Gérer les comptes d'accès d'urgence dans Microsoft Entra ID

Il est important que vous empêchez d’être verrouillé accidentellement hors de votre organisation Microsoft Entra, car vous ne pouvez pas vous connecter ou activer un rôle. Vous pouvez pallier l’impact d’un défaut d’accès administratif en créant deux ou plusieurs comptes d’accès d’urgence dans votre organisation.

Les comptes d’utilisateur disposant du rôle Administrateur général disposent de privilèges élevés dans le système, notamment les comptes d’accès d’urgence avec le rôle Administrateur général. Les comptes d’accès d’urgence sont limités aux scénarios d’urgence ou de « dernière chance » où les comptes administratifs normaux ne peuvent pas être utilisés. Nous vous recommandons de vous fixer pour objectif de limiter l’utilisation du compte d’urgence uniquement lorsque cela est strictement nécessaire.

Cet article fournit des instructions pour la gestion des comptes d’accès d’urgence dans Microsoft Entra ID.

Pourquoi utiliser un compte d’accès d’urgence ?

Une organisation peut avoir recours à un compte d’accès d’urgence dans les situations décrites ici.

• Les comptes d’utilisateurs sont fédérés, et la fédération est actuellement indisponible en raison d’un dysfonctionnement du réseau cellulaire ou d’une panne du fournisseur d’identité. Par exemple, si l’hôte du fournisseur d’identité dans votre environnement s’est arrêté de fonctionner, les utilisateurs risquent de ne pas pouvoir se connecter lors de la redirection de Microsoft Entra ID vers leur fournisseur d’identité.
• Les administrateurs sont inscrits par le biais de l’authentification multifacteur Microsoft Entra. Tous leurs appareils individuels ou le service sont indisponibles. Les utilisateurs peuvent se retrouver dans l’incapacité de procéder à l’authentification multifacteur pour activer un rôle. Par exemple, une panne de réseau cellulaire les empêche de répondre aux appels téléphoniques ou de recevoir des SMS, les deux seuls mécanismes d’authentification à leur disposition qu’ils ont enregistrés pour leur appareil.
• La personne disposant de l’accès administrateur général le plus récent a quitté l’organisation. Microsoft Entra ID empêche la suppression du dernier compte d’administrateur général, mais n’empêche pas le compte d’être supprimé ou désactivé localement. Chacune de ces situations peut rendre impossible la récupération du compte par l’organisation.
• Un événement imprévu, comme une catastrophe naturelle, au cours duquel les téléphones mobiles ou d’autres réseaux sont indisponibles.
• Si les attributions de rôle pour les rôles Administrateur général et Administrateur de rôle privilégié sont éligibles, l’approbation est requise pour l’activation, mais aucun approbateur n’est sélectionné (ou tous les approbateurs sont supprimés de l’annuaire). Les administrateurs généraux actifs et les administrateurs de rôles privilégiés sont des approbateurs par défaut. Mais il n’y aura pas d’administrateur général actif ni d’administrateur de rôle privilégié, et l’administration du locataire sera effectivement verrouillée, sauf si des comptes d’accès d’urgence sont utilisés.

Créer des comptes d’accès d’urgence

Créez plusieurs comptes d’accès d’urgence. Ces comptes doivent être des comptes cloud uniquement qui utilisent le domaine *.onmicrosoft.com et qui ne sont pas fédérés ou synchronisés à partir d’un environnement local. À un niveau élevé, procédez comme suit.

1. Recherchez vos comptes d’accès d’urgence existants ou créez des comptes avec le rôle Administrateur général.

   capture d’écran

2. Sélectionnez l’une de ces méthodes d’authentification sans mot de passe pour vos comptes d’accès d’urgence. Ces méthodes répondent aux exigences d’authentification multifacteur obligatoires.

   • Passkey (FIDO2) (recommandé)
   • l’authentification basée sur un certificat si votre organisation dispose déjà d’une configuration d’infrastructure à clé publique (PKI)

3. configurer vos comptes d’accès d’urgence pour utiliser l’authentification sans mot de passe.

