Gerir contas de acesso de emergência no Microsoft Entra ID

É importante que se evite ser bloqueado acidentalmente da sua organização Microsoft Entra porque não consegue entrar ou ativar uma função. Pode mitigar o impacto da falta acidental de acesso administrativo ao criar duas ou mais contas de acesso de emergência na sua organização.

As contas de usuário com a função de Administrador Global têm altos privilégios no sistema, isso inclui contas de acesso de emergência com a função de Administrador Global. As contas de acesso de emergência são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas administrativas normais não podem ser usadas. Recomendamos que você mantenha uma meta de restringir o uso de emergência da conta apenas aos momentos em que for absolutamente necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.

Porquê utilizar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

• As contas de usuário são federadas e a federação está indisponível no momento devido a uma quebra de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host do provedor de identidade em seu ambiente tiver caído, os usuários talvez não consigam entrar quando o Microsoft Entra ID for redirecionado para seu provedor de identidade.
• Os administradores são registrados por meio da autenticação multifator Microsoft Entra e todos os seus dispositivos individuais não estão disponíveis ou o serviço não está disponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção da rede celular está impedindo que eles atendam chamadas telefônicas ou recebam mensagens de texto, os dois únicos mecanismos de autenticação que eles registraram para seu dispositivo.
• A pessoa com o acesso de Administrador Global mais recente deixou a organização. O Microsoft Entra ID impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer uma das situações pode fazer com que a organização não consiga recuperar a conta.
• Circunstâncias imprevistas, como uma emergência de catástrofe natural, durante a qual um telemóvel ou outras redes podem estar indisponíveis.
• Se as atribuições de função para as funções de Administrador Global e Administrador de Função Privilegiada forem qualificadas, a aprovação será necessária para a ativação, mas nenhum aprovador será selecionado (ou todos os aprovadores serão removidos do diretório). Administradores Globais Ativos e Administradores de Função Privilegiada são aprovadores padrão. Mas não haverá Administradores Globais e Administradores de Função Privilegiada ativos e a administração do locatário será efetivamente bloqueada, a menos que contas de acesso de emergência sejam usadas.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Essas contas devem ser contas somente na nuvem que usam o domínio *.onmicrosoft.com e que não são federadas ou sincronizadas a partir de um ambiente local. De um modo geral, siga estas etapas.

1. Encontre as suas contas de acesso de emergência existentes ou crie novas contas com a função de Administrador Global.

   

2. Selecione um destes métodos de autenticação sem palavra-passe para as suas contas de acesso de emergência. Estes métodos satisfazem os requisitos obrigatórios de autenticação multifator.

   • Passkey (FIDO2) (Recomendado)
   • Autenticação baseada em certificado se sua organização já tiver uma configuração PKI (infraestrutura de chave pública)

3. Configure suas contas de acesso de emergência para usar autenticação sem senha.

   • Ativar chaves de acesso (FIDO2) para a sua organização
   • Registrar uma chave de acesso (FIDO2)
   • Configurar autenticação baseada em certificado

4. Exigir autenticação multifator resistente a phishing para todas as suas contas de emergência.

5. Armazene as credenciais da conta com segurança.

6. Monitore os logs de entrada e auditoria.

7. Valide contas regularmente.

Requisitos de configuração

Ao configurar essas contas, os seguintes requisitos devem ser atendidos:

• Na maioria das organizações, as contas de acesso de emergência não estão associadas a nenhum usuário individual na organização. As credenciais estão em um local seguro conhecido, disponível para vários membros da equipe de administração e não estão conectadas a nenhum dispositivo fornecido por funcionários, como telefones. Essa abordagem é comumente usada para unificar o gerenciamento de contas de acesso de emergência: a maioria das organizações precisa de contas de acesso de emergência não apenas para a infraestrutura do Microsoft Cloud, mas também para o ambiente local, aplicativos SaaS federados e outros sistemas críticos.

  Como alternativa, você pode optar por criar contas de acesso de emergência individuais para administradores. Esta solução promove a responsabilização e permite que os administradores utilizem contas de acesso de emergência a partir de localizações remotas.

