Skapa och hantera konton för nödåtkomst

  • 7 minuter

Det är viktigt att du förhindrar att du oavsiktligt blir utelåst från ditt Microsoft Entra-ID. Med Microsoft Entra-ID kan du inte logga in eller aktivera en annan användares konto som administratör. Du kan minska risken för oavsiktlig brist på administrativ åtkomst. Hemligheten, skapa två eller flera konton för nödåtkomst i din organisation.

Konton för nödåtkomst är mycket privilegierade och de tilldelas inte till specifika personer. Konton för nödåtkomst är begränsade till scenarier med nöd- eller "break glass" där normala administrativa konton inte kan användas. Vi rekommenderar att du begränsar åtkomsten till ett nödkonto. Använd bara kontona när det är nödvändigt.

Den här artikeln innehåller riktlinjer för hantering av konton för nödåtkomst i Microsoft Entra-ID.

Varför använda ett konto för nödåtkomst

En organisation kan behöva använda ett konto för nödåtkomst i följande situationer:

  • Användarkontona är federerade och federationen är för närvarande inte tillgänglig på grund av ett avbrott i cellnätverket eller ett avbrott i identitetsprovidern. Om till exempel identitetsproviderns värd i din miljö har upphört kan användarna kanske inte logga in när Microsoft Entra-ID omdirigeras till deras identitetsprovider.
  • Administratörerna registreras via Microsoft Entra Multifactor Authentication. Alla deras enskilda enheter är inte tillgängliga eller så är tjänsten inte tillgänglig. Användare kanske inte kan slutföra multifaktorautentisering för att aktivera en roll. Ett avbrott i mobilnätverket hindrar dem till exempel från att svara på telefonsamtal eller ta emot sms. Särskilt när dessa autentiseringsmetoder är de enda två autentiseringsmekanismerna som de registrerade.
  • Den person som har den senaste globala administratörsåtkomsten har lämnat organisationen. Microsoft Entra-ID förhindrar att det senaste globala administratörskontot tas bort, men det förhindrar inte att kontot tas bort eller inaktiveras lokalt. Endera situationen kan göra att organisationen inte kan återställa kontot.
  • Oförutsedda omständigheter, till exempel naturkatastrofer, under vilka en mobiltelefon eller andra nätverk kanske inte är tillgängliga.

Skapa konton för nödåtkomst

Skapa två eller flera konton för nödåtkomst. Dessa konton ska vara molnbaserade konton som använder domänen .onmicrosoft.com och som inte är federerade eller synkroniserade från en lokal miljö.

När och administratören konfigurerar nödkonton måste följande krav uppfyllas:

  • Konton för nödåtkomst ska inte associeras med någon enskild användare i organisationen. Kontrollera att dina konton inte är anslutna till några mobiltelefoner som tillhandahålls av anställda, maskinvarutoken som reser med enskilda anställda eller andra autentiseringsuppgifter som är specifika för anställda. Den här försiktighetsåtgärden omfattar instanser där en enskild anställd inte kan nås när autentiseringsuppgifterna behövs. Alla registrerade enheter måste hållas på en känd och säker plats. Dessa platser behöver flera sätt att kommunicera med Microsoft Entra-ID.
  • Autentiseringsmekanismen som används för ett konto för nödåtkomst bör vara distinkt. Håll den separat från den som används av dina andra administrativa konton, inklusive andra konton för åtkomst till nödsituationer. Om din normala administratörsinloggning till exempel sker via lokal MFA är multifaktorautentisering en annan mekanism. Men om multifaktorautentisering är den primära delen av autentiseringen för dina administrativa konton bör du överväga en annan metod för nödkonton. Prova saker som att använda villkorsstyrd åtkomst med en MFA-provider från tredje part via anpassade kontroller.
  • Enheten eller autentiseringsuppgifterna får inte upphöra att gälla eller omfattas av automatisk rensning på grund av bristande användning.
  • Du bör göra rolltilldelningen Global Administratör permanent för dina konton för nödåtkomst.

