Tworzenie kont dostępu awaryjnego i zarządzanie nimi

  • 7 min

Ważne jest, aby zapobiec przypadkowemu zablokowaniu identyfikatora Entra firmy Microsoft. Za pomocą identyfikatora Entra firmy Microsoft nie można zalogować się ani aktywować konta innego użytkownika jako administrator. Możesz ograniczyć ryzyko przypadkowego braku dostępu administracyjnego. Wpis tajny, utwórz co najmniej dwa konta dostępu awaryjnego w organizacji.

Konta dostępu awaryjnego są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać normalnych kont administracyjnych. Zalecamy ograniczenie dostępu do konta awaryjnego. Używaj kont tylko wtedy, gdy jest to konieczne.

Ten artykuł zawiera wskazówki dotyczące zarządzania kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

Dlaczego warto używać konta dostępu awaryjnego

Organizacja może wymagać użycia konta dostępu awaryjnego w następujących sytuacjach:

  • Konta użytkowników są federacyjne, a federacja jest obecnie niedostępna z powodu przerwania sieci komórkowej lub awarii dostawcy tożsamości. Jeśli na przykład host dostawcy tożsamości w twoim środowisku nie działa, użytkownicy mogą nie być w stanie się zalogować, gdy identyfikator Entra firmy Microsoft przekierowuje do dostawcy tożsamości.
  • Administratorzy są zarejestrowani za pośrednictwem uwierzytelniania wieloskładnikowego firmy Microsoft. Wszystkie ich poszczególne urządzenia są niedostępne lub usługa jest niedostępna. Użytkownicy mogą nie być w stanie ukończyć uwierzytelniania wieloskładnikowego w celu aktywowania roli. Na przykład awaria sieci komórkowej uniemożliwia odbieranie połączeń telefonicznych lub odbieranie wiadomości SMS. Szczególnie wtedy, gdy te metody uwierzytelniania są jedynymi dwoma mechanizmami uwierzytelniania, które zostały zarejestrowane.
  • Osoba mająca najnowszy dostęp globalny Administracja istrator opuścił organizację. Identyfikator Entra firmy Microsoft uniemożliwia usunięcie ostatniego konta globalnego Administracja istratora, ale nie uniemożliwia usunięcia ani wyłączenia konta lokalnego. Każda sytuacja może spowodować, że organizacja nie może odzyskać konta.
  • Nieprzewidziane okoliczności, takie jak klęska żywiołowa, podczas której telefon komórkowy lub inne sieci mogą być niedostępne.

Tworzenie kont dostępu awaryjnego

Utwórz co najmniej dwa konta dostępu awaryjnego. Te konta powinny być kontami tylko w chmurze, które używają domeny .onmicrosoft.com i które nie są federacyjne ani synchronizowane ze środowiska lokalnego.

Podczas konfigurowania kont awaryjnych i administrator muszą spełniać następujące wymagania:

  • Konta dostępu awaryjnego nie powinny być skojarzone z żadnym użytkownikiem indywidualnym w organizacji. Upewnij się, że Twoje konta nie są połączone z żadnymi telefonami komórkowymi dostarczonymi przez pracowników, tokenami sprzętowymi, które podróżują z poszczególnymi pracownikami lub innymi poświadczeniami specyficznymi dla pracowników. Ten środek ostrożności obejmuje wystąpienia, w których pojedynczy pracownik jest niedostępny, gdy wymagane jest podanie poświadczeń. Wszystkie zarejestrowane urządzenia muszą być przechowywane w znanej, bezpiecznej lokalizacji. Te lokalizacje wymagają wielu metod komunikowania się z identyfikatorem Entra firmy Microsoft.
  • Mechanizm uwierzytelniania używany na potrzeby konta dostępu awaryjnego powinien być odrębny. Zachowaj je oddzielnie niż używane przez inne konta administracyjne, w tym inne konta dostępu awaryjnego. Jeśli na przykład normalne logowanie administratora odbywa się za pośrednictwem lokalnej uwierzytelniania wieloskładnikowego, uwierzytelnianie wieloskładnikowe byłoby innym mechanizmem. Jeśli jednak uwierzytelnianie wieloskładnikowe jest główną częścią uwierzytelniania dla kont administracyjnych, rozważ inne podejście do kont awaryjnych. Wypróbuj takie elementy, jak używanie dostępu warunkowego z dostawcą uwierzytelniania wieloskładnikowego innej firmy za pośrednictwem kontrolek niestandardowych.
  • Urządzenie lub poświadczenie nie może wygasnąć lub być w zakresie zautomatyzowanego czyszczenia z powodu braku użycia.
  • Należy ustawić przypisanie roli Global Administracja istrator jako trwałe dla kont dostępu awaryjnego.

