Accounts voor noodtoegang beheren in Microsoft Entra ID

Het is belangrijk dat u voorkomt dat uw Microsoft Entra-organisatie per ongeluk wordt vergrendeld omdat u zich niet kunt aanmelden of een rol kunt activeren. U kunt de impact van onbedoelde beheerdersuitsluiting voorkomen door twee of meer accounts voor noodtoegang te maken in uw organisatie.

Gebruikersaccounts met de rol Globale beheerder hebben hoge bevoegdheden in het systeem. Dit omvat accounts voor toegang voor noodgevallen met de rol Globale beheerder. Noodtoegangsaccounts zijn beperkt tot nood- of 'break glass'-scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt. We raden u aan om het gebruik van accounts voor noodgevallen te beperken tot alleen de tijden waarin dit absoluut noodzakelijk is.

Dit artikel bevat richtlijnen voor het beheren van accounts voor toegang tot noodgevallen in Microsoft Entra ID.

Waarom een account voor noodtoegang gebruiken

In de volgende situaties moet een organisatie mogelijk een account voor noodtoegang gebruiken:

• De gebruikersaccounts zijn federatief en federatie is momenteel niet beschikbaar vanwege een onderbreking van het celnetwerk of een storing van de id-provider. Als de host van de id-provider in uw omgeving bijvoorbeeld is uitgevallen, kunnen gebruikers zich mogelijk niet aanmelden wanneer Microsoft Entra ID wordt omgeleid naar hun id-provider.
• De beheerders worden geregistreerd via meervoudige verificatie van Microsoft Entra en al hun afzonderlijke apparaten zijn niet beschikbaar of de service is niet beschikbaar. Gebruikers kunnen mogelijk meervoudige verificatie niet voltooien om een rol te activeren. Een netwerkstoring in een cel verhindert bijvoorbeeld dat ze telefoongesprekken beantwoorden of sms-berichten ontvangen, de enige twee verificatiemechanismen die ze voor hun apparaat hebben geregistreerd.
• De persoon met de meest recente globale beheerderstoegang heeft de organisatie verlaten. Microsoft Entra-id voorkomt dat het laatste globale beheerdersaccount wordt verwijderd, maar het account wordt niet on-premises verwijderd of uitgeschakeld. In beide gevallen kan de organisatie het account niet herstellen.
• Onvoorziene omstandigheden zoals een noodgeval in verband met een natuurramp, waarbij een mobiele telefoon of andere netwerken mogelijk niet beschikbaar zijn.
• Als roltoewijzingen voor de rollen Globale beheerder en Bevoorrechte rolbeheerder in aanmerking komen, is goedkeuring vereist voor activering, maar zijn er geen goedkeurders geselecteerd (of alle goedkeurders worden verwijderd uit de directory). Actieve globale beheerders en bevoorrechte rolbeheerders zijn standaard goedkeurders. Maar er zullen geen actieve globale beheerders en bevoorrechte rolbeheerders zijn en het beheer van de tenant zal effectief worden vergrendeld, tenzij accounts voor toegang tot noodgevallen worden gebruikt.

Accounts voor noodtoegang maken

Maak twee of meer accounts voor noodtoegang. Deze accounts moeten alleen cloudaccounts zijn die gebruikmaken van het domein *.onmicrosoft.com en niet worden gefedereerd of gesynchroniseerd vanuit een on-premises omgeving. Volg deze stappen op hoog niveau.

1. Zoek uw bestaande accounts voor toegang tot noodgevallen of maak nieuwe accounts met de rol Globale beheerder.

   

2. Selecteer een van deze wachtwoordloze verificatiemethoden voor uw noodgevaltoegangsaccounts. Deze methoden voldoen aan de verplichte vereisten voor meervoudige verificatie.

