Управление учетными записями для аварийного доступа в Microsoft Entra ID

Важно предотвратить случайную блокировку вашей учетной записи в организации Microsoft Entra, чтобы избежать невозможности входа или активации роли. Уменьшить ущерб от случайного блокирования административного доступа можно, создав в организации две или более учетных записи для аварийного доступа.

Учетные записи пользователей с ролью глобального администратора имеют высокие привилегии в системе, в том числе учетные записи аварийного доступа с ролью глобального администратора. Учетные записи экстренного доступа предназначены для использования в чрезвычайных ситуациях, когда обычные административные учетные записи не могут быть задействованы. Рекомендуется поддерживать цель ограничения использования учетной записи аварийного реагирования только в то время, когда это абсолютно необходимо.

В этой статье приведены рекомендации по управлению учетными записями аварийного доступа в идентификаторе Microsoft Entra.

Зачем использовать учетную запись для аварийного доступа?

Организации может потребоваться использовать учетные записи для аварийного доступа в следующих ситуациях.

• Учетные записи пользователей объединяются в федерацию, которая в настоящее время недоступна из-за перебоев в работе сотовой сети или поставщика удостоверений. Например, если узел поставщика удостоверений в вашей среде снизился, пользователи могут не входить, когда идентификатор Microsoft Entra ID перенаправляется на своего поставщика удостоверений.
• Администраторы зарегистрированы через многофакторную проверку подлинности Microsoft Entra, и все их отдельные устройства недоступны или служба недоступна. Пользователи могут не выполнить многофакторную проверку подлинности для активации роли. Например, из-за сбоя сотовой сети они не могут отвечать на телефонные звонки или получать текстовые сообщения (два механизма аутентификации, зарегистрированные для устройства).
• Пользователь, которому недавно предоставили права глобального административного доступа, покинул организацию. Идентификатор Microsoft Entra запрещает удаление последней учетной записи глобального администратора, но не предотвращает удаление или отключение учетной записи локальной среды. В этих случаях сбой может привести к тому, что организация не сможет восстановить учетную запись.
• Может возникнуть непредвиденное обстоятельство, такое как чрезвычайная ситуация в случае стихийного бедствия, при котором мобильный телефон или другие сети могут быть недоступны.
• Если назначения ролей для ролей глобального администратора и администраторов привилегированных ролей являются доступными для назначения, требуется одобрение для активации, но утверждающие не выбраны, или все утверждающие удалены из каталога. Активные глобальные администраторы и администраторы привилегированных ролей являются утверждателями по умолчанию. Но активные глобальные администраторы и администраторы привилегированных ролей будут фактически заблокированы, и администрирование клиента будет недоступно, если не используются учетные записи аварийного доступа.

Создание учетных записей для аварийного доступа

Создайте две или больше учетных записей для аварийного доступа. Такие учетные записи должны использоваться только в облаке, то есть только для домена onmicrosoft.com. Не стоит делать их федеративными или синхронизировать из локальной среды. На высоком уровне выполните следующие действия.

1. Найдите существующие учетные записи аварийного доступа или создайте новые учетные записи с ролью глобального администратора.

   

2. Выберите один из этих методов проверки подлинности без пароля для учетных записей аварийного доступа. Эти методы удовлетворяют обязательным требованиям многофакторной проверки подлинности.

   • Ключ доступа (FIDO2) (рекомендуется)
   • Сертификатная аутентификация если в вашей организации уже настроена система инфраструктуры открытых ключей (PKI)

3. Настройка учетных записей аварийного доступа для использования проверки подлинности без пароля.

   • Включить ключи доступа (FIDO2) для вашей организации
   • Зарегистрировать ключ доступа (FIDO2)
   • Настройка проверки подлинности на основе сертификатов

4. Требовать устойчивую к фишингу многофакторную аутентификацию для всех экстренных учетных записей.

5. Безопасное хранение данных учетной записи.

6. Мониторинг журналов входа и аудита.

7. Регулярная проверка учетных записей.

Требования к конфигурации

При настройке этих учетных записей необходимо выполнить следующие требования:

• В большинстве организаций учетные записи аварийного доступа не связаны с отдельным пользователем в организации. Учетные данные находятся в известном безопасном расположении, доступном нескольким членам группы администрирования и не подключены к устройствам, предоставленным сотрудникам, таким как телефоны. Этот подход часто используется для объединения управления учетными записями аварийного доступа: большинство организаций нуждаются в учетных записях аварийного доступа не только для инфраструктуры Microsoft Cloud, но и локальной среды, федеративных приложений SaaS и других критически важных систем.