• Use a autenticação forte para suas contas de acesso de emergência e certifique-se de que ela não use os mesmos métodos de autenticação que suas outras contas administrativas. Por exemplo, se sua conta de administrador normal usa o aplicativo Microsoft Authenticator para autenticação forte, use uma chave de segurança FIDO2 para suas contas de emergência. Considere as dependências de vários métodos de autenticação, para evitar a adição de requisitos externos ao processo de autenticação.

• O dispositivo ou credencial não deve expirar ou estar no escopo da limpeza automatizada devido à falta de uso.

• No Microsoft Entra Privileged Identity Management, deve tornar a atribuição da função de Administrador Global ativa de forma permanente, em vez de elegível, para as suas contas de acesso de emergência.

• Os indivíduos autorizados a usar essas contas de acesso de emergência devem utilizar uma estação de trabalho designada e segura ou um ambiente de computação cliente semelhante, como uma Estação de Trabalho de Acesso Privilegiado. Essas estações de trabalho devem ser empregadas ao interagir com as contas de acesso de emergência. Para obter mais informações sobre como configurar um locatário do Microsoft Entra onde há estações de trabalho designadas, consulte implantando uma solução de acesso privilegiado.

Orientações da federação

Algumas organizações usam os Serviços de Domínio Ative Directory e o Serviço de Federação do Ative Directory (AD FS) ou provedor de identidade semelhante para federar com o Microsoft Entra ID. O acesso de emergência para sistemas locais e o acesso de emergência para serviços de computação em nuvem devem ser mantidos distintos, sem dependência de um do outro. Dominar e/ou terceirizar a autenticação para contas com privilégios de acesso de emergência de outros sistemas adiciona riscos desnecessários no caso de uma interrupção desses sistemas.

Armazene as credenciais da conta com segurança

As organizações precisam garantir que as credenciais das contas de acesso de emergência sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las. Por exemplo, poderá usar chaves de segurança FIDO2 para o Microsoft Entra ID ou cartões inteligentes para o Active Directory do Windows Server. As credenciais devem ser armazenadas em cofres seguros e à prova de fogo que estejam em locais seguros e separados.

Monitorar logs de entrada e auditoria

As organizações devem monitorar a atividade de login e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade de contas de acesso de emergência, você pode verificar se essas contas são usadas apenas para testes ou emergências reais. Você pode usar o Azure Monitor, o Microsoft Sentinel ou outras ferramentas para monitorar os logs de entrada e disparar alertas por email e SMS para seus administradores sempre que as contas de acesso de emergência entrarem. Esta seção ilustra o uso do Azure Monitor.

Pré-requisitos

• Envie os logs de entrada do Microsoft Entra para o Azure Monitor.

Obter IDs de objeto das contas de acesso de emergência

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.

3. Procure a conta de acesso de emergência e selecione o nome do usuário.

4. Copie e salve o atributo ID do objeto para que você possa usá-lo mais tarde.

5. Repita as etapas anteriores para a segunda conta de acesso de emergência.

Criar uma regra de alerta

1. Entre no portal do Azure como pelo menos um Colaborador de Monitoramento.

2. Navegue até Monitorar>espaços de trabalho do Log Analytics.

3. Selecione uma área de trabalho.

4. No espaço de trabalho, selecione Alertas>Nova regra de alerta.

   1. Em Recurso, verifique se a subscrição é aquela à qual pretende associar a regra de alerta.

   2. Em Condição, selecione Adicionar.

   3. Selecione Pesquisa de log personalizada em Nome do sinal.

   4. Na consulta Pesquisa, insira a consulta a seguir, inserindo os IDs dos objetos das duas contas de acesso de emergência.

      Nota

      Para cada conta de acesso de emergência adicional que você deseja incluir, adicione outro or UserId == "ObjectGuid" à consulta.

      Exemplos de consultas:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. Em Lógica de alerta, insira o seguinte:

      • Com base em: Número de resultados
      • Operador: Maior que
      • Valor limite: 0

   6. Em Avaliado com base em, selecione o Período (em minutos) para quanto tempo você deseja que a consulta seja executada e a Frequência (em minutos) para a frequência com que você deseja que a consulta seja executada. A frequência deve ser inferior ou igual ao período.

      

   7. Selecionar Concluído. Agora você pode visualizar o custo mensal estimado desse alerta.

5. Selecione um grupo de ações de usuários a serem notificados pelo alerta. Se quiser criar um, consulte Criar um grupo de ações.