   • wachtwoordsleutel (FIDO2) (aanbevolen)
   • verificatie op basis van certificaten als uw organisatie al een PKI-installatie (Public Key Infrastructure) heeft

3. Configureer uw accounts voor toegang voor noodgevallen om verificatie zonder wachtwoord te gebruiken.

   • wachtwoordsleutels (FIDO2) inschakelen voor uw organisatie
   • een wachtwoordsleutel (FIDO2) registreren
   • verificatie op basis van certificaten configureren

4. Vereis phishingbestendige multifactorverificatie voor al uw noodaccounts.

5. Sla accountreferenties veilig op.

6. De aanmeldings- en auditlogboeken bewaken.

7. Controleer regelmatig de accounts.

Configuratievereisten

Wanneer u deze accounts configureert, moet aan de volgende vereisten worden voldaan:

• In de meeste organisaties zijn accounts voor toegang tot noodgevallen niet gekoppeld aan individuele gebruikers in de organisatie. Referenties bevinden zich op een bekende veilige locatie die beschikbaar is voor meerdere leden van het beheerteam en zijn niet verbonden met door werknemers geleverde apparaten, zoals telefoons. Deze benadering wordt vaak gebruikt om accounts voor noodtoegang te integreren: de meeste organisaties hebben accounts voor noodtoegang nodig, niet alleen voor de Microsoft Cloud-infrastructuur, maar ook voor een on-premises omgeving, federatieve SaaS-toepassingen en andere kritieke systemen.

  U kunt er ook voor kiezen om afzonderlijke accounts voor toegang tot noodgevallen te maken voor beheerders. Deze oplossing bevordert de verantwoordelijkheid en stelt beheerders in staat accounts voor toegang tot noodgevallen te gebruiken vanaf externe locaties.

• Gebruik sterke verificatie voor uw accounts voor toegang voor noodgevallen en zorg ervoor dat deze niet dezelfde verificatiemethoden gebruikt als uw andere beheerdersaccounts. Als uw normale beheerdersaccount bijvoorbeeld de Microsoft Authenticator-app gebruikt voor sterke verificatie, dan gebruikt u een FIDO2-beveiligingssleutel voor uw noodaccounts. Houd rekening met de afhankelijkheden van verschillende verificatiemethoden om te voorkomen dat er externe vereisten worden toegevoegd aan het verificatieproces.

• Het apparaat of de referentie mag niet verlopen of vallen binnen het bereik van geautomatiseerd opschonen vanwege een gebrek aan gebruik.

• In Microsoft Entra Privileged Identity Management moet u de roltoewijzing Globale beheerder permanent maken in plaats van in aanmerking te komen voor uw accounts voor toegang tot noodgevallen.

• Personen die gemachtigd zijn om deze accounts voor toegang voor noodgevallen te gebruiken, moeten gebruikmaken van een aangewezen, beveiligd werkstation of vergelijkbare client-computingomgeving, zoals een Privileged Access Workstation. Deze werkstations moeten worden gebruikt bij interacties met de accounts voor noodtoegang. Zie het implementeren van een bevoegde toegangsoplossingvoor meer informatie over het configureren van een Microsoft Entra-tenant waar er werkstations zijn aangewezen.

Federatierichtlijnen

Sommige organisaties gebruiken Active Directory Domain Services en Active Directory Federation Service (AD FS) of een vergelijkbare id-provider om te federeren met Microsoft Entra-id. De noodtoegang voor on-premises systemen en de noodtoegang voor cloudservices moet afzonderlijk worden gehouden, zonder dat er een afhankelijkheid van elkaar is. Het masteren en of bronbeheer voor accounts met bevoegdheden voor noodtoegang van andere systemen voegt onnodig risico toe in het geval van een storing van deze systemen.

Accountreferenties veilig opslaan

Organisaties moeten ervoor zorgen dat de referenties voor accounts voor noodtoegang veilig worden bewaard en alleen bekend zijn bij personen die deze mogen gebruiken. U kunt bijvoorbeeld FIDO2-beveiligingssleutels gebruiken voor Microsoft Entra-id's of smartcards voor Windows Server Active Directory. Referenties moeten worden opgeslagen in veilige, brandveilige safes die zich op veilige, afzonderlijke locaties bevinden.