Undanta minst ett konto från telefonbaserad multifaktorautentisering

För att minska risken för en attack till följd av ett komprometterat lösenord rekommenderar Microsoft Entra ID att du behöver multifaktorautentisering för alla enskilda användare. Den här gruppen omfattar administratörer och alla andra (till exempel ekonomiansvariga) vars komprometterade konto skulle ha en betydande möjlighet att orsaka skada.

Minst ett av dina konton för nödåtkomst bör dock inte ha samma mekanism för multifaktorautentisering som dina andra konton som inte är nödkonton. Detta inkluderar lösningar för multifaktorautentisering från tredje part. Om du har en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering för varje administratör för Microsoft Entra-ID och andra anslutna saaS-appar (programvara som en tjänst) bör du undanta konton för nödåtkomst från det här kravet och konfigurera en annan mekanism i stället. Dessutom bör du se till att kontona inte har en princip för multifaktorautentisering per användare.

Undanta minst ett konto från principer för villkorsstyrd åtkomst

Under en nödsituation vill du inte att en princip ska blockera din åtkomst för att åtgärda ett problem. Minst ett konto för nödåtkomst bör undantas från alla principer för villkorlig åtkomst.

Federationsvägledning

Ett annat alternativ för organisationer som använder AD Domain Services och ADFS eller liknande identitetsprovider för att federera till Microsoft Entra-ID är att konfigurera ett konto för nödåtkomst vars MFA-anspråk kan tillhandahållas av identitetsprovidern. Kontot för nödåtkomst kan till exempel backas upp av ett certifikat och nyckelpar, till exempel ett som lagras på ett smartkort. När användaren autentiseras till AD kan ADFS ange ett anspråk på Microsoft Entra-ID som anger att användaren har uppfyllt MFA-kraven. Även med den här metoden måste organisationer fortfarande ha molnbaserade konton för nödåtkomst om federation inte kan upprättas.

Övervaka inloggnings- och granskningsloggar

Organisationer bör övervaka inloggnings- och granskningsloggaktiviteten från nödkontona och utlösa meddelanden till andra administratörer. När du övervakar aktiviteten på break-glass-konton kan du kontrollera att dessa konton endast används för testning eller faktiska nödsituationer. Du kan använda Azure Log Analytics för att övervaka inloggningsloggarna och utlösa e-post- och SMS-aviseringar till dina administratörer när break-glass-konton loggar in.

Verifiera konton regelbundet

När du tränar personalen att använda konton för åtkomst till nödsituationer och verifiera konton för åtkomst till nödsituationer gör du minst följande steg med jämna mellanrum:

  • Se till att säkerhetsövervakningspersonalen är medveten om att kontokontrollaktiviteten pågår.
  • Se till att processen med nödbrytglas för att använda dessa konton är dokumenterad och aktuell.
  • Se till att administratörer och säkerhetsansvariga som kan behöva utföra dessa steg under en nödsituation utbildas i processen.
  • Uppdatera autentiseringsuppgifterna för kontot, särskilt eventuella lösenord, för dina konton för nödåtkomst och kontrollera sedan att konton för åtkomst till nödsituationer kan logga in och utföra administrativa uppgifter.
  • Se till att användarna inte har registrerat multifaktorautentisering eller självbetjäning av lösenordsåterställning (SSPR) till någon enskild användares enhet eller personliga information.
  • Om kontona är registrerade för multifaktorautentisering till en enhet, för användning under inloggning eller rollaktivering, kontrollerar du att enheten är tillgänglig för alla administratörer som kan behöva använda den under en nödsituation. Kontrollera också att enheten kan kommunicera via minst två nätverkssökvägar som inte delar ett vanligt felläge. Enheten kan till exempel kommunicera med Internet via både en anläggnings trådlösa nätverk och ett mobilprovidernätverk.

Dessa steg bör utföras med jämna mellanrum och för viktiga ändringar:

  • Minst var 90:e dag
  • När det nyligen har skett en förändring i IT-personalen, till exempel en jobbändring, en avgång eller en ny anställning
  • När Microsoft Entra-prenumerationerna i organisationen har ändrats