Criar e gerenciar contas de acesso de emergência

  • 7 minutos

É importante evitar que você seja bloqueado acidentalmente no seu Microsoft Entra ID. Com o Microsoft Entra ID, você não pode entrar ou ativar a conta de outro usuário como administrador. Você pode reduzir as chances de haver falta acidental de acesso administrativo. Dica: crie duas ou mais contas de acesso de emergência em sua organização.

Essas contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas. Recomendamos que você restrinja o acesso à conta de emergência. Use as contas somente quando for necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.

Por que usar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

  • As contas de usuário são federadas e a federação está indisponível no momento devido a uma interrupção de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host de provedor de identidade em seu ambiente foi desligado, os usuários podem não conseguir entrar quando o Microsoft Entra ID redireciona para seu provedor de identidade.
  • Os administradores são registrados por meio da autenticação multifator do Microsoft Entra. Todos os seus dispositivos individuais estão indisponíveis ou o serviço está indisponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção na rede de celular pode impedir que eles atendam chamadas telefônicas ou recebam mensagens de texto. Especialmente quando esses métodos de autenticação forem os únicos dois mecanismos de autenticação registrados.
  • A pessoa com acesso administrativo global mais recente saiu da organização. O Microsoft Entra ID impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada no local. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.
  • Circunstâncias imprevisíveis, como uma emergência de desastre natural, em que um telefone celular ou outras redes podem não estar disponíveis.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Essas contas devem residir somente na nuvem que usa o domínio .onmicrosoft.com e não devem ser federadas ou sincronizadas via ambiente local.

Quando um administrador configura contas de emergência, os seguintes requisitos devem ser atendidos:

  • As contas de acesso de emergência não devem ser associadas a nenhum usuário individual na organização. Garanta que suas contas não estejam conectadas a telefones celulares dos funcionários, tokens de hardware que esses funcionários levam consigo em viagens ou outras credenciais específicas vinculadas a esses funcionários. Essa precaução abrange instâncias em que um funcionário individual está inacessível quando a credencial é necessária. Todos os dispositivos registrados precisam ser mantidos em um local conhecido e seguro. Esses locais precisam de vários meios de comunicação com o Microsoft Entra ID.
  • O mecanismo de autenticação usado para uma conta de acesso de emergência deve ser distinto. Mantenha-o separado daquele usado por suas outras contas administrativas, incluindo outras contas de acesso de emergência. Por exemplo, se a entrada normal do administrador for por meio da MFA local, a autenticação multifator será um mecanismo diferente. No entanto, se a autenticação multifator for sua parte principal da autenticação para suas contas administrativas, considere uma abordagem diferente para contas de emergência. Experimente usar o acesso condicional com um provedor de MFA de terceiros por meio de controles personalizados.
  • O dispositivo ou a credencial não deve expirar ou estar no escopo de limpeza automatizado devido à falta de uso.
  • A atribuição de função de Administrador Global deve ser permanente para suas contas de acesso de emergência.

Excluir pelo menos uma conta de autenticação de multifator baseada em telefone

Para reduzir o risco de um ataque resultante de uma senha comprometida, o Microsoft Entra ID recomenda que você exija a autenticação multifator para todos os usuários individuais. O grupo deve incluir os administradores e todos os outros (por exemplo, gerentes financeiros) cuja conta comprometida teria chance significativa de causar danos.

Entretanto, pelo menos uma de suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator que suas outras contas não emergenciais. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de acesso condicional para exigir a autenticação multifator para todos os administradores para o Microsoft Entra ID e outros aplicativos SaaS (Software como Serviço), é necessário excluir as contas de acesso de emergência desse requisito e configurar um diferente mecanismo no seu lugar. Além disso, você deve verificar se as contas não têm uma política de autenticação multifator por usuário.

Exclua pelo menos uma conta de políticas de Acesso Condicional

Durante uma emergência, não convém que uma política tenha o potencial de bloquear seu acesso para corrigir um problema. Ao menos uma conta de acesso de emergência deve ser excluída de todas as políticas de Acesso Condicionais.

Diretrizes de federação

Outra opção para organizações que usam o AD Domain Services e o ADFS ou um provedor de identidade semelhante para federar para o Microsoft Entra ID é configurar uma conta de acesso de emergência cujas declarações de MFA possam ser fornecidas por esse provedor de identidade. Por exemplo, a conta de acesso de emergência pode ser feita por um certificado e um par de chaves como uma armazenada em um cartão inteligente. Quando esse usuário é autenticado no AD, o ADFS pode fornecer uma declaração ao Microsoft Entra ID indicando que o usuário atendeu aos requisitos da MFA. Mesmo com essa abordagem, as organizações ainda devem ter contas de acesso de emergência baseadas na nuvem caso a federação não possa ser estabelecida.

Monitorar logs de conexão e auditoria

As organizações devem monitorar a atividade de logs de conexão e auditoria das contas de emergência e acionar notificações para outros administradores. Ao monitorar a atividade em contas emergenciais, você pode verificar se essas contas são usadas apenas para teste ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de conexão e acionar alertas por email e SMS para seus administradores sempre que contas de emergência se conectarem.

Validar contas regularmente

Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo execute as seguintes etapas em intervalos regulares:

  • Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de contas é contínua.
  • Garanta que o processo de emergência para usar essas contas esteja documentado e atualizado.
  • Certifique-se de que os administradores e os agentes de segurança que talvez sejam necessários para executar essas etapas durante uma emergência recebam um treinamento sobre o processo.
  • Atualize as credenciais da conta, em particular as senhas, para suas contas de acesso de emergência e valide se essas contas podem se conectar e executar tarefas administrativas.
  • Certifique-se de que os usuários não tenham registrado a autenticação multifator ou a redefinição de senha self-service (SSPR) no dispositivo ou nos detalhes pessoais de qualquer usuário individual.
  • Se as contas forem registradas para a autenticação multifator para um dispositivo, para uso durante as entradas ou a ativação de função, certifique-se de que o dispositivo esteja acessível a todos os administradores que podem precisar usá-lo durante uma emergência. Verifique também se o dispositivo pode se comunicar por meio de, pelo menos, dois caminhos de rede que não compartilhem um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a Internet por meio de rede sem fio da instalação e por uma rede de provedor celular.

Essas etapas devem ser realizadas em intervalos regulares e para alterações de chave:

  • Pelo menos a cada 90 dias
  • Quando houve uma alteração recente na equipe de TI, como uma alteração de cargo, uma saída ou uma nova contratação
  • Quando as assinaturas do Microsoft Entra da organização foram alteradas