Gestire gli account di accesso di emergenza in Microsoft Entra ID

È importante evitare di essere accidentalmente bloccati dall'organizzazione di Microsoft Entra perché non è possibile accedere o attivare un ruolo. È possibile ridurre l'impatto di una accidentale mancanza di accesso amministrativo creando due o più account di accesso di emergenza nell'organizzazione.

Gli account utente con il ruolo Amministratore globale hanno privilegi elevati nel sistema, inclusi gli account di accesso di emergenza con il ruolo Amministratore globale. Gli account di accesso di emergenza sono limitati a scenari di emergenza o situazioni di emergenza estrema, in cui non è possibile usare gli account amministrativi normali. Consigliamo di mantenere l'impegno di limitare l'uso dell'account di emergenza solo ai casi strettamente necessari.

Questo articolo fornisce linee guida per la gestione degli account di accesso di emergenza in Microsoft Entra ID.

Perché usare un account di accesso di emergenza

Per un'organizzazione può essere necessario usare un account di accesso di emergenza nelle situazioni seguenti:

• Gli account utente sono federati e la federazione non è attualmente disponibile a causa di un'interruzione del funzionamento della rete cellulare o di un problema tecnico del provider di identità. Ad esempio, se l'host del provider di identità nell'ambiente è inattivo, gli utenti potrebbero non essere in grado di accedere quando Microsoft Entra ID reindirizza al provider di identità.
• Gli amministratori vengono registrati tramite l'autenticazione a più fattori di Microsoft Entra e tutti i singoli dispositivi non sono disponibili o il servizio non è disponibile. Gli utenti potrebbero non essere in grado di completare l'autenticazione a più fattori per attivare un ruolo. Ad esempio, un'interruzione del funzionamento della rete cellulare può impedire di rispondere alle chiamate telefoniche o di ricevere SMS, gli unici due meccanismi di autenticazione registrati per il dispositivo.
• L'utente con l'accesso di amministratore globale più recente ha lasciato l'organizzazione. Microsoft Entra ID impedisce l'eliminazione dell'ultimo account di amministratore globale, ma non impedisce l'eliminazione o la disabilitazione dell'account a livello locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.
• Circostanze impreviste come una calamità naturale durante la quale la rete cellulare o altre reti potrebbero non essere disponibili.
• Se le assegnazioni di ruolo per i ruoli di Amministratore Globale e Amministratore di Ruolo con Privilegi sono idonee, è necessaria l'approvazione per l'attivazione, ma non vengono selezionati approvatori (o tutti i responsabili dell'approvazione vengono rimossi dalla directory). Gli amministratori globali attivi e gli amministratori dei ruoli con privilegi sono gli approvatori predefiniti. Tuttavia, non ci saranno Amministratori Globali attivi né Amministratori di Ruoli con Privilegi, e l'amministrazione del tenant sarà effettivamente bloccata, a meno che non si utilizzino gli account di accesso di emergenza.

Creare account di accesso di emergenza

Creare due o più account di accesso di emergenza. Devono essere account solo cloud che usano il dominio *.onmicrosoft.com e che non sono federati o sincronizzati da un ambiente locale. A livello generale, seguire questi passaggi.

1. Trovare gli account di accesso di emergenza esistenti o creare nuovi account con il ruolo Amministratore globale.

   

2. Selezionare uno di questi metodi di autenticazione senza password per gli account di accesso di emergenza. Questi metodi soddisfano i requisiti di autenticazione a più fattori obbligatori .

   • passkey (FIDO2) (scelta consigliata)
   • Autenticazione basata su certificati se l'organizzazione dispone già di una configurazione PKI ("Public Key Infrastructure")

3. Configurare gli account di accesso di emergenza per l'uso dell'autenticazione senza password.

   • Abilitare le passkey (FIDO2) per la vostra organizzazione
   • Registrare un passkey (FIDO2)
   • Configurare l'autenticazione basata su certificati

4. Richiedi autenticazione a più fattori resistente al phishing per tutti gli account di emergenza.

5. Archiviare le credenziali dell'account in sicurezza.

6. Monitorare i log di accesso e di controllo.

7. Convalidare gli account regolarmente.

Requisiti di configurazione

Quando si configurano questi account, è necessario soddisfare i requisiti seguenti:

• Nella maggior parte delle organizzazioni, gli account di accesso di emergenza non sono associati ad alcun singolo utente dell'organizzazione. Le credenziali si trovano in una posizione sicura nota disponibile per più membri del team di amministrazione e non sono connesse con dispositivi forniti dai dipendenti, ad esempio telefoni. Questo approccio viene comunemente usato per unificare la gestione degli account di accesso di emergenza: la maggior parte delle organizzazioni necessita di account di accesso di emergenza non solo per l'infrastruttura Cloud Microsoft, ma anche per l'ambiente locale, le applicazioni SaaS federate e altri sistemi critici.