Wyklucz co najmniej jedno konto z uwierzytelniania wieloskładnikowego opartego na telefonie

Aby zmniejszyć ryzyko ataku wynikającego z naruszonego hasła, identyfikator Entra firmy Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników indywidualnych. Ta grupa obejmuje administratorów i wszystkich innych (na przykład urzędników finansowych), których naruszone konto miałoby znaczącą okazję do spowodowania szkody.

Jednak co najmniej jedno z kont dostępu awaryjnego nie powinno mieć takiego samego mechanizmu uwierzytelniania wieloskładnikowego, jak inne konta nieskontencyjne. Obejmuje to rozwiązania do uwierzytelniania wieloskładnikowego innych firm. Jeśli masz zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla każdego administratora identyfikatora Entra firmy Microsoft i innych aplikacji połączonych oprogramowania jako usługi (SaaS), należy wykluczyć konta dostępu awaryjnego z tego wymagania i skonfigurować inny mechanizm. Ponadto należy upewnić się, że konta nie mają zasad uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.

Wyklucz co najmniej jedno konto z zasad dostępu warunkowego

W nagłych wypadkach nie chcesz, aby zasady mogły potencjalnie zablokować dostęp w celu rozwiązania problemu. Co najmniej jedno konto dostępu awaryjnego powinno zostać wykluczone ze wszystkich zasad dostępu warunkowego.

Wskazówki dotyczące federacji

Inną opcją dla organizacji korzystających z usług AD Domain Services i ADFS lub podobnego dostawcy tożsamości do federacji z identyfikatorem Entra firmy Microsoft jest skonfigurowanie konta dostępu awaryjnego, którego oświadczenie uwierzytelniania wieloskładnikowego może być dostarczone przez tego dostawcę tożsamości. Na przykład konto dostępu awaryjnego może być wspierane przez parę certyfikatów i kluczy, taką jak konto przechowywane na karcie inteligentnej. Gdy ten użytkownik jest uwierzytelniany w usłudze AD, usługi ADFS mogą podać oświadczenie do identyfikatora firmy Microsoft Entra wskazującego, że użytkownik spełnia wymagania uwierzytelniania wieloskładnikowego. Nawet w przypadku takiego podejścia organizacje muszą nadal mieć konta dostępu awaryjnego opartego na chmurze w przypadku, gdy federacja nie może zostać ustanowiona.

Monitorowanie dzienników logowania i inspekcji

Organizacje powinny monitorować aktywność dziennika logowania i inspekcji z kont awaryjnych i wyzwalać powiadomienia do innych administratorów. Podczas monitorowania aktywności na kontach z break-glass można sprawdzić, czy te konta są używane tylko do testowania lub rzeczywistych sytuacji nadzwyczajnych. Za pomocą usługi Azure Log Analytics możesz monitorować dzienniki logowania i wyzwalać alerty e-mail i SMS do administratorów za każdym razem, gdy konta ze szkła się zalogują.

Regularne weryfikowanie kont

Gdy szkolisz pracowników do korzystania z kont dostępu awaryjnego i weryfikujesz konta dostępu awaryjnego, co najmniej wykonaj następujące czynności w regularnych odstępach czasu:

  • Upewnij się, że pracownicy ds. monitorowania zabezpieczeń wiedzą, że działania sprawdzania konta są w toku.
  • Upewnij się, że proces awaryjnego użycia tych kont jest udokumentowany i aktualny.
  • Upewnij się, że administratorzy i funkcjonariusze zabezpieczeń, którzy mogą wymagać wykonania tych kroków podczas nagłych awarii, są przeszkoleni w procesie.
  • Zaktualizuj poświadczenia konta, w szczególności hasła, dla kont dostępu awaryjnego, a następnie sprawdź, czy konta dostępu awaryjnego mogą logować się i wykonywać zadania administracyjne.
  • Upewnij się, że użytkownicy nie zarejestrowali uwierzytelniania wieloskładnikowego ani samoobsługowego resetowania hasła (SSPR) do dowolnego urządzenia lub danych osobowych poszczególnych użytkowników.
  • Jeśli konta są zarejestrowane do uwierzytelniania wieloskładnikowego na urządzeniu, do użytku podczas logowania lub aktywacji roli, upewnij się, że urządzenie jest dostępne dla wszystkich administratorów, którzy mogą potrzebować go w nagłych wypadkach. Sprawdź również, czy urządzenie może komunikować się za pośrednictwem co najmniej dwóch ścieżek sieciowych, które nie mają wspólnego trybu awarii. Na przykład urządzenie może komunikować się z Internetem zarówno za pośrednictwem sieci bezprzewodowej obiektu, jak i sieci dostawcy komórek.

Te kroki należy wykonać w regularnych odstępach czasu i w przypadku kluczowych zmian:

  • Co najmniej co 90 dni
  • Gdy nastąpiła niedawna zmiana personelu IT, taka jak zmiana stanowiska, odejście lub nowy pracownik
  • Gdy subskrypcje firmy Microsoft Entra w organizacji uległy zmianie