlich ist.

Dieser Artikel enthält Richtlinien zum Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.

Gründe zur Verwendung eines Kontos für den Notfallzugriff

Eine Organisation könnte beispielsweise in den folgenden Situationen auf ein Konto für den Notfallzugriff zurückgreifen:

  • Die Benutzerkonten befinden sich in einem Verbund, und der Verbund ist aktuell nicht verfügbar, weil ein Mobilfunknetz oder ein Identitätsanbieter ausgefallen ist. Wenn beispielsweise der Identitätsanbieterhost in Ihrer Umgebung nicht erreichbar ist, können sich die Benutzer möglicherweise nicht anmelden, wenn sie von Microsoft Entra ID an ihren Identitätsanbieter umgeleitet werden.
  • Die Administratoren werden über die Multi-Faktor-Authentifizierung von Microsoft Entra registriert. Alle ihre einzelnen Geräte sind nicht verfügbar, oder der Dienst ist nicht verfügbar. Benutzer können möglicherweise keine Multi-Faktor-Authentifizierung durchführen, um eine Rolle zu aktivieren. Ein Ausfall des Mobilfunknetzes verhindert beispielsweise, dass sie Anrufe entgegennehmen oder Textnachrichten empfangen können. Dies gilt insbesondere dann, wenn dies die einzigen beiden Authentifizierungsmechanismen sind, die sie registriert haben.
  • Die Person, die zuletzt über globalen Administratorzugriff verfügte, hat die Organisation verlassen. Microsoft Entra ID verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber das lokale Löschen oder Deaktivieren des Kontos wird nicht verhindert. Beide Situationen können dazu führen, dass die Organisation nicht in der Lage ist, das Konto wiederherzustellen.
  • Bei unvorhersehbaren Ereignissen wie Naturkatastrophen, die dazu führen, dass Mobiltelefone oder andere Netzwerke nicht verfügbar sind.

Erstellen von Konten für den Notfallzugriff

Erstellen Sie mindestens zwei Konten für den Notfallzugriff. Bei diesen Konten sollte es sich um rein cloudbasierte Konten handelt, die die Domäne .onmicrosoft.com verwenden und nicht im Verbund sind oder in einer lokalen Umgebung synchronisiert werden.

Für die Konfiguration von Notfallkonten durch den Administrator müssen die folgenden Voraussetzungen erfüllt sein:

  • Die Konten für Notfallzugriff dürfen keinem einzelnen Benutzer in der Organisation zugeordnet werden. Stellen Sie sicher, dass Ihre Konten nicht mit von Mitarbeitern bereitgestellten Mobiltelefonen, Hardwaretoken, die einzelne Mitarbeiter mit sich führen, oder anderen mitarbeiterspezifischen Anmeldeinformationen verbunden sind. Durch diese Vorsichtsmaßnahme werden Fälle abgedeckt, in denen einzelne Mitarbeiter nicht erreichbar sind, wenn die Anmeldeinformationen benötigt werden. Alle registrierten Geräte müssen an einem bekannten, sicheren Ort aufbewahrt werden. Diese Orte benötigen mehrere Möglichkeiten für die Kommunikation mit Microsoft Entra ID.
  • Der für ein Konto für Notfallzugriff verwendete Authentifizierungsmechanismus sollte sich unterscheiden. Trennen Sie ihn von dem Mechanismus, der von Ihren anderen administrativen Konten verwendet wird, einschließlich anderer Konten für Notfallzugriff. Wenn Ihre normale Administratoranmeldung beispielsweise über lokale MFA erfolgt, wäre die Multi-Faktor-Authentifizierung ein anderer Mechanismus. Wenn die Multi-Faktor-Authentifizierung jedoch den primären Teil der Authentifizierung für Ihre Administratorkonten darstellt, sollten Sie einen anderen Ansatz für Notfallkonten in Betracht ziehen. Probieren Sie beispielsweise bedingten Zugriff mit einem MFA-Drittanbieter über benutzerdefinierte Steuerungen aus.
  • Die jeweiligen Geräte oder die Anmeldeinformationen dürfen nicht ablaufen oder aufgrund mangelnder Verwendung in den Bereich der automatisierten Bereinigung fallen.
  • Sie sollten die Rolle „Globaler Administrator“ für Ihre Konten für den Notfallzugriff dauerhaft zuweisen.

Ausschließen mindestens eines Kontos aus der telefonbasierten Multi-Faktor-Authentifizierung

Um das Risiko von Angriffen zu verringern, die aus kompromittierten Kennwörtern resultieren, empfiehlt das Microsoft Entra ID-Team, die Multi-Faktor-Authentifizierung (MFA) für alle individuellen Benutzer als verbindlich festzulegen. Diese Gruppe umfasst Administratoren und alle weiteren Benutzer (z. B. Mitarbeiter der Finanzabteilung), bei denen ein kompromittiertes Konto erheblichen Schaden verursachen kann.

