创建和管理紧急访问帐户

  • 7 分钟

请务必防止意外锁定Microsoft Entra ID。 使用 Microsoft Entra ID,无法以管理员身份登录或激活其他用户的帐户。 可以降低意外失去管理访问权限的可能性。 秘诀,应在组织中创建两个或多个 紧急访问帐户

紧急访问帐户具有很高的特权,并且不会分配给特定个人。 紧急访问帐户仅限于无法使用普通管理帐户的紧急或“破玻璃”方案。 建议限制对紧急帐户的访问。 仅当有必要时,才使用帐户。

本文提供了在 Microsoft Entra ID 中管理紧急访问帐户的准则。

为何使用紧急访问帐户

在以下情况下,组织可能需要使用紧急访问帐户:

  • 用户帐户已纳入联合身份验证,由于蜂窝网络故障或身份提供者中断,联合身份验证目前不可用。 例如,如果环境中的标识提供者主机已关闭,则当用户Microsoft Entra ID 重定向到其标识提供者时可能无法登录。
  • 管理员通过Microsoft Entra 多重身份验证注册。 其所有单个设备都不可用,或者服务不可用。 用户可能无法完成多重身份验证以激活角色。 例如,蜂窝网络中断使他们无法接听电话或接收短信。 尤其是当这些身份验证方法是他们注册的唯一两种身份验证机制时。
  • 具有最新全局管理员访问权限的人员已离开组织。 Microsoft Entra ID 可防止删除最后一个全局管理员帐户,但不会阻止在本地删除或禁用该帐户。 任一情况都可能导致组织无法恢复帐户。
  • 意外的情况,如自然灾害紧急情况,在此期间手机或其他网络可能不可用。

创建紧急访问帐户

创建两个或多个紧急访问帐户。 这些帐户应该是使用 .onmicrosoft.com 域且不是从本地环境进行联合或同步的云专用帐户。

当管理员配置紧急帐户时,必须满足以下要求:

  • 紧急访问帐户不应与组织中的任何单个用户相关联。 请确保您的帐户未与任何员工提供的移动电话、由个人员工携带的硬件令牌或其他专属于员工的凭据连接。 此预防措施涵盖需要凭据时单个员工无法访问的实例。 任何已注册的设备都需要保存在已知安全的位置。 这些位置需要多种与 Microsoft Entra ID 通信的方法。
  • 用于紧急访问帐户的身份验证机制应不同。 请将其单独保管,不要与其他管理帐户使用的帐户混用,包括其他紧急访问帐户。 例如,如果普通管理员登录是通过本地 MFA 进行,则多重身份验证将是一种不同的机制。 但是,如果多重身份验证是管理帐户身份验证的主要部分,请考虑对紧急帐户使用不同的方法。 尝试通过自定义控件将条件访问与第三方 MFA 提供程序配合使用等作。
  • 由于缺少使用,设备或凭据不得过期或处于自动清理范围内。
  • 应将紧急访问帐户的全局管理员角色设定为永久。

从基于电话的多重身份验证中排除至少一个帐户

为了降低因密码泄露而导致的攻击风险,Microsoft Entra ID 建议对所有单个用户要求多重身份验证。 此组包括管理员和所有其他用户(例如财务官员),其被入侵的帐户可能造成重大危害。

但是,至少一个紧急访问帐户不应具有与其他非紧急帐户相同的多重身份验证机制。 这包括第三方多重身份验证解决方案。 如果有条件访问策略要求每个管理员对 Microsoft Entra ID 和其他连接的软件即服务(SaaS)应用进行多重身份验证,则应从此要求中排除紧急访问帐户,并改为配置其他机制。 此外,还应确保帐户没有每个用户多重身份验证策略。

从条件访问策略中排除至少一个帐户

在紧急情况下,你不希望策略可能阻止你访问以解决问题。 应从所有条件访问策略中排除至少一个紧急访问帐户。

联邦指导

使用 AD 域服务和 ADFS 或类似标识提供者联合到 Microsoft Entra ID 的组织的另一个选项是配置一个紧急访问帐户,该帐户的 MFA 声明可由该标识提供者提供。 例如,紧急访问帐户可以由证书和密钥对支持,例如存储在智能卡上的证书和密钥对。 当该用户向 AD 进行身份验证时,ADFS 可以向Microsoft Entra ID 提供声明,指示用户已满足 MFA 要求。 即使采用此方法,组织仍必须具有基于云的紧急访问帐户,以防无法建立联合。

监视登录和审核日志

组织应监视紧急帐户中的登录和审核日志活动,并触发给其他管理员的通知。 在监控应急账户的活动时,可以确认这些账户仅用于测试或实际紧急情况。 可以使用 Azure Log Analytics 监视登录日志,当应急账户(break-glass accounts)登录时,会向管理员触发电子邮件和短信警报。

定期验证帐户

培训员工使用紧急访问帐户并验证紧急访问帐户时,请至少定期执行以下步骤:

  • 确保安全监视人员知道帐户检查活动正在进行。
  • 确保紧急破窗程序的使用过程已记录并保持最新。
  • 确保可能需要在紧急情况下执行这些步骤的管理员和安全人员在流程中接受培训。
  • 更新紧急访问帐户的帐户凭据(特别是任何密码),然后验证紧急访问帐户是否可以登录和执行管理任务。
  • 确保用户尚未将多重身份验证或自助密码重置(SSPR)注册到任何单个用户的设备或个人详细信息。
  • 如果帐户已注册到设备进行多重身份验证,以便在登录或角色激活期间使用,请确保在紧急情况下可能需要使用它的所有管理员都可以访问该设备。 此外,请验证设备是否可以通过至少两个不共享常见故障模式的网络路径进行通信。 例如,设备可以通过设施的无线网络和单元提供商网络与 Internet 通信。

这些步骤应定期执行,并针对密钥更改执行:

  • 至少每 90 天
  • IT 人员发生了最近的变动时,例如职位调动、人员离职或新员工加入
  • 组织中Microsoft Entra 订阅发生更改时