Aanmeldings- en auditlogboeken bewaken

Organisaties moeten de aanmeldings- en auditlogboekactiviteiten van de accounts voor noodgevallen controleren en meldingen activeren voor andere beheerders. Wanneer u de activiteit voor accounts voor toegang tot noodgevallen bewaakt, kunt u controleren of deze accounts alleen worden gebruikt voor testen of werkelijke noodgevallen. U kunt Azure Monitor, Microsoft Sentinel of andere hulpprogramma's gebruiken om de aanmeldingslogboeken te bewaken en e-mail- en sms-waarschuwingen aan uw beheerders te activeren wanneer accounts voor noodtoegang zich aanmelden. In deze sectie wordt het gebruik van Azure Monitor geïllustreerd.

Vereisten

• Microsoft Entra-aanmeldingslogboeken verzenden naar Azure Monitor.

Object-id's verkrijgen van de accounts voor toegang tot noodgevallen

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.

2. Blader naar Identiteit>Gebruikers>Alle gebruikers.

3. Zoek naar het account voor noodtoegang en selecteer de naam van de gebruiker.

4. Kopieer en sla het kenmerk Object-id op, zodat u het later kunt gebruiken.

5. Herhaal de vorige stappen voor het tweede account voor toegang tot noodgevallen.

Een waarschuwingsregel maken

1. Meld u aan bij Azure Portal als minimaal bewakingsbijdrager.

2. Blader naar Log Analytics-werkruimten>.

3. Selecteer een werkruimte.

4. Selecteer Waarschuwingen>Nieuwe waarschuwingsregel in uw werkruimte.

   1. Controleer onder Resource of het abonnement ook het abonnement is waarmee u de waarschuwingsregel wilt koppelen.

   2. Selecteer onder Voorwaarde de optie Toevoegen.

   3. Selecteer Aangepast zoeken in logboeken onder Signaalnaam.

   4. Voer onder zoekqueryde volgende query in en voeg de object-id's van de twee accounts voor toegang voor noodgevallen in.

      Notitie

      Voor elk extra account voor toegang voor noodgevallen dat u wilt opnemen, voegt u nog een or UserId == "ObjectGuid" toe aan de query.

      Voorbeeldquery's:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. Voer het volgende in onder Waarschuwingslogica:

      • Gebaseerd op: aantal resultaten
      • Operator: groter dan
      • Drempelwaarde: 0

   6. Selecteer onder Geëvalueerd op basis van de Periode (in minuten) voor hoelang de query moet worden uitgevoerd en de Frequentie (in minuten) voor hoe vaak de query moet worden uitgevoerd. De frequentie moet kleiner dan of gelijk aan de periode zijn.

      

   7. Selecteer Gereed. U kunt nu de geschatte maandelijkse kosten van deze waarschuwing bekijken.

5. Selecteer een actiegroep met gebruikers die moeten worden gewaarschuwd door de waarschuwing. Zie Een actiegroep maken als u er een wilt maken.

6. Als u de e-mailmelding wilt aanpassen die naar de leden van de actiegroep wordt verzonden, selecteert u acties onder Acties aanpassen.

7. Geef onder Waarschuwingsgegevens de naam van de waarschuwingsregel op en voeg een optionele beschrijving toe.

8. Stel het Ernstniveau van de gebeurtenis in. U wordt aangeraden dit in te stellen op Kritiek(Sev 0).

9. Laat onder Regel inschakelen bij maken deze ingesteld op ja.

10. Als u waarschuwingen een tijdje wilt uitschakelen, schakelt u het selectievakje Waarschuwingen onderdrukken in en voert u de wachttijd in voordat u opnieuw een waarschuwing ontvangt en selecteert u Opslaan.

11. Selecteer Maken van waarschuwingsregel.

Een actiegroep maken

1. Selecteer Een actiegroep maken.

   

2. Voer de naam van de actiegroep en een korte naam in.

3. Verifieer het abonnement en de resourcegroep.

4. Selecteer onder actietype de optie E-mail/sms/push/spraak.

5. Voer een actienaam in, zoals Globale beheerder waarschuwen.

6. Selecteer het Actietype als E-mail/sms/push/spraak.

7. Selecteer Details bewerken om de meldingsmethoden te selecteren die u wilt configureren en voer de vereiste contactgegevens in en selecteer vervolgens OK om de details op te slaan.

