Criar e gerenciar contas de acesso de emergência

  • 7 minutos

É importante que você evite ser bloqueado acidentalmente do seu ID do Microsoft Entra. Com o Microsoft Entra ID, não é possível iniciar sessão ou ativar a conta de outro utilizador como administrador. Você pode reduzir a chance de falta acidental de acesso administrativo. O segredo, crie duas ou mais contas de acesso de emergência na sua organização.

As contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas administrativas normais não podem ser usadas. Recomendamos que restrinja o acesso à conta de emergência. Use as contas apenas quando for necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.

Porquê utilizar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

  • As contas de usuário são federadas e a federação está indisponível no momento devido a uma quebra de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host do provedor de identidade em seu ambiente tiver caído, os usuários talvez não consigam entrar quando o Microsoft Entra ID for redirecionado para seu provedor de identidade.
  • Os administradores são registados através da Autenticação Multifator Microsoft Entra. Todos os seus dispositivos individuais estão indisponíveis ou o serviço está indisponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção da rede celular está impedindo que eles atendam chamadas telefônicas ou recebam mensagens de texto. Especialmente quando esses métodos de autenticação são os dois únicos mecanismos de autenticação que eles registraram.
  • A pessoa com o acesso de Administrador Global mais recente deixou a organização. O Microsoft Entra ID impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer uma das situações pode fazer com que a organização não consiga recuperar a conta.
  • Circunstâncias imprevistas, como uma emergência de catástrofe natural, durante a qual um telemóvel ou outras redes podem estar indisponíveis.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Essas contas devem ser contas somente na nuvem que usam o domínio .onmicrosoft.com e que não são federadas ou sincronizadas a partir de um ambiente local.

Quando e admin configura contas de emergência, os seguintes requisitos devem ser atendidos:

  • As contas de acesso de emergência não devem ser associadas a nenhum usuário individual na organização. Certifique-se de que suas contas não estão conectadas a nenhum telefone celular fornecido por funcionários, tokens de hardware que viajam com funcionários individuais ou outras credenciais específicas de funcionários. Essa precaução abrange casos em que um funcionário individual está inacessível quando a credencial é necessária. Todos os dispositivos registados têm de ser mantidos em local conhecido e seguro. Esses locais precisam de vários meios de comunicação com o Microsoft Entra ID.
  • O mecanismo de autenticação utilizado para uma conta de acesso de emergência deve ser distinto. Mantenha-o separado do usado por suas outras contas administrativas, incluindo outras contas de acesso de emergência. Por exemplo, se o início de sessão normal do administrador for através de MFA no local, a autenticação multifator será um mecanismo diferente. No entanto, se a autenticação multifator for sua parte principal da autenticação para suas contas administrativas, considere uma abordagem diferente para contas de emergência. Experimente coisas como usar o Acesso Condicional com um provedor de MFA de terceiros por meio de controles personalizados.
  • O dispositivo ou credencial não deve expirar ou estar no escopo da limpeza automatizada devido à falta de uso.
  • Você deve tornar a atribuição da função de Administrador Global permanente para suas contas de acesso de emergência.

Excluir pelo menos uma conta da autenticação multifator baseada em telefone

Para reduzir o risco de um ataque resultante de uma senha comprometida, o Microsoft Entra ID recomenda que você exija autenticação multifator para todos os usuários individuais. Este grupo inclui administradores e todos os outros (por exemplo, diretores financeiros) cuja conta comprometida teria uma oportunidade significativa de causar danos.

No entanto, pelo menos uma das suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator que as suas outras contas não de emergência. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de Acesso Condicional para exigir autenticação multifator para cada administrador para o Microsoft Entra ID e outros aplicativos SaaS (software como serviço) conectados, exclua as contas de acesso de emergência desse requisito e configure um mecanismo diferente. Além disso, você deve certificar-se de que as contas não têm uma política de autenticação multifator por usuário.

Excluir pelo menos uma conta das políticas de Acesso Condicional

Durante uma emergência, você não quer que uma política bloqueie seu acesso para corrigir um problema. Pelo menos uma conta de acesso de emergência deve ser excluída de todas as políticas de Acesso Condicional.

Orientações da federação

Outra opção para organizações que usam os Serviços de Domínio do AD e ADFS ou provedor de identidade semelhante para federar para o Microsoft Entra ID é configurar uma conta de acesso de emergência cuja declaração de MFA possa ser fornecida por esse provedor de identidade. Por exemplo, a conta de acesso de emergência pode ser apoiada por um certificado e um par de chaves, como um armazenado em um cartão inteligente. Quando esse usuário é autenticado no AD, o ADFS pode fornecer uma declaração ao Microsoft Entra ID indicando que o usuário atendeu aos requisitos de MFA. Mesmo com essa abordagem, as organizações ainda devem ter contas de acesso de emergência baseadas em nuvem, caso a federação não possa ser estabelecida.

Monitorar logs de login e auditoria

As organizações devem monitorar a atividade de login e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade em contas quebra-vidro, você pode verificar se essas contas são usadas apenas para testes ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de entrada e disparar alertas por email e SMS para seus administradores sempre que contas quebra-vidro entrarem.

Valide contas regularmente

Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo, execute as seguintes etapas em intervalos regulares:

  • Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta está em andamento.
  • Certifique-se de que o processo de quebra-vidro de emergência para usar essas contas esteja documentado e atualizado.
  • Certifique-se de que os administradores e agentes de segurança que possam precisar executar essas etapas durante uma emergência sejam treinados no processo.
  • Atualize as credenciais da conta, em particular quaisquer palavras-passe, para as suas contas de acesso de emergência e, em seguida, valide se as contas de acesso de emergência podem iniciar sessão e executar tarefas administrativas.
  • Certifique-se de que os usuários não registraram autenticação multifator ou redefinição de senha de autoatendimento (SSPR) para qualquer dispositivo de usuário individual ou detalhes pessoais.
  • Se as contas estiverem registadas para autenticação multifator num dispositivo, para utilização durante o início de sessão ou a ativação de funções, certifique-se de que o dispositivo está acessível a todos os administradores que possam necessitar de o utilizar durante uma emergência. Verifique também se o dispositivo pode se comunicar através de pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a internet através da rede sem fio de uma instalação e de uma rede de provedor de celular.

Estas etapas devem ser executadas a intervalos regulares e para alterações fundamentais:

  • Pelo menos a cada 90 dias
  • Quando houve uma mudança recente na equipe de TI, como uma mudança de emprego, uma saída ou uma nova contratação
  • Quando as assinaturas do Microsoft Entra na organização foram alteradas