  In alternativa, è possibile scegliere di creare singoli account di accesso di emergenza per gli amministratori. Questa soluzione promuove la responsabilità e consente agli amministratori di usare gli account di accesso di emergenza da posizioni remote.

• Usare l'autenticazione avanzata per gli account di accesso di emergenza e assicurarsi che non usi gli stessi metodi di autenticazione degli altri account amministrativi. Ad esempio, se l'account amministratore normale usa l'app Microsoft Authenticator per l'autenticazione avanzata, usare una chiave di sicurezza FIDO2 per gli account di emergenza. Prendere in considerazione le dipendenze di vari metodi di autenticazione per evitare di aggiungere requisiti esterni nel processo di autenticazione.

• Il dispositivo o le credenziali non devono scadere o trovarsi nell'ambito della pulizia automatica per mancanza di utilizzo.

• In Microsoft Entra Privileged Identity Management è necessario rendere attiva l'assegnazione di ruolo Amministratore globale in modo permanente anziché idonea per gli account di accesso di emergenza.

• Gli utenti autorizzati a usare questi account di accesso di emergenza devono usare una workstation designata, sicura o un ambiente di elaborazione client simile, ad esempio una workstation con accesso con privilegi. Queste workstation devono essere usate durante l'interazione con gli account di accesso di emergenza. Per ulteriori informazioni sulla configurazione di un tenant di Microsoft Entra in cui sono presenti workstation designate, vedere l'implementazione di una soluzione di accesso con privilegi.

Linee guida per la federazione

Alcune organizzazioni usano Active Directory Domain Services e Active Directory Federation Service (AD FS) o un provider di identità simile per la federazione con Microsoft Entra ID. L'accesso di emergenza per i sistemi locali e l'accesso di emergenza per i servizi cloud devono essere mantenuti distinti, senza alcuna dipendenza l'uno dall'altro. Il mastering e l'autenticazione o l'origine per gli account con privilegi di accesso di emergenza da altri sistemi comportano rischi non necessari in caso di interruzione di tali sistemi.

Archiviare le credenziali dell'account in sicurezza

Le organizzazioni devono garantire che le credenziali per gli account di accesso di emergenza siano sempre conservate in modo sicuro e siano note solo a coloro che sono autorizzati a usarle. Ad esempio, è possibile usare chiavi di sicurezza FIDO2 per Microsoft Entra ID o smart card per Windows Server Active Directory. Le credenziali devono essere archiviate in casseforti ignifughe e sicure che si trovano in posizioni sicure e separate.

Monitorare i log di accesso e di controllo

Le organizzazioni devono monitorare l'attività del log di accesso e controllo dagli account di emergenza e attivare le notifiche ad altri amministratori. Quando si monitora l'attività per gli account di accesso di emergenza, è possibile verificare che questi account vengano usati solo per i test o le emergenze effettive. È possibile usare Monitoraggio di Azure, Microsoft Sentinel o altri strumenti per monitorare i log di accesso e attivare avvisi tramite posta elettronica e SMS agli amministratori ogni volta che gli account di accesso di emergenza accedono. Questa sezione illustra l'uso di Azure Monitor.

Prerequisiti

• Inviare i log di accesso di Microsoft Entra a Monitoraggio di Azure.

Ottenere gli ID degli oggetti degli account di accesso di emergenza

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

2. Passare a Identità>Utenti>Tutti gli utenti.

3. Cercare l'account di accesso di emergenza e selezionare il nome dell'utente.

4. Copiare e salvare l'attributo ID oggetto in modo da poterlo usare in un secondo momento.

5. Ripetere i passaggi precedenti per il secondo account di accesso di emergenza.

Creare una regola di avviso

1. Accedere al portale di Azure almeno come collaboratore al monitoraggio.

2. Passare a Monitoraggio>Aree di lavoro Log Analytics.

3. Selezionare un'area di lavoro.

4. Nell'area di lavoro selezionare Avvisi>Nuova regola di avviso.

   1. In Risorsa verificare che la sottoscrizione sia quella a cui si vuole associare la regola di avviso.

   2. In Condizione selezionare Aggiungi.

   3. In Nome segnale selezionare Ricerca log personalizzata.

   4. Nella query di ricerca, immettere la query seguente, inserendo gli ID oggetto dei due account di accesso di emergenza.

      Nota

      Per ogni account di accesso di emergenza aggiuntivo da includere, aggiungere un altro or UserId == "ObjectGuid" alla query.

      Query di esempio:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. In Logica avvisi immettere quanto segue:

      • In base a: Numero di risultati
      • Operatore: Maggiore di
      • Valore soglia: 0

   6. In Valutati in base a, selezionare il Periodo (in minuti) per il periodo di tempo in cui si desidera eseguire la query e la Frequenza (in minuti) per la frequenza con cui si desidera eseguire la query. La frequenza deve essere minore o uguale al periodo di ricerca.

      

   7. Selezionare Fatto. È ora possibile visualizzare il costo mensile stimato di questo avviso.

5. Selezionare un gruppo di azioni di utenti a cui inviare una notifica tramite l'avviso. Se si desidera crearne uno, vedere Creare un gruppo di azioni.

