创建和管理紧急访问帐户

  • 7 分钟

请务必防止意外锁定 Microsoft Entra ID。 如果使用 Microsoft Entra ID,则不能以管理员身份登录或激活其他用户的帐户。 你可以缓解意外缺少管理访问权限的可能性。 秘诀是在组织中创建两个或更多个紧急访问帐户。

紧急访问帐户拥有较高的特权,因此请不要将其分配给特定的个人。 紧急访问帐户只能用于“不受限”紧急情况,即不能使用正常管理帐户的情况。 建议限制对紧急帐户的访问权限。 只有在必要时才使用这些帐户。

本文提供有关在 Microsoft Entra ID 中管理紧急访问帐户的指导。

为何使用紧急访问帐户

在以下情况下,组织可能需要使用紧急访问帐户:

  • 用户帐户进行了联合,且由于手机网络中断或标识提供程序服务中断,联合身份验证当前不可用。 例如,如果在你的环境中的标识提供者主机停运,则当 Microsoft Entra ID 重定向到其标识提供者时,用户可能无法登录。
  • 管理员是通过 Microsoft Entra 多重身份验证注册的。 其各项设备均不可用或服务不可用。 用户可能无法完成多重身份验证以激活角色。 例如,手机网络中断会阻止他们接听电话或接收短信。 特别是当这些身份验证方法是他们注册的唯一两种身份验证机制时。
  • 具有最新全局管理访问权限的人员离开了组织。 Microsoft Entra ID 将阻止删除最后一个全局管理员帐户,但它不会阻止在本地删除或禁用该帐户。 这两种情况都可能使组织无法恢复帐户。
  • 出现自然灾害等不可预见的紧急情况,导致手机或其他网络不可用。

创建紧急访问帐户

创建两个或多个紧急访问帐户。 这些帐户应该是使用 .onmicrosoft.com 域且未从本地环境联合或同步的仅限云帐户。

当管理员配置紧急帐户时,必须满足以下要求:

  • 紧急访问帐户不应与组织中任何个人用户关联。 确保帐户没有与任何员工提供的手机、个别员工出差所用硬件令牌或其他特定员工凭证相关联。 此预防措施介绍需要凭据而无法找到某个拥有凭据的员工时的情况。 任何已注册的设备都需要保存在已知的安全位置。 这些位置需要具有多种可与 Microsoft Entra ID 进行通信的方式。
  • 用于紧急访问帐户的身份验证机制应该与众不同。 请将其与其他管理帐户(包括其他紧急访问帐户)使用的帐户区别开来。 例如,如果普通管理员登录是通过本地 MFA 登录的,则多重身份验证将是一种不同的机制。 但是,如果多重身份验证是管理帐户身份验证的主要部分,则请考虑对紧急帐户使用不同的方法。 尝试通过自定义控件将条件访问与第三方 MFA 提供程序配合使用等操作。
  • 设备或凭据不得过期,或者由于使用次数不多而划归到自动清理的范围内。
  • 应将全局管理员角色分配设为紧急访问帐户的永久角色。

从基于电话的多重身份验证中排除至少一个帐户

为降低泄露密码所致攻击的风险,Microsoft Entra ID 建议要求所有用户使用多重身份验证。 此组包括管理员和所有其他人员(例如财务人员),其被盗用的帐户将有很大的可能性造成损害。

但是,至少有一个紧急访问帐户不应具有与其他非紧急帐户相同的多重身份验证机制。 这包括第三方多重身份验证解决方案。 如果条件访问策略要求每个管理员针对 Microsoft Entra ID 及连接的其他软件即服务 (SaaS) 应用执行多重身份验证,则应从此要求中排除紧急访问帐户,并改为配置其他机制。 此外,还应确保帐户没有每用户多重身份验证策略。

从条件访问策略中排除至少一个帐户

在紧急情况下,你不希望策略有可能阻止你访问以解决问题。 应从所有条件访问策略中排除至少一个紧急访问帐户。

联合身份验证指南

对于使用 AD 域服务和 ADFS 或类似标识提供者联合到 Microsoft Entra 的组织,另一个选项是配置一个紧急访问帐户,并且该帐户的 MFA 声明可由该标识提供者提供。 例如,紧急访问帐户可由证书和密钥对(例如,存储在智能卡上)提供安全保障。 当该用户对 AD 进行身份验证时,ADFS 可向 Microsoft Entra ID 提供声明,指示该用户已满足 MFA 要求。 即使采用这种方法,组织仍然必须具有基于云的紧急访问帐户,以防无法建立联合身份验证。

监视登录和审核日志

组织应监视紧急帐户的登录和审核日志活动,并触发对其他管理员的通知。 在监视 Break Glass 帐户上的活动时,可以验证这些帐户是否仅用于测试或实际紧急状况。 可以使用 Azure Log Analytics 监视登录日志,每当不受限帐户登录时,向管理员触发电子邮件和短信警报。

定期验证帐户

为员工培训紧急访问帐户的用法和验证紧急访问帐户时,至少应定期执行以下步骤:

  • 确保安全监视人员知道帐户检查活动正在进行中。
  • 确保使用这些帐户的紧急 Break Glass 过程已进行记录并且是最新的。
  • 确保在紧急情况下可能需要执行这些步骤的管理员和保安员接受了该流程的培训。
  • 更新紧急访问帐户的帐户凭据(尤其是所有密码),并验证紧急访问帐户能否登录并执行管理任务。
  • 确保用户没有向任何个人用户的设备或个人详细信息注册多重身份验证或自助式密码重置 (SSPR)。
  • 如果帐户已注册为通过多重身份验证登录到设备,以便在登录或角色激活期间使用,请确保需在紧急情况下使用该设备的所有管理员都可访问该设备。 另请验证设备是否可以通过至少两个不共享常见故障模式的网络路径进行通信。 例如,设备可通过公司无线网络和移动网络提供商网络与 Internet 通信。

应定期执行以下步骤,进行重大更改后也应执行这些步骤:

  • 每隔 90 天至少执行一次
  • IT 员工中最近有变动时(如工作变动、离职或入职)
  • 组织中的 Microsoft Entra 订阅发生更改时