  Кроме того, можно создать отдельные учетные записи аварийного доступа для администраторов. Это решение способствует подотчетности и позволяет администраторам использовать учетные записи аварийного доступа из удаленных расположений.

• Используйте надежную проверку подлинности для учетных записей аварийного доступа и убедитесь, что они не используют те же методы проверки подлинности, что и другие учетные записи администратора. Например, если обычная учетная запись администратора использует для строгой проверки подлинности приложение Microsoft Authenticator, то для учетных записей аварийного доступа следует использовать ключ безопасности FIDO2. Учитывайте зависимости различных способов проверки подлинности, чтобы избежать добавления внешних требований в процесс проверки подлинности.

• Устройство или учетные данные должны быть действительными, либо они не должны входить в планы по автоматической очистке из-за недостаточного использования.

• В Microsoft Entra Privileged Identity Management необходимо сделать назначение роли глобального администратора активным постоянным, а не допустимым, для ваших учетных записей аварийного доступа.

• Лица, авторизованные для использования этих учетных записей аварийного доступа, должны использовать назначенную, безопасную рабочую станцию или аналогичную среду клиентских вычислений, например рабочую станцию привилегированного доступа. Эти рабочие станции должны использоваться при взаимодействии с учетными записями аварийного доступа. Дополнительные сведения о настройке клиента Microsoft Entra, на котором назначены рабочие станции, см. в развертывании решения с привилегированным доступом.

Руководство по объединению в федерацию

Некоторые организации используют доменные службы Active Directory и службу федерации Active Directory (AD FS) или аналогичного поставщика удостоверений для федерации с Microsoft Entra ID. Аварийный доступ к локальным системам и аварийный доступ для облачных служб должны использоваться отдельно, без зависимости друг от друга. Мастеринг и проверка подлинности для учетных записей с привилегиями аварийного доступа из других систем добавляет ненужный риск в случае сбоя этих систем.

Безопасное хранение данных учетной записи

Организации должны обеспечить защиту учетных данных для учетных записей аварийного доступа и предоставить к ним доступ только тем, у кого есть право на их использование. Например, можно использовать ключи безопасности FIDO2 для идентификатора Microsoft Entra или смарт-карт для Windows Server Active Directory. Учетные данные должны храниться в безопасных, огнестойких сейфах, которые находятся в отдельных, защищенных местах.

Мониторинг журналов входа и аудита

Организации должны отслеживать действия входа и ведения журнала аудита из учетных записей для аварийного доступа и запускать уведомления для других администраторов. При мониторинге активности учетных записей экстренного доступа, можно удостовериться, что они используются только для тестирования или в реальных чрезвычайных ситуациях. Вы можете использовать Azure Monitor, Microsoft Sentinel или другие средства для отслеживания журналов входа и активации оповещений электронной почты и SMS для администраторов при входе учетных записей аварийного доступа. В этом разделе показано использование Azure Monitor.

Необходимые компоненты

• Отправьте журналы входа Microsoft Entra в Azure Monitor.

Получение идентификаторов объектов учетных записей аварийного доступа

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.

2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

3. Найдите учетную запись аварийного доступа и выберите имя пользователя.

4. Скопируйте и сохраните атрибут идентификатора объекта, чтобы его можно было использовать позже.

5. Повторите предыдущие шаги для второй учетной записи аварийного доступа.

Создать правило генерации оповещений

1. Войдите в портал Azure как минимум участник мониторинга.

2. Перейдите к мониторингу >рабочих областей Log Analytics.

3. Выберите рабочую область.

4. В рабочей области выберите Оповещения>Новое правило генерации оповещений.

   1. В разделе Ресурсы убедитесь, что подписка является той, с которой необходимо связать правило оповещения.

   2. В разделе Условиевыберите Добавить.

   3. В разделе Название сигнала выберите значение Пользовательский поиск по журналам.

   4. В разделе запрос поискавведите следующий запрос, вставив идентификаторы объектов двух учетных записей аварийного доступа.

      Примечание.

      Для каждой дополнительной учетной записи аварийного доступа, которую вы хотите включить, добавьте еще один or UserId == "ObjectGuid" в запрос.

      Примеры запросов:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. В разделе Логика оповещений введите следующее:

      • Основа: число результатов.
      • Оператор: Больше
      • Пороговое значение: 0

   6. В разделе Оценка на основе выберите Период (в минутах) для времени выполнения запроса и Частота (в минутах) для периодичности выполнения запроса. Периодичность должна быть меньше или равна периоду.

      

   7. Нажмите кнопку Готово. Теперь вы можете просмотреть предполагаемые ежемесячные затраты на это оповещение.

5. Выберите группу действий пользователей, которые будут уведомлены оповещением. Если вы хотите создать такую группу, см. раздел Создание группы действий.

