Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID

Ważne jest, aby zapobiec przypadkowemu zablokowaniu Twojego dostępu do organizacji Microsoft Entra, ponieważ nie możesz zalogować się lub aktywować roli. Możesz zniwelować wpływ przypadkowego braku dostępu administracyjnego przez utworzenie co najmniej dwóch kont dostępu awaryjnego w organizacji.

Konta użytkowników z rolą Administratora globalnego mają wysokie uprawnienia w systemie. Obejmuje to konta dostępu awaryjnego z rolą administratora globalnego. Konta do awaryjnego dostępu są przeznaczone wyłącznie do sytuacji kryzysowych lub „na wszelki wypadek”, gdy nie można skorzystać ze zwykłych kont administracyjnych. Zalecamy zachowanie celu ograniczenia używania konta awaryjnego tylko wtedy, gdy jest to absolutnie konieczne.

Ten artykuł zawiera wskazówki dotyczące zarządzania kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

Dlaczego warto używać konta dostępu awaryjnego

Organizacja może wymagać użycia konta dostępu awaryjnego w następujących sytuacjach:

• Konta użytkowników są federacyjne, a federacja jest obecnie niedostępna z powodu przerwania sieci komórkowej lub awarii dostawcy tożsamości. Jeśli na przykład host dostawcy tożsamości w twoim środowisku nie działa, użytkownicy mogą nie być w stanie się zalogować, gdy identyfikator Entra firmy Microsoft przekierowuje do dostawcy tożsamości.
• Administratorzy są zarejestrowani za pośrednictwem uwierzytelniania wieloskładnikowego firmy Microsoft, a wszystkie ich poszczególne urządzenia są niedostępne lub usługa jest niedostępna. Użytkownicy mogą nie być w stanie ukończyć uwierzytelniania wieloskładnikowego w celu aktywowania roli. Na przykład awaria sieci komórkowej uniemożliwia im odbieranie połączeń telefonicznych lub odbieranie wiadomości SMS, czyli tylko dwa mechanizmy uwierzytelniania zarejestrowane dla urządzenia.
• Osoba mająca najnowszy dostęp administratora globalnego opuściła organizację. Identyfikator Entra firmy Microsoft uniemożliwia usunięcie ostatniego konta administratora globalnego, ale nie uniemożliwia usunięcia ani wyłączenia konta lokalnego. Każda sytuacja może spowodować, że organizacja nie może odzyskać konta.
• Nieprzewidziane okoliczności, takie jak klęska żywiołowa, podczas której telefon komórkowy lub inne sieci mogą być niedostępne.
• Jeśli przypisania ról administratora globalnego i administratora ról uprzywilejowanych kwalifikują się, zatwierdzenie jest wymagane do aktywacji, ale nie wybrano żadnych osób zatwierdzających (lub wszystkie osoby zatwierdzające zostaną usunięte z katalogu). Aktywni administratorzy globalni i administratorzy ról uprzywilejowanych są domyślnymi osobami zatwierdzających. Nie będzie jednak aktywnych kont administratorów globalnych i administratorów ról uprzywilejowanych, i administracja dzierżawy zostanie skutecznie zablokowana, chyba że są używane konta dostępu awaryjnego.

Tworzenie kont dostępu awaryjnego

Utwórz co najmniej dwa konta dostępu awaryjnego. Te konta powinny być kontami tylko w chmurze, które używają domeny *.onmicrosoft.com i które nie są federacyjne ani synchronizowane ze środowiska lokalnego. Ogólnie rzecz biorąc, wykonaj następujące kroki.

1. Znajdź istniejące konta dostępu awaryjnego lub utwórz nowe konta z rolą administratora globalnego.

   

2. Wybierz jedną z tych metod uwierzytelniania bez hasła dla kont dostępu awaryjnego. Te metody spełniają obowiązkowe wymagania dotyczące uwierzytelniania wieloskładnikowego.

   • Klucz dostępu (FIDO2) (zalecane)
   • uwierzytelnianie oparte na certyfikatach, jeśli organizacja ma już konfigurację infrastruktury kluczy publicznych (PKI)

3. Skonfiguruj konta dostępu awaryjnego do korzystania z uwierzytelniania bez hasła.

   • Włączanie kluczy dostępu (FIDO2) dla organizacji
   • Rejestrowanie klucza dostępu (FIDO2)
   • Konfigurowanie uwierzytelniania opartego na certyfikatach

4. Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla wszystkich kont awaryjnych.