6. Per personalizzare la notifica di posta elettronica inviata ai membri del gruppo di azioni, selezionare azioni in Personalizza azioni.

7. In Dettagli avviso specificare il nome della regola di avviso e aggiungere una descrizione facoltativa.

8. Impostare il Livello di gravità dell'evento. È consigliabile impostarlo su Critico (gravità 0).

9. In Abilita regola al momento della creazione lasciarla impostata come sì.

10. Per disattivare gli avvisi per un periodo di tempo, selezionare la casella di controllo Non visualizzare avvisi e immettere la durata di attesa prima di ripetere l'avviso e quindi selezionare Salva.

11. Selezionare Crea regola di notifica.

Creare un gruppo di azioni

1. Selezionare Crea un gruppo di azioni.

   

2. Specificare il nome gruppo di azioni e il nome breve.

3. Verificare la sottoscrizione e il gruppo di risorse.

4. In tipo di azione selezionare Posta elettronica/SMS/Push/Voce.

5. Immettere un nome di azione, ad esempio Notifica amministratore globale.

6. Selezionare Tipo di azione come Posta elettronica/SMS/Push/Voce.

7. Selezionare Modifica dettagli per selezionare i metodi di notifica che si desidera configurare e immettere le informazioni di contatto necessarie, quindi selezionare Ok per salvare i dettagli.

8. Aggiungere eventuali azioni aggiuntive che si desidera attivare.

9. Seleziona OK.

Preparare un team per l'analisi post-evento per valutare l'uso di ciascuna delle credenziali di accesso d'emergenza.

Se l'avviso viene attivato, mantenere i log di Microsoft Entra e di altri carichi di lavoro. Eseguire una verifica delle circostanze e dei risultati dell'utilizzo dell'account di accesso di emergenza. Questa revisione determinerà se l'account è stato usato:

• Per un'esercitazione pianificata al fine di convalidarne l'idoneità
• In risposta a un'emergenza effettiva in cui nessun amministratore potrebbe usare i propri account regolari
• Oppure a causa di uso improprio o non autorizzato dell'account

Esaminare quindi i log per determinare quali azioni sono state eseguite dall'utente con l'account di accesso di emergenza per assicurarsi che tali azioni siano allineate all'uso autorizzato dell'account.

Convalidare gli account regolarmente

Oltre a formare i membri del personale a usare gli account di accesso di emergenza, dovresti anche avere un processo continuo per convalidare che questi account rimangano accessibili al personale autorizzato. Le esercitazioni regolari devono essere eseguite per convalidare le funzionalità degli account e per verificare che le regole di monitoraggio e avviso vengano attivate nel caso in cui un account venga successivamente usato in modo improprio. Come minimo, i passaggi seguenti devono essere eseguiti a intervalli regolari:

• Assicurarsi che il personale addetto al monitoraggio della sicurezza sia consapevole che l'attività di controllo degli account è in corso.
• Esaminare e aggiornare l'elenco di utenti autorizzati a usare le credenziali dell'account di accesso di emergenza.
• Assicurarsi che il processo per gli scenari di emergenza per usare questi account sia documentato e corrente.
• Assicurarsi che gli amministratori e i responsabili della sicurezza che potrebbero dover eseguire queste procedure durante un'emergenza siano formati sul processo.
• Verificare che gli account di accesso di emergenza possano accedere ed eseguire attività amministrative.
• Assicurarsi che gli utenti non hanno registrato l'autenticazione a più fattori o la reimpostazione della password self-service (SSPR) per qualsiasi dispositivo o dettagli personali dell'utente.
• Se gli account sono registrati per l'autenticazione a più fattori per un dispositivo da usare durante l'accesso o l'attivazione del ruolo, assicurarsi che il dispositivo sia accessibile a tutti gli amministratori che potrebbero aver bisogno di usarlo durante un'emergenza. Verificare inoltre che il dispositivo possa comunicare tramite almeno due percorsi di rete che non condividono una modalità di errore comune. Ad esempio, il dispositivo può comunicare con Internet tramite la rete wireless di una struttura e una rete cellulare.
• Modificare le combinazioni in qualsiasi cassaforte dopo che un utente con accesso lascia l'organizzazione, e anche regolarmente.

Questi passaggi devono essere eseguiti a intervalli regolari e per le modifiche chiave:

• Almeno ogni 90 giorni
• Quando è stata apportata una recente modifica al personale IT, ad esempio dopo la chiusura o la modifica della posizione
• Quando gli abbonamenti di Microsoft Entra nell'organizzazione sono cambiati

Passaggi successivi

• Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria
• Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori
• Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID
• Configurare protezioni aggiuntive per i ruoli con privilegi in Microsoft 365, se si usa Microsoft 365
• Avviare una verifica di accesso dei ruoli con privilegi e passare le assegnazioni di ruolo con privilegi esistenti a ruoli di amministratore più specifici