6. Чтобы настроить уведомление по электронной почте, отправляемое членам группы действий, выберите действия в разделе Настройка действий.

7. В разделе Сведения об оповещении укажите имя правила генерации оповещений и добавьте необязательное описание.

8. Установите Уровень серьезности события. Рекомендуется задать для него значение Критический (уровень серьезности 0).

9. В разделе Включить правило при создании оставьте значение да.

10. Чтобы отключать оповещения на время, установите флажок Подавить оповещения и введите длительность ожидания до повторного оповещения, а затем выберите Сохранить.

11. Выберите Создать правило генерации оповещений.

Создание группы действий

1. Введите Создать группу действий.

   

2. Введите полное и короткое имена для новой группы действий.

3. Укажите подписку и группу ресурсов.

4. В разделе тип действия выберите Email/SMS/Push/Voice (электронная почта, SMS, push-уведомление, голосовое сообщение).

5. Введите имя действия, например уведомление глобального администратора.

6. Выберите Тип действия из Email/SMS/Push/Voice (электронная почта, SMS, push-уведомление, голосовое сообщение).

7. Выберите Изменить сведения, чтобы выбрать методы уведомления, которые нужно настроить, и введите необходимые контактные данные, а затем нажмите кнопку ОК, чтобы сохранить сведения.

8. Добавьте дополнительные действия, которые необходимо активировать.

9. Нажмите ОК.

Подготовьте команду для постфактум анализа, чтобы оценить использование учетных данных аварийного доступа.

Если оповещение активируется, сохраните журналы из Microsoft Entra и других рабочих нагрузок. Провести проверку обстоятельств и результаты использования учетной записи аварийного доступа. Эта проверка определяет, использовалась ли учетная запись:

• Для запланированного учения с целью проверки его пригодности
• В ответ на фактические чрезвычайные ситуации, когда администратор не мог использовать свои обычные учетные записи
• Или в результате неправильного использования или несанкционированного использования учетной записи

Затем изучите журналы, чтобы определить, какие действия были приняты отдельным лицом с учетной записью аварийного доступа, чтобы убедиться, что эти действия соответствуют авторизованному использованию учетной записи.

Регулярная проверка учетных записей

Помимо обучения сотрудников для использования учетных записей аварийного доступа, необходимо также провести непрерывный процесс для проверки учетных записей аварийного доступа, которые остаются доступными авторизованным сотрудникам. Регулярные учения должны проводиться для подтверждения работоспособности учетных записей и подтверждения того, что правила мониторинга и оповещения активируются, если учетная запись будет неправильно использована впоследствии. Как минимум, следующие действия должны выполняться через регулярные интервалы:

• Убедитесь, что сотрудники по мониторингу безопасности знают, что действие проверки учетных записей продолжается.
• Просмотрите и обновите список лиц, авторизованных для использования учетных данных учетной записи аварийного доступа.
• Убедитесь, что процесс предоставления разрешений для использования этих учетных записей документируется и является актуальным.
• Убедитесь, что администраторы и сотрудники службы безопасности, которым может потребоваться выполнить эти действия в случае чрезвычайной ситуации, прошили соответствующее обучение.
• Убедитесь, что учетные записи аварийного доступа могут выполнять вход и административные задачи.
• Убедитесь, что пользователи не зарегистрировали многофакторную проверку подлинности или самостоятельный сброс пароля (SSPR) на устройство или персональные данные отдельного пользователя.
• Если учетные записи зарегистрированы для многофакторной проверки подлинности на устройстве, для использования во время входа или активации ролей убедитесь, что устройство доступно всем администраторам, которым может потребоваться использовать его во время чрезвычайной ситуации. Также обеспечьте для устройства не менее двух сетевых путей доступа, которые не зависят от работоспособности друг друга. Например, устройство может осуществлять связь с Интернетом через беспроводную сеть объекта и через сеть сотового оператора.
• Измените комбинации на любых сейфах после того, как кто-то с доступом покидает организацию, и делайте это регулярно.

Приведенные далее действия необходимо выполнять в случае внесения важных изменений и через регулярные промежутки времени.

• Каждые 90 дней.
• При недавнем изменении ИТ-персонала, например после прекращения или изменения должности
• Когда подписки Microsoft Entra в организации изменились

Следующие шаги

• Как убедиться, что пользователи настроены для обязательной многофакторной аутентификации (MFA)
• Требовать многофакторную проверку подлинности для администраторов
• Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra
• Настройте дополнительные средства защиты для привилегированных ролей в Microsoft 365, если вы используете Microsoft 365
• Запустите проверку доступа привилегированных ролей и переключите существующие назначения привилегированных ролей на более конкретные роли администратора.