   • Activer les clés secrètes (FIDO2) pour votre organisation
   • Inscrire une clé secrète (FIDO2)
   • Configurer l’authentification basée sur des certificats

4. Exiger l’authentification multifacteur résistante au hameçonnage pour tous vos comptes d’urgence.

5. Stocker les informations d’identification de compte en toute sécurité.

6. Surveiller les journaux de connexion et d’audit.

7. Valider régulièrement les comptes.

Configuration requise

Lorsque vous configurez ces comptes, les exigences suivantes doivent être remplies :

• Dans la plupart des organisations, les comptes d’accès d’urgence ne sont associés à aucun utilisateur individuel de l’organisation. Les informations d’identification se trouvent dans un emplacement sécurisé connu disponible pour plusieurs membres de l’équipe d’administration et ne sont pas connectées à des appareils fournis par les employés tels que les téléphones. Cette approche est couramment utilisée pour unifier la gestion des comptes d’accès d’urgence : la plupart des organisations ont besoin de comptes d’accès d’urgence non seulement pour l’infrastructure Microsoft Cloud, mais également pour l’environnement local, les applications SaaS fédérées et d’autres systèmes critiques.

  Vous pouvez également choisir de créer des comptes d’accès d’urgence individuels pour les administrateurs. Cette solution favorise la responsabilité et permet aux administrateurs d’utiliser des comptes d’accès d’urgence à partir d’emplacements distants.

• Utilisez une authentification forte pour vos comptes d’accès d’urgence et assurez-vous qu’elle n’utilise pas les mêmes méthodes d’authentification que vos autres comptes d’administration. Par exemple, si votre compte d’administrateur normal utilise l’application Microsoft Authenticator pour une authentification forte, utilisez une clé de sécurité FIDO2 pour vos comptes d’urgence. Tenez compte des dépendances entre les différentes méthodes d’authentification afin d’éviter d’ajouter des exigences externes dans le processus d’authentification.

• L’appareil ou les informations d’identification ne doivent pas expirer ou faire potentiellement l’objet d’un nettoyage automatisé en raison d’une utilisation insuffisante.

• Dans Microsoft Entra Privileged Identity Management, vous devez rendre l'attribution du rôle d'Administrateur Global active et permanente, plutôt qu'éligible, pour vos comptes d'accès d'urgence.

• Les personnes autorisées à utiliser ces comptes d’accès d’urgence doivent utiliser une station de travail désignée, sécurisée ou un environnement informatique client similaire, tel qu’une station de travail à accès privilégié. Ces stations de travail doivent être utilisées lors de l’interaction avec les comptes d’accès d’urgence. Pour plus d’informations sur la configuration d’un locataire Microsoft Entra où il existe des stations de travail désignées, consultez déploiement d’une solution d’accès privilégié.

Conseils sur la fédération

Certaines organisations utilisent les services de domaine Active Directory et le service de fédération Active Directory (AD FS) ou un fournisseur d’identité similaire pour fédérer à l’ID Microsoft Entra. L’accès d’urgence pour les systèmes locaux et l’accès d’urgence pour les services cloud doivent être distincts, sans aucune dépendance l’un par rapport à l’autre. La maîtrise ou l’approvisionnement de l’authentification pour les comptes ayant des privilèges d’accès d’urgence provenant d’autres systèmes ajoute un risque inutile en cas de panne de ces systèmes.

Stocker les informations d’identification de compte en toute sécurité

Les organisations sont tenues de garantir la sécurisation des informations d’identification pour les comptes d’accès d’urgence, et une confidentialité limitée aux seules personnes autorisées à les utiliser. Par exemple, vous pouvez utiliser clés de sécurité FIDO2 pour microsoft Entra ID ou cartes à puce pour Windows Server Active Directory. Les informations d’identification doivent être stockées dans des coffres sécurisés et résistants aux incendies qui se trouvent dans des emplacements sécurisés et distincts.