Allerdings sollte mindestens eines Ihrer Konten für Notfallzugriff nicht über den gleichen Multi-Faktor-Authentifizierungsmechanismus verfügen wie Ihre anderen Konten, die keine Notfallkonten sind. Dies schließt Drittanbieterlösungen für die Multi-Faktor-Authentifizierung ein. Wenn Sie eine Richtlinie für bedingten Zugriff festgelegt haben, um Multi-Faktor-Authentifizierung für alle Administratoren für Microsoft Entra ID und andere verbundene Software-as-a-Service-Apps (SaaS-Apps) zu erzwingen, sollten Sie die Konten für den Notfallzugriff aus dieser Anforderung ausschließen und stattdessen einen anderen Mechanismus konfigurieren. Darüber hinaus sollten Sie sicherstellen, dass die Konten nicht über eine MFA-Richtlinie pro Benutzer*in verfügen.

Ausschließen mindestens eines Kontos aus Richtlinien für bedingten Zugriff

Während eines Notfalls möchten Sie nicht, dass eine Richtlinie Ihren Zugriff möglicherweise blockiert, wenn Sie ein Problem beheben müssen. Mindestens ein Konto für den Notfallzugriff sollte aus allen Richtlinien für bedingten Zugriff ausgeschlossen werden.

Verbundleitfaden

Eine andere Option für Organisationen, die Active Directory Domain Services und AD FS oder einen ähnlichen Identitätsanbieter für den Verbund mit Microsoft Entra ID verwenden, ist das Konfigurieren eines Kontos für den Notfallzugriff, dessen MFA-Anspruch von diesem Identitätsanbieter angegeben werden könnte. Das Konto für den Notfallzugriff könnte z. B. durch ein Zertifikat und ein Schlüsselpaar gesichert werden, wie beispielsweise eines, das auf einer Smartcard gespeichert ist. Wenn Benutzer*innen bei AD authentifiziert sind, kann AD FS einen Anspruch an Microsoft Entra ID senden, der angibt, dass diese die MFA-Anforderungen erfüllen. Auch bei diesem Ansatz müssen Organisationen weiterhin über cloudbasierte Konten für Notfallzugriff für den Fall verfügen, dass kein Verbund eingerichtet werden kann.

Überwachen der Anmeldung und Überwachungsprotokolle

Organisationen sollten die Anmelde- und Überwachungsprotokollaktivitäten der Notfallkonten überwachen und Benachrichtigungen an andere Administratoren auslösen. Wenn Sie die Aktivitäten für sogenannte „Break Glass Accounts“ überwachen, können Sie sicherstellen, dass diese Konten nur zu Testzwecken oder in tatsächlichen Notfällen verwendet werden. Sie können Azure Log Analytics verwenden, um die Anmeldeprotokolle zu überwachen und E-Mail- und SMS-Warnungen im Falle von Anmeldungen bei Break Glass Accounts für Ihre Administratoren auszulösen.

Regelmäßiges Überprüfen der Konten

Wenn Sie Mitarbeiter in der Verwendung und Überprüfung von Konten für den Notfallzugriff schulen, führen Sie mindestens die folgenden Schritte in regelmäßigen Abständen aus:

  • Stellen Sie sicher, dass die für die Sicherheitsüberwachung verantwortlichen Mitarbeiter darüber informiert sind, dass eine Kontoüberprüfung stattfindet.
  • Stellen Sie sicher, dass der Break Glass-Notfallprozess für die Verwendung dieser Konten dokumentiert wird und aktuell ist.
  • Stellen Sie sicher, dass Administratoren und Sicherheitsbeauftragte, die diese Schritte bei einem Notfall möglicherweise ausführen müssen, entsprechend geschult sind.
  • Aktualisieren Sie die Kontoanmeldeinformationen, insbesondere alle Kennwörter, für Ihre Konten für Notfallzugriff, und überprüfen Sie dann, ob sich die Konten für Notfallzugriff anmelden und administrative Aufgaben ausführen können.
  • Stellen Sie sicher, dass Benutzer*innen keine Multi-Faktor-Authentifizierung oder Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) mit einem persönlichen Gerät oder persönlichen Angaben registriert haben.
  • Wenn die Konten für Multi-Faktor-Authentifizierung mit einem Gerät zur Verwendung während der Anmeldung oder Rollenaktivierung registriert sind, stellen Sie sicher, dass das Gerät für alle Administratoren zugänglich ist, die es bei einem Notfall möglicherweise verwenden müssen. Stellen Sie außerdem sicher, dass das Gerät über mindestens zwei Netzwerkpfade kommunizieren kann, die keinen gemeinsamen Fehlermodus aufweisen. Beispiel: Das Gerät kann über ein Drahtlosnetzwerk der Organisation und über das Netz eines Mobilfunkanbieters mit dem Internet kommunizieren.

Diese Schritte sollten in regelmäßigen Abständen und für wichtige Änderungen ausgeführt werden:

  • Mindestens alle 90 Tage
  • Bei einem Wechsel bei den IT-Mitarbeitern, z. B. bei einem Positionswechsel, beim Ausscheiden eines Mitarbeiters oder bei einer Neueinstellung
  • Bei einer Änderung der Microsoft Entra-Abonnements in der Organisation