5. Bezpieczne przechowywanie poświadczeń konta.

6. Monitorowanie dzienników logowania i inspekcji.

7. Regularnie weryfikuj konta.

Wymagania dotyczące konfiguracji

Podczas konfigurowania tych kont należy spełnić następujące wymagania:

• W większości organizacji konta dostępu awaryjnego nie są skojarzone z żadnym użytkownikiem indywidualnym w organizacji. Poświadczenia znajdują się w znanej bezpiecznej lokalizacji dostępnej dla wielu członków zespołu administracyjnego i nie są połączone z żadnymi urządzeniami dostarczonymi przez pracowników, takimi jak telefony. Takie podejście jest często używane do ujednolicenia zarządzania kontami dostępu awaryjnego: większość organizacji potrzebuje kont dostępu awaryjnego nie tylko dla infrastruktury chmury firmy Microsoft, ale także środowiska lokalnego, federacyjnych aplikacji SaaS i innych systemów krytycznych.

  Alternatywnie możesz utworzyć indywidualne konta dostępu awaryjnego dla administratorów. To rozwiązanie promuje odpowiedzialność i umożliwia administratorom korzystanie z kont dostępu awaryjnego z lokalizacji zdalnych.

• Użyj silnego uwierzytelniania dla kont dostępu awaryjnego i upewnij się, że nie używa tych samych metod uwierzytelniania, co inne konta administracyjne. Jeśli na przykład normalne konto administratora używa aplikacji Microsoft Authenticator do silnego uwierzytelniania, użyj klucza zabezpieczeń FIDO2 dla kont awaryjnych. Rozważ zależności różnych metod uwierzytelniania, aby uniknąć dodawania wymagań zewnętrznych do procesu uwierzytelniania.

• Urządzenie lub poświadczenie nie może wygasnąć lub być w zakresie zautomatyzowanego czyszczenia z powodu braku użycia.

• W usłudze Microsoft Entra Privileged Identity Management należy ustawić stałe przypisanie roli administratora globalnego, a nie kwalifikować się do kont dostępu awaryjnego.

• Osoby uprawnione do korzystania z tych kont dostępu awaryjnego muszą korzystać z wyznaczonej, bezpiecznej stacji roboczej lub podobnego środowiska obliczeniowego klienta, takiego jak stacja robocza z dostępem uprzywilejowanym. Te stacje robocze powinny być stosowane podczas interakcji z kontami dostępu awaryjnego. Aby uzyskać więcej informacji na temat konfigurowania dzierżawy firmy Microsoft Entra, w której znajdują się wyznaczone stacje robocze, zobacz wdrażanie rozwiązania uprzywilejowanego dostępu.

Wskazówki dotyczące federacji

Niektóre organizacje używają usług Active Directory Domain Services i Active Directory Federation Service (AD FS) lub podobnego dostawcy tożsamości do federacji z identyfikatorem Entra firmy Microsoft. Dostęp awaryjny dla systemów lokalnych i dostęp awaryjny dla usług w chmurze powinien być odrębny, bez zależności od siebie. Opanowanie i określanie źródła uwierzytelniania dla kont z uprawnieniami dostępu awaryjnego z innych systemów zwiększa niepotrzebne ryzyko w przypadku awarii tych systemów.

Bezpieczne przechowywanie poświadczeń konta

Organizacje muszą upewnić się, że poświadczenia dla kont dostępu awaryjnego są bezpieczne i znane tylko osobom, które mają uprawnienia do ich używania. Można na przykład użyć kluczy zabezpieczeń FIDO2 dla identyfikatora Entra firmy Microsoft lub kart inteligentnych dla usługi Active Directory systemu Windows Server. Poświadczenia powinny być przechowywane w bezpiecznych, odpornych na pożary sejfach, które znajdują się w bezpiecznych, oddzielnych lokalizacjach.