6. Para personalizar a notificação por e-mail enviada aos membros do grupo de ações, selecione ações em Personalizar ações.

7. Em Detalhes do alerta, especifique o nome da regra de alerta e adicione uma descrição opcional.

8. Defina o nível de gravidade do evento. Recomendamos que você o defina como Crítico (Sev 0).

9. Em Ativar regra após a criação, deixe-a definida como sim.

10. Para desativar os alertas por um tempo, marque a caixa de seleção Suprimir Alertas , insira a duração da espera antes de alertar novamente e selecione Salvar.

11. Selecione Criar regra de alerta.

Criar um grupo de ações

1. Selecione Criar um grupo de ações.

   

2. Insira o nome do grupo de ações e um nome curto.

3. Verifique a assinatura e o grupo de recursos.

4. Em Tipo de ação, selecione E-mail/SMS/Push/Voz.

5. Insira um nome de ação, como Notificar Administrador Global.

6. Selecione o tipo de ação como e-mail/SMS/push/voz.

7. Selecione Editar detalhes para selecionar os métodos de notificação que deseja configurar e insira as informações de contato necessárias e, em seguida, selecione Ok para salvar os detalhes.

8. Adicione as ações adicionais que deseja acionar.

9. Selecione OK.

Preparar uma equipa de análise pós-morte para avaliar cada uso de credenciais de contas de acesso de emergência

Se o alerta for acionado, preserve os logs do Microsoft Entra e de outras cargas de trabalho. Realizar uma revisão das circunstâncias e dos resultados do uso da conta de acesso de emergência. Essa análise determinará se a conta foi usada:

• Para um exercício planeado, a fim de validar a sua adequação
• Em resposta a uma emergência real em que nenhum administrador poderia usar suas contas regulares
• Ou como resultado de uso indevido ou não autorizado da conta

Em seguida, examine os logs para determinar quais ações foram tomadas pelo indivíduo com a conta de acesso de emergência para garantir que essas ações estejam alinhadas com o uso autorizado da conta.

Valide contas regularmente

Além de treinar os membros da equipe para usar contas de acesso de emergência, você também deve ter um processo contínuo para validar que as contas de acesso de emergência permanecem acessíveis à equipe autorizada. Devem ser realizados exercícios regulares para validar a funcionalidade das contas e confirmar que as regras de monitorização e alerta são acionadas no caso de uma conta ser posteriormente utilizada de forma abusiva. No mínimo, as seguintes etapas devem ser executadas em intervalos regulares:

• Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta está em andamento.
• Revise e atualize a lista de indivíduos autorizados a usar as credenciais da conta de acesso de emergência.
• Certifique-se de que o processo de quebra de vidro de emergência para usar essas contas esteja documentado e atualizado.
• Certifique-se de que os administradores e agentes de segurança que possam precisar executar essas etapas durante uma emergência sejam treinados no processo.
• Valide se as contas de acesso de emergência podem entrar e executar tarefas administrativas.
• Certifique-se de que os usuários não registraram autenticação multifator ou redefinição de senha de autoatendimento (SSPR) para qualquer dispositivo de usuário individual ou detalhes pessoais.
• Se as contas estiverem registadas para autenticação multifator num dispositivo, para utilização durante o início de sessão ou a ativação de funções, certifique-se de que o dispositivo está acessível a todos os administradores que possam necessitar de o utilizar durante uma emergência. Verifique também se o dispositivo pode se comunicar através de pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a internet através da rede sem fio de uma instalação e de uma rede de provedor de celular.
• Mude as combinações em todos os cofres depois de alguém com acesso deixar a organização, bem como regularmente.

Estas etapas devem ser executadas a intervalos regulares e para alterações fundamentais:

• Pelo menos a cada 90 dias
• Quando houve uma mudança recente na equipe de TI, como após a rescisão ou mudança de cargo
• Quando as assinaturas do Microsoft Entra na organização foram alteradas

Próximos passos

• Como verificar se os utilizadores estão configurados para MFA obrigatória
• Exigir autenticação multifator resistente a phishing para administradores
• Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID
• Configurar proteções adicionais para funções privilegiadas no Microsoft 365, se estiver a utilizar o Microsoft 365
• Iniciar uma revisão de acesso de funções privilegiadas e fazer a transição de atribuições de funções privilegiadas existentes para funções de administrador mais específicas