Criar e gerenciar contas de acesso de emergência

  • 7 minutos

É importante evitar ser acidentalmente bloqueado de sua ID do Microsoft Entra. Com a ID do Microsoft Entra, você não pode entrar ou ativar a conta de outro usuário como administrador. Você pode atenuar a chance de falta acidental de acesso administrativo. O segredo, crie duas ou mais contas de acesso de emergência em sua organização.

As contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou "quebra de vidro", em que as contas administrativas normais não podem ser usadas. Recomendamos que você restrinja o acesso à conta de emergência. Use as contas somente quando for necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência na ID do Microsoft Entra.

Por que usar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

  • As contas de usuário são federadas e a federação está indisponível no momento devido a uma interrupção de rede de célula ou uma interrupção do provedor de identidade. Por exemplo, se o host do provedor de identidade no seu ambiente tenha ficado inoperante, os usuários talvez não consigam entrar quando o Microsoft Entra ID for redirecionado para o provedor de identidade.
  • Os administradores são registrados por meio da Autenticação Multifator do Microsoft Entra. Todos os dispositivos individuais estão indisponíveis ou o serviço não está disponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção de rede de célula está impedindo-os de atender chamadas telefônicas ou receber mensagens de texto. Especialmente quando esses métodos de autenticação são os dois únicos mecanismos de autenticação que eles registraram.
  • A pessoa com o acesso mais recente do Administrador Global deixou a organização. A ID do Microsoft Entra impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer situação pode tornar a organização incapaz de recuperar a conta.
  • Circunstâncias imprevistas, como uma emergência de desastre natural, durante as quais um telefone celular ou outras redes podem estar indisponíveis.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Essas contas devem ser contas somente na nuvem que usam o domínio .onmicrosoft.com e que não são federadas ou sincronizadas de um ambiente local.

Quando e o administrador configura contas de emergência, os seguintes requisitos devem ser atendidos:

  • As contas de acesso de emergência não devem ser associadas a nenhum usuário individual na organização. Verifique se suas contas não estão conectadas a telefones celulares fornecidos por funcionários, tokens de hardware que viajam com funcionários individuais ou outras credenciais específicas de funcionários. Essa precaução abrange instâncias em que um funcionário individual é inacessível quando a credencial é necessária. Todos os dispositivos registrados precisam ser mantidos em um local conhecido e seguro. Esses locais precisam de vários meios de comunicação com a ID do Microsoft Entra.
  • O mecanismo de autenticação usado para uma conta de acesso de emergência deve ser distinto. Mantenha-o separado daquele usado por suas outras contas administrativas, incluindo outras contas de acesso de emergência. Por exemplo, se a entrada normal do administrador for por meio da MFA local, a autenticação multifator será um mecanismo diferente. No entanto, se a autenticação multifator for sua parte principal da autenticação para suas contas administrativas, considere uma abordagem diferente para contas de emergência. Experimente coisas como usar o Acesso Condicional com um provedor de MFA de terceiros por meio de controles personalizados.
  • O dispositivo ou a credencial não deve expirar ou estar no escopo da limpeza automatizada devido à falta de uso.
  • Você deve tornar permanente a atribuição de função de Administrador Global para suas contas de acesso de emergência.

Excluir pelo menos uma conta da autenticação multifator baseada em telefone

Para reduzir o risco de um ataque resultante de uma senha comprometida, a ID do Microsoft Entra recomenda que você exija autenticação multifator para todos os usuários individuais. Esse grupo inclui administradores e todos os outros (por exemplo, diretores financeiros) cuja conta comprometida teria uma oportunidade significativa de causar danos.

No entanto, pelo menos uma de suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator que suas outras contas não emergenciais. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de Acesso Condicional para exigir autenticação multifator para cada administrador do Microsoft Entra ID e outros aplicativos SaaS (software como serviço), você deverá excluir contas de acesso de emergência desse requisito e, em vez disso, configurar um mecanismo diferente. Além disso, você deve garantir que as contas não tenham uma política de autenticação multifator por usuário.

Excluir pelo menos uma conta das políticas de Acesso Condicional

Durante uma emergência, você não deseja que uma política bloqueie potencialmente seu acesso para corrigir um problema. Pelo menos uma conta de acesso de emergência deve ser excluída de todas as políticas de Acesso Condicional.

Diretrizes de federação

Outra opção para organizações que usam o AD Domain Services e o ADFS ou um provedor de identidade semelhante para federar para a ID do Microsoft Entra é configurar uma conta de acesso de emergência cuja declaração de MFA pode ser fornecida por esse provedor de identidade. Por exemplo, a conta de acesso de emergência pode ser apoiada por um certificado e um par de chaves, como um armazenado em um cartão inteligente. Quando esse usuário é autenticado no AD, o ADFS pode fornecer uma declaração ao Microsoft Entra ID indicando que o usuário atendeu aos requisitos de MFA. Mesmo com essa abordagem, as organizações ainda devem ter contas de acesso de emergência baseadas em nuvem caso a federação não possa ser estabelecida.

Monitorar logs de login e auditoria

As organizações devem monitorar a atividade de registro de entrada e auditoria das contas de emergência e enviar notificações para outros administradores. Ao monitorar a atividade em contas de quebra de vidro, você pode verificar se essas contas são usadas apenas para testes ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de entrada e enviar alertas por email e SMS para seus administradores sempre que as contas de emergência entrarem no sistema.

Validar contas regularmente

Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo execute as seguintes etapas em intervalos regulares:

  • Verifique se a equipe de monitoramento de segurança está ciente de que a atividade de verificação de conta está em andamento.
  • Verifique se o processo emergencial para uso dessas contas está documentado e atualizado.
  • Certifique-se de que os administradores e agentes de segurança que talvez precisem executar essas etapas durante uma emergência sejam treinados no processo.
  • Atualize as credenciais da conta, em particular as senhas, para suas contas de acesso de emergência e valide se as contas de acesso de emergência podem entrar e executar tarefas administrativas.
  • Verifique se os usuários não registraram autenticação multifator ou SSPR (redefinição de senha de autoatendimento) para o dispositivo ou os detalhes pessoais de qualquer usuário individual.
  • Se as contas estiverem registradas para autenticação multifator em um dispositivo, para uso durante a entrada ou ativação de função, verifique se o dispositivo está acessível a todos os administradores que talvez precisem usá-lo durante uma emergência. Verifique também se o dispositivo pode se comunicar por pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a Internet por meio da rede sem fio de uma instalação e de uma rede de provedor de células.

Essas etapas devem ser executadas em intervalos regulares e para alterações importantes:

  • Pelo menos a cada 90 dias
  • Quando houve uma alteração recente na equipe de TI, como uma mudança de emprego, uma saída ou uma nova contratação
  • Quando as assinaturas do Microsoft Entra na organização forem alteradas