Monitorowanie dzienników logowania i inspekcji

Organizacje powinny monitorować aktywność logowania i dziennika inspekcji z kont awaryjnych i wyzwalać powiadomienia do innych administratorów. Podczas monitorowania aktywności dla kont dostępu awaryjnego można sprawdzić, czy te konta są używane tylko do testowania lub rzeczywistych sytuacji nadzwyczajnych. Możesz użyć usługi Azure Monitor, usługi Microsoft Sentinel lub innych narzędzi do monitorowania dzienników logowania i wyzwalania alertów e-mail i sms do administratorów przy każdym logowaniu kont dostępu awaryjnego. W tej sekcji przedstawiono korzystanie z usługi Azure Monitor.

Wymagania wstępne

• Wysyłanie dzienników logowania usługi Microsoft Entra do usługi Azure Monitor.

Uzyskiwanie identyfikatorów obiektów kont dostępu awaryjnego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.

2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

3. Wyszukaj konto dostępu awaryjnego i wybierz nazwę użytkownika.

4. Skopiuj i zapisz atrybut Identyfikator obiektu, aby można było go użyć później.

5. Powtórz poprzednie kroki dla drugiego konta dostępu awaryjnego.

Tworzenie reguły alertu

1. Zaloguj się do witryny Azure Portal jako co najmniej współautor monitorowania.

2. Przejdź do obszaru Monitorowanie>obszarów roboczych usługi Log Analytics.

3. Wybieranie obszaru roboczego.

4. W obszarze roboczym wybierz pozycję Alerty>Nowa reguła alertu.

   1. W obszarze Zasób sprawdź, czy subskrypcja jest subskrypcją, z którą chcesz skojarzyć regułę alertu.

   2. W obszarze Warunek wybierz pozycję Dodaj.

   3. Wybierz pozycję Niestandardowe wyszukiwanie dzienników w obszarze Nazwa sygnału.

   4. W polu zapytanie wyszukiwaniawprowadź następujące zapytanie, wstawiając identyfikatory obiektów dla dwóch kont awaryjnego dostępu.

      Uwaga

      Dla każdego dodatkowego konta dostępu awaryjnego, które chcesz uwzględnić, dodaj kolejne or UserId == "ObjectGuid" do zapytania.

      Przykładowe zapytania:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. W obszarze Logika alertu wprowadź następujące informacje:

      • Na podstawie: liczba wyników
      • Operator: większe niż
      • Wartość progowa: 0

   6. W obszarze Ocena na podstawie wybierz okres (w minutach), aby określić, jak długo ma zostać uruchomione zapytanie, oraz częstotliwość (w minutach) dla częstotliwości uruchamiania zapytania. Częstotliwość powinna być mniejsza lub równa okresowi.

      

   7. Wybierz pozycję Gotowe. Teraz możesz wyświetlić szacowany miesięczny koszt tego alertu.

5. Wybierz grupę akcji użytkowników, która ma być powiadamiana przez alert. Jeśli chcesz go utworzyć, zobacz Tworzenie grupy akcji.

6. Aby dostosować powiadomienie e-mail wysyłane do członków grupy akcji, wybierz akcje w obszarze Dostosowywanie akcji.

7. W obszarze Szczegóły alertu określ nazwę reguły alertu i dodaj opcjonalny opis.

8. Ustaw poziom ważności zdarzenia. Zalecamy ustawienie go na Critical(Sev 0).

9. W obszarze Włącz regułę podczas tworzenia pozostaw ją ustawioną na tak.

10. Aby wyłączyć alerty przez pewien czas, zaznacz pole wyboru Pomiń alerty i wprowadź czas oczekiwania przed ponownym alertem, a następnie wybierz pozycję Zapisz.

11. Wybierz pozycję Utwórz regułę alertu.

Tworzenie grupy akcji

1. Wybierz pozycję Utwórz grupę akcji.

   

2. Wprowadź nazwę grupy akcji i krótką nazwę.

3. Sprawdź subskrypcję i grupę zasobów.

4. W obszarze Typ akcji wybierz pozycję Email/SMS/Push/Voice.

5. Wprowadź nazwę akcji, taką jak Notify Global Administrator.

6. Wybierz typ akcji jako Email/SMS/Push/Voice.

7. Wybierz pozycję Edytuj szczegóły , aby wybrać metody powiadomień, które chcesz skonfigurować, i wprowadzić wymagane informacje kontaktowe, a następnie wybierz przycisk OK , aby zapisać szczegóły.

