Zarządzanie kontami dostępu awaryjnego w usłudze Azure Active Directory B2C

Ważne jest, aby zapobiec przypadkowemu zablokowaniu z organizacji usługi Azure Active Directory B2C (Azure AD B2C), ponieważ nie możesz zalogować się ani aktywować konta innego użytkownika jako administrator. Możesz zniwelować wpływ przypadkowego braku dostępu administracyjnego przez utworzenie co najmniej dwóch kont dostępu awaryjnego w organizacji.

Podczas konfigurowania tych kont należy spełnić następujące wymagania:

• Konta dostępu awaryjnego nie powinny być skojarzone z żadnym użytkownikiem indywidualnym w organizacji. Upewnij się, że Twoje konta nie są połączone z żadnymi telefonami komórkowymi dostarczonymi przez pracowników, tokenami sprzętowymi, które podróżują z poszczególnymi pracownikami lub innymi poświadczeniami specyficznymi dla pracowników. Ten środek ostrożności obejmuje wystąpienia, w których pojedynczy pracownik jest niedostępny, gdy wymagane jest podanie poświadczeń. Ważne jest, aby upewnić się, że wszystkie zarejestrowane urządzenia są przechowywane w znanej, bezpiecznej lokalizacji, która ma wiele środków komunikacji z usługą Azure AD B2C.

• Użyj silnego uwierzytelniania dla kont dostępu awaryjnego i upewnij się, że nie używa tych samych metod uwierzytelniania, co inne konta administracyjne.

• Urządzenie lub poświadczenie nie może wygasnąć lub być w zakresie zautomatyzowanego czyszczenia z powodu braku użycia.

Wymagania wstępne

• Jeśli nie utworzono jeszcze własnej dzierżawy usługi Azure AD B2C, utwórz ją teraz. Możesz użyć istniejącej dzierżawy usługi Azure AD B2C.
• Omówienie kont użytkowników w usłudze Azure AD B2C.
• Omówienie ról użytkowników w celu kontrolowania dostępu do zasobów.
• Omówienie dostępu warunkowego

Tworzenie konta dostępu awaryjnego

Utwórz co najmniej dwa konta dostępu awaryjnego. Te konta powinny być kontami tylko w chmurze, które używają domeny .onmicrosoft.com i które nie są federacyjne ani synchronizowane ze środowiska lokalnego.

Aby utworzyć konto dostępu awaryjnego, wykonaj następujące czynności:

1. Zaloguj się do witryny Azure Portal jako istniejący Administracja istrator globalny. Jeśli używasz konta Microsoft Entra, upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C:

   1. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.

   2. W ustawieniach portalu | Strona Katalogi i subskrypcje , znajdź katalog usługi Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.

2. W obszarze Usługi platformy Azure wybierz pozycję Azure AD B2C. Lub w witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

3. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Użytkownicy.

4. Wybierz pozycję + Nowy użytkownik.

5. Wybierz pozycję Utwórz użytkownika.

6. W obszarze Tożsamość:

   1. W polu Nazwa użytkownika wprowadź unikatową nazwę użytkownika, taką jak konto awaryjne.

   2. W polu Nazwa wprowadź nazwę, taką jak konto awaryjne

7. W obszarze Hasło wprowadź unikatowe hasło.

8. W obszarze Grupy i role

   1. Wybierz pozycję User.

   2. W wyświetlonym okienku wyszukaj i wybierz pozycję Administrator globalny, a następnie wybierz przycisk Wybierz .

9. W obszarze Ustawienia wybierz odpowiednią lokalizację użycia.

10. Wybierz pozycję Utwórz.

11. Bezpieczne przechowywanie poświadczeń konta.

12. Monitorowanie dzienników logowania i inspekcji.

13. Regularnie weryfikuj konta.

Po utworzeniu kont awaryjnych należy wykonać następujące czynności:

• Upewnij się, że wykluczysz co najmniej jedno konto z uwierzytelniania wieloskładnikowego opartego na telefonie

• Jeśli używasz dostępu warunkowego, co najmniej jedno konto dostępu awaryjnego musi zostać wykluczone ze wszystkich zasad dostępu warunkowego.

Następne kroki

• Odczytywanie nazwy dzierżawy i identyfikatora
• Czyszczenie zasobów i usuwanie dzierżawy