Surveiller les journaux de connexion et d’audit

Les organisations doivent surveiller l’activité de connexion et du journal d’audit à partir des comptes d’urgence et déclencher des notifications à d’autres administrateurs. Lorsque vous surveillez l’activité des comptes d’accès d’urgence, vous pouvez vérifier que ces comptes sont utilisés uniquement pour les tests ou les urgences réelles. Vous pouvez utiliser Azure Monitor, Microsoft Sentinel ou d’autres outils pour surveiller les journaux de connexion et déclencher des alertes par e-mail et SMS à vos administrateurs chaque fois que les comptes d’accès d’urgence se connectent. Cette section illustre l’utilisation d’Azure Monitor.

Prérequis

• Envoyez les journaux de connexion de Microsoft Entra à Azure Monitor.

Obtenir les identifiants d'objet des comptes d'accès d'urgence

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.

2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

3. Recherchez le compte d’accès d’urgence et sélectionnez le nom de l’utilisateur.

4. Copiez et enregistrez l’attribut ID d’objet afin de pouvoir l’utiliser ultérieurement.

5. Répétez les étapes précédentes pour le deuxième compte d’accès d’urgence.

Création d'une règle d'alerte

1. Connectez-vous au Portail Microsoft Azure en tant que contributeur Monitoring au moins.

2. Accédez à Surveiller les>espaces de travail Log Analytics.

3. Sélectionnez un espace de travail.

4. Dans votre espace de travail, sélectionnez Alertes>Nouvelle règle d’alerte.

   1. Sous Ressource, vérifiez que l’abonnement est celui auquel vous souhaitez associer la règle d’alerte.

   2. Sous Condition, sélectionnez Ajouter.

   3. Sélectionnez Recherche de journal personnalisée sous Nom du signal.

   4. Sous Requête de recherche, saisissez la requête suivante, en insérant les ID d'objet des deux comptes d'accès d'urgence.

      Remarque

      Pour chaque compte d’accès d’urgence supplémentaire que vous souhaitez inclure, ajoutez un autre or UserId == "ObjectGuid" à la requête.

      Exemples de requêtes :

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. Sous Logique d’alerte, entrez ce qui suit :

      • Basé sur : Nombre de résultats
      • Opérateur : Supérieur à
      • Valeur de seuil : 0

   6. Sous Évalué en fonction de, sélectionnez Durée (en minutes) pour indiquer la durée pendant laquelle la requête doit s’exécuter et Fréquence (en minutes) pour indiquer à quelle fréquence la requête doit s’exécuter. La fréquence doit être inférieure ou égale à la durée.

      

   7. Cliquez sur Terminé. Vous pouvez maintenant voir le coût mensuel estimé de cette alerte.

5. Sélectionnez un groupe d’actions d’utilisateurs devant être avertis par l’alerte. Si vous souhaitez en créer un, consultez Créer un groupe d’actions.

6. Pour personnaliser les notifications par e-mail envoyées aux membres du groupe d’actions, sélectionnez Actions sous Personnaliser les actions.

7. Sous Détails de l’alerte, spécifiez le nom de la règle d’alerte et ajoutez une description facultative.

8. Définissez le Niveau de gravité de l’événement. Nous vous recommandons de le définir sur Critique(Grav 0) .

9. Sous Activer la règle lors de la création, conserver la valeur Oui.

10. Pour désactiver les alertes pendant un certain temps, activez la case à cocher Supprimer les alertes et entrez la durée d’attente avant que les alertes ne soient à nouveau activées, puis sélectionnez Enregistrer.

11. Sélectionnez Créer une règle d’alerte.

Créer un groupe d’actions

1. Sélectionnez Créer un groupe d’actions.

   

2. Entrez le nom du groupe d’actions et un nom court.

3. Vérifiez l’abonnement et le groupe de ressources.

4. Sous le type d’action, sélectionnez E-mail/SMS/Push/Voix.

5. Entrez un nom d’action, par exemple Avertir l’administrateur général.

6. Sélectionnez le Type d’actionE-mail/SMS/Push/Voix.

7. Sélectionnez Modifier les détails pour sélectionner les méthodes de notification que vous souhaitez configurer, puis entrez les coordonnées requises et cliquez sur OK pour enregistrer les détails.