8. Voeg eventuele extra acties toe die u wilt activeren.

9. Selecteer OK.

Een post-mortemteam voorbereiden om het gebruik van inloggegevens voor noodtoegang te evalueren

Als de waarschuwing wordt geactiveerd, behoudt u de logboeken van Microsoft Entra en andere workloads. Voer een beoordeling uit van de omstandigheden en de resultaten van het gebruik van het noodtoegangsaccount. Met deze beoordeling wordt bepaald of het account is gebruikt:

• Voor een geplande oefening om de geschiktheid ervan te valideren
• In reactie op een werkelijk noodgeval waarbij geen beheerder zijn of haar normale accounts kon gebruiken
• Of als gevolg van misbruik of onbevoegd gebruik van het account

Bekijk vervolgens de logboeken om te bepalen welke acties zijn uitgevoerd door de persoon met het account voor toegang voor noodgevallen om ervoor te zorgen dat deze acties overeenkomen met het geautoriseerde gebruik van het account.

Accounts regelmatig controleren

Naast het trainen van personeelsleden voor het gebruik van accounts voor toegang tot noodgevallen, moet u ook een doorlopend proces hebben om te controleren of de accounts voor toegang tot noodgevallen toegankelijk blijven voor geautoriseerd personeel. Regelmatige analyses moeten worden uitgevoerd om de functionaliteit van de accounts te valideren en te bevestigen dat bewakings- en waarschuwingsregels worden geactiveerd voor het geval een account vervolgens wordt misbruikt. De volgende stappen moeten minimaal met regelmatige tussenpozen worden uitgevoerd:

• Zorg ervoor dat beveiligingsbewakingsmedewerkers op de hoogte zijn dat de accountcontroles doorgaan.
• Bekijk en werk de lijst met personen die gemachtigd zijn voor het gebruik van de inloggegevens voor noodtoegang bij.
• Zorg ervoor dat het noodproces break-glass voor het gebruik van deze accounts gedocumenteerd en actueel is.
• Zorg ervoor dat beheerders en security officers die deze stappen mogelijk moeten uitvoeren tijdens een noodgeval, worden getraind tijdens het proces.
• Controleer of de accounts voor noodtoegang zich kunnen aanmelden en beheertaken kunnen uitvoeren.
• Zorg ervoor dat gebruikers geen meervoudige verificatie of selfservice voor wachtwoordherstel (SSPR) hebben geregistreerd op het apparaat of persoonlijke gegevens van een afzonderlijke gebruiker.
• Als de accounts zijn geregistreerd voor meervoudige verificatie op een apparaat, voor gebruik tijdens aanmelding of rolactivering, moet u ervoor zorgen dat het apparaat toegankelijk is voor alle beheerders die het mogelijk tijdens een noodgeval moeten gebruiken. Controleer ook of het apparaat kan communiceren via ten minste twee netwerkpaden die geen algemene foutmodus delen. Het apparaat kan bijvoorbeeld communiceren met internet via zowel het draadloze netwerk van een faciliteit als een netwerk van een provider.
• Wijzig de combinaties op kluizen nadat iemand met toegang de organisatie heeft verlaten en doe dit ook regelmatig.

Deze stappen moeten regelmatig worden uitgevoerd en voor belangrijke wijzigingen:

• Ten minste om de 90 dagen
• Wanneer er een recente wijziging is aangebracht in IT-medewerkers, zoals na beëindiging of positiewijziging
• Wanneer de Microsoft Entra-abonnementen in de organisatie zijn gewijzigd

Volgende stappen

• Controleren of gebruikers zijn ingesteld voor verplichte MFA-
• Phishing-bestendige meervoudige verificatie vereisen voor beheerders
• Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Microsoft Entra-id
• Aanvullende beveiligingen configureren voor bevoorrechte rollen in Microsoft 365 als u Microsoft 365 gebruikt
• Een toegangsbeoordeling starten van bevoorrechte rollen en bestaande bevoorrechte roltoewijzingen overschakelen naar specifiekere beheerdersrollen