8. Dodaj wszelkie dodatkowe akcje, które chcesz wyzwolić.

9. Wybierz przycisk OK.

Przygotuj zespół do oceny po zdarzeniu w celu przeprowadzenia analizy wykorzystania poświadczeń kont dostępu awaryjnego.

Jeśli alert zostanie wyzwolony, zachowaj dzienniki z usługi Microsoft Entra i innych usług. Przeprowadź przegląd okoliczności i wyniki użycia konta dostępu awaryjnego. Ten przegląd określi, czy konto zostało użyte:

• Dla planowanego ćwiczenia w celu zweryfikowania jego przydatności
• W odpowiedzi na rzeczywistą sytuację kryzysową, w której żaden administrator nie mógł używać swoich zwykłych kont
• Lub w wyniku nieprawidłowego lub nieautoryzowanego użycia konta

Następnie sprawdź dzienniki, aby określić, jakie działania zostały podjęte przez osobę z kontem dostępu awaryjnego, aby upewnić się, że te działania są zgodne z autoryzowanym użyciem konta.

Regularne weryfikowanie kont

Oprócz szkolenia pracowników w zakresie korzystania z kont dostępu awaryjnego, należy również ustanowić ciągły proces weryfikacji, aby upewnić się, że konta te pozostają dostępne dla autoryzowanych pracowników. Regularne ćwiczenia powinny być przeprowadzane w celu zweryfikowania działania kont i potwierdzenia, że reguły monitorowania i alertów są uruchamiane w przypadku niewłaściwego użycia konta. W regularnych odstępach czasu należy wykonać co najmniej następujące kroki:

• Upewnij się, że pracownicy ds. monitorowania zabezpieczeń wiedzą, że działania sprawdzania konta są w toku.
• Przejrzyj i zaktualizuj listę osób uprawnionych do korzystania z poświadczeń konta dostępu awaryjnego.
• Upewnij się, że proces awaryjnego stosowania tych kont jest udokumentowany i aktualny.
• Upewnij się, że administratorzy i funkcjonariusze zabezpieczeń, którzy mogą wymagać wykonania tych kroków podczas nagłych awarii, są przeszkoleni w procesie.
• Sprawdź, czy konta dostępu awaryjnego mogą logować się i wykonywać zadania administracyjne.
• Upewnij się, że użytkownicy nie zarejestrowali uwierzytelniania wieloskładnikowego ani samoobsługowego resetowania hasła (SSPR) do dowolnego urządzenia lub danych osobowych poszczególnych użytkowników.
• Jeśli konta są zarejestrowane do uwierzytelniania wieloskładnikowego na urządzeniu, do użytku podczas logowania lub aktywacji roli, upewnij się, że urządzenie jest dostępne dla wszystkich administratorów, którzy mogą potrzebować go w nagłych wypadkach. Sprawdź również, czy urządzenie może komunikować się za pośrednictwem co najmniej dwóch ścieżek sieciowych, które nie mają wspólnego trybu awarii. Na przykład urządzenie może komunikować się z Internetem zarówno za pośrednictwem sieci bezprzewodowej obiektu, jak i sieci dostawcy komórek.
• Zmień kombinacje w jakichkolwiek sejfach po odejściu z organizacji osób posiadających dostęp, a także regularnie.

Te kroki należy wykonać w regularnych odstępach czasu i w przypadku kluczowych zmian:

• Co najmniej co 90 dni
• Gdy nastąpiła niedawna zmiana personelu IT, na przykład po zakończeniu pracy lub zmianie stanowiska
• Gdy subskrypcje firmy Microsoft Entra w organizacji uległy zmianie

Następne kroki

• Jak sprawdzić, czy użytkownicy są skonfigurowani do obowiązkowego uwierzytelniania wieloskładnikowego
• Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla administratorów
• Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID
• Konfigurowanie dodatkowych zabezpieczeń dla ról uprzywilejowanych na platformie Microsoft 365, jeśli używasz platformy Microsoft 365
• Rozpocznij przegląd dostępu ról uprzywilejowanych i przejście istniejących przypisań ról uprzywilejowanych do bardziej szczegółowych ról administratorów