你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

管理 Azure Active Directory B2C 中的紧急访问帐户

必须防止意外地被锁在 Azure Active Directory B2C (Azure AD B2C) 组织之外，因为在这种情况下，无法以管理员的身份登录或激活其他用户帐户。 可在组织中创建两个或更多个紧急访问帐户，缓解意外丧失管理访问权限造成的影响。

配置这些帐户时，需要满足以下要求：

• 紧急访问帐户不应与组织中任何个人用户关联。 确保帐户没有与任何员工提供的手机、个别员工出差所用硬件令牌或其他特定员工凭证相关联。 此预防措施介绍需要凭据而无法找到某个拥有凭据的员工时的情况。 请务必确保将任何已注册设备保存在与 Azure AD B2C 有多种通信方式的已知安全位置。

• 对紧急访问帐户使用强身份验证，并确保它不会使用与其他管理帐户相同的身份验证方法。

• 设备或凭据不得过期，或者由于使用次数不多而划归到自动清理的范围内。

先决条件

• 如果尚未创建自己的 Azure AD B2C 租户，请立即创建一个。 可以使用现有的 Azure AD B2C 租户。
• 了解 Azure AD B2C 中的用户帐户。
• 了解控制资源访问的用户角色。
• 了解条件访问

创建紧急访问帐户

创建两个或多个紧急访问帐户。 这些帐户应该是使用 .onmicrosoft.com 域且未从本地环境联合或同步的仅限云帐户。

使用以下步骤创建紧急访问帐户：

1. 以现有全局管理员身份登录到 Azure 门户。 如果使用 Microsoft Entra 帐户，请确保使用的是包含 Azure AD B2C 租户的目录：

   1. 在门户工具栏中选择“目录 + 订阅”图标。

   2. 在“门户设置 | 目录+订阅”页上的“目录名称”列表中找到你的 Azure AD B2C 目录，然后选择“切换”。

2. 在“Azure 服务”下，选择“Azure AD B2C”。 或者在 Azure 门户中，搜索并选择“Azure AD B2C”。

3. 在左侧菜单中的“管理”下，选择“用户” 。

4. 选择“+ 新建用户”。

5. 选择“创建用户”。

6. 在“标识”下方：

   1. 对于“用户名”，请输入唯一的用户名，例如“紧急帐户”。

   2. 对于“名称”，请输入“紧急帐户”等名称

7. 在“密码”下，输入唯一密码。

8. 在“组和角色”下方

   1. 选择“用户”。

   2. 在显示的窗格中，搜索并选择“全局管理员”，然后选择“选择”按钮。

9. 在“设置”下，选择合适的“使用位置”。

10. 选择“创建” 。

11. 安全地存储帐户凭据。

12. 监视登录和审核日志。

13. 定期验证帐户。

创建紧急帐户后，需要执行以下操作：

• 确保你从基于电话的多重身份验证中排除了至少一个帐户

• 如果使用条件访问，则需要从所有条件访问策略中排除至少一个紧急访问帐户。

后续步骤

• 读取租户名称和 ID
• 清理资源并删除租户