8. Ajoutez toutes les actions supplémentaires que vous souhaitez déclencher.

9. Sélectionnez OK.

Préparer une équipe d'analyse post-mortem pour évaluer chaque utilisation des identifiants de compte d’accès d’urgence

Si l’alerte est déclenchée, conservez les journaux d’activité de Microsoft Entra et d’autres charges de travail. Effectuez un examen des circonstances et des résultats de l’utilisation du compte d’accès d’urgence. Cette révision détermine si le compte a été utilisé :

• Pour qu’un exercice planifié valide sa pertinence
• En réponse à une urgence réelle où aucun administrateur ne pouvait utiliser ses comptes réguliers
• Ou en raison d’une utilisation incorrecte ou non autorisée du compte

Ensuite, examinez les journaux d’activité pour déterminer quelles actions ont été effectuées par l’individu avec le compte d’accès d’urgence pour s’assurer que ces actions s’alignent sur l’utilisation autorisée du compte.

Valider régulièrement les comptes

Outre la formation des membres du personnel pour utiliser des comptes d’accès d’urgence, vous devez également disposer d’un processus continu pour valider que les comptes d’accès d’urgence restent accessibles au personnel autorisé. Des exercices réguliers doivent être effectués pour valider les fonctionnalités des comptes et vérifier que les règles de surveillance et d’alerte sont déclenchées au cas où un compte est par la suite mal utilisé. Au minimum, les étapes suivantes doivent être effectuées à intervalles réguliers :

• Assurez-vous que le personnel de surveillance de la sécurité est conscient que l’activité de vérification des comptes est en cours.
• Passez en revue et mettez à jour la liste des personnes autorisées à utiliser les informations d’identification du compte d’accès d’urgence.
• Assurez-vous que le processus de secours permettant d’utiliser ces comptes est documenté et à jour.
• Assurez-vous que les administrateurs et les responsables de la sécurité susceptibles de devoir suivre ces étapes en cas d’urgence sont formés au processus.
• Vérifiez que les comptes d’accès d’urgence peuvent se connecter et effectuer des tâches administratives.
• Assurez-vous que les utilisateurs n’ont pas inscrit l’authentification multifacteur ou la réinitialisation de mot de passe en libre-service (SSPR) sur l’appareil ou les détails personnels de chaque utilisateur.
• Si les comptes sont inscrits pour une authentification multifacteur sur un appareil, en vue de servir pendant la connexion ou l’activation de rôle, vérifiez que tous les administrateurs susceptibles d’utiliser l’appareil en cas d’urgence ont accès à celui-ci. Vérifiez également que l’appareil peut communiquer via au moins deux chemins d’accès réseau qui ne partagent pas un mode de défaillance commun. Par exemple, l’appareil doit être capable de communiquer sur internet via le réseau sans fil d’une installation et le réseau d’un fournisseur de données cellulaires.
• Modifiez les combinaisons sur tous les coffres-forts après qu’une personne ayant accès quitte l’organisation, ainsi que sur une base régulière.

Ces étapes doivent être effectuées à intervalles réguliers et pour les principaux changements :

• Au moins tous les 90 jours
• Lorsqu’il y a eu un changement récent du personnel informatique, par exemple après le licenciement ou le changement de poste
• Lorsque les abonnements Microsoft Entra de l’organisation changent

Étapes suivantes

• Comment vérifier que les utilisateurs sont configurés avec une authentification multifacteur obligatoire
• Exiger l’authentification multifacteur résistante au hameçonnage pour les administrateurs
• Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID
• Configurer des protections supplémentaires pour les rôles privilégiés dans Microsoft 365, si vous utilisez Microsoft 365
• Démarrer une révision d’accès des rôles privilégiés et opérer une transition des attributions de rôles privilégiés existantes vers des rôles d’administrateur plus spécifiques