管理 Microsoft Entra ID 中的緊急存取帳戶

請務必避免被意外鎖定在 Microsoft Entra 組織之外，因為這會導致您無法登入或啟用角色。 您可以藉由在組織中建立兩個或多個緊急存取帳戶，來減輕不慎失去系統管理存取權的影響。

具有全域管理員角色的用戶帳戶在系統中具有高許可權，這包括具有全域管理員角色的緊急存取帳戶。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「打破玻璃」案例。 建議您限制只有在絕對必要時，才能使用緊急帳戶，並維護此限制目標。

本文提供在 Microsoft Entra ID 中管理緊急存取帳戶的指導方針。

為什麼要使用緊急存取帳戶

在下列情況下，組織可能需要使用緊急存取帳戶:

• 使用者帳戶已同盟，且同盟目前因數據格網路中斷或身分識別提供者中斷而無法使用。 例如，如果環境中的識別提供者主機已關閉，則當 Microsoft Entra ID 重新導向至其識別提供者時，使用者可能無法登入。
• 管理員已透過 Microsoft Entra Multi-Factor Authentication 進行註冊，但他們的所有個別裝置皆無法使用，或服務無法使用。 使用者可能無法完成多重要素驗證來啟動角色。 例如，行動網路的中斷會讓使用者無法接聽來電或接收文字簡訊 (唯一為裝置註冊的兩種驗證機制)。
• 具有最新全域系統管理員存取權的人員已離開組織。 Microsoft Entra ID 可防止最後一個全域系統管理員帳戶遭到刪除，但不會防止帳戶刪除或停用內部部署。 這兩種情況任一種都可能導致組織無法復原帳戶。
• 在意外情況期間 (例如自然災害緊急情況)，行動電話或其他網路可能無法使用。
• 如果全域管理員和特殊許可權角色管理員角色的角色指派符合資格，則啟用需要核准，但不會選取核准者（或從目錄中移除所有核准者）。 活躍的全域管理員和受權的角色管理員是預設核准者。 但是，除非使用緊急存取帳戶，否則不會有作用中的全域管理員與特權角色管理員，並且租用戶的系統管理將事實上被鎖定。

建立緊急存取帳戶

建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 *.onmicrosoft.com 網域的雲端限定帳戶，而且未與內部部署環境同盟或同步。 概括而言，請遵循下列步驟。

1. 尋找您現有的緊急存取帳戶，或使用全域管理員角色建立新帳戶。

   

2. 為您的緊急存取帳戶選取其中一個無密碼驗證方法。 這些方法符合 強制多重要素驗證需求。

   • 通行碼（FIDO2） （建議）
   • 如果您的組織已經有公鑰基礎結構 （PKI） 設定，憑證式驗證

3. 設定緊急存取帳戶 使用無密碼驗證。

   • 為貴組織啟用密鑰（FIDO2）
   • 註冊通行密鑰 （FIDO2）
   • 設定憑證式驗證

4. 對所有緊急帳戶，要求使用具備防範網路釣魚功能的多重驗證。

5. 安全地儲存帳戶認證。

6. 監視登入與稽核記錄。

7. 定期驗證帳戶。

設定需求

當您設定這些帳戶時，必須符合下列需求：

• 在大部分組織中，緊急存取帳戶不會與組織中的任何個別使用者相關聯。 憑證位於系統管理團隊中的多位成員可存取的已知安全位置，且未與任何員工提供的裝置連接，例如行動電話。 這種方法通常用來統一緊急存取帳戶管理：大部分的組織不僅需要Microsoft雲端基礎結構的緊急存取帳戶，而且需要內部部署環境、同盟 SaaS 應用程式和其他重要系統。

  或者，您可以選擇為系統管理員建立個別的緊急存取帳戶。 此解決方案可提升責任，並允許系統管理員從遠端位置使用緊急存取帳戶。

• 針對緊急存取帳戶使用強身份驗證，並確定它不會使用與其他系統管理帳戶相同的驗證方法。 例如，如果您的一般系統管理員帳戶使用 Microsoft Authenticator 應用程式進行增強式驗證，請針對您的緊急帳戶使用 FIDO2 安全性金鑰。 請考量各種驗證方法的相依性，以避免在驗證流程中加入外部需求。

• 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。

• 在 Microsoft Entra Privileged Identity Management 中，您應該將全域管理員角色指派設為永久作用中，而不是僅為緊急存取帳戶設為可啟用。

• 獲授權使用這些緊急存取帳戶的個人必須利用指定的安全工作站或類似的用戶端運算環境，例如特殊許可權存取工作站。 與緊急存取帳戶互動時，應採用這些工作站。 如需設定有指定工作站的 Microsoft Entra 租用戶端的詳細資訊，請參閱 部署高權限存取解決方案。

同盟指導

某些組織會使用 Active Directory 網域服務和 Active Directory 同盟服務 （AD FS） 或類似的身分識別提供者來同盟至 Microsoft Entra ID。 內部部署系統的緊急存取和雲端服務的緊急存取應保持不同，彼此不相依。 當系統發生中斷時，對於具有其他系統緊急存取權限之帳戶的主控和或來源驗證，會增加不必要的風險。

安全地儲存帳戶認證

組織需要確保緊急存取帳戶的認證保持在安全狀態，且僅有獲得授權使用的個人知道該認證內容。 例如，您可以使用 FIDO2 安全性密鑰 來搭配 Microsoft Entra ID，或使用智慧卡來搭配 Windows Server Active Directory。 認證應儲存在安全、防火的隔離裝置中，且位於安全、不同的位置。

監視登入與稽核記錄

組織應該監視來自緊急帳戶的登入和稽核記錄活動，並且對其他系統管理員觸發通知。 當您監視緊急存取帳戶的活動時，您可以確認這些帳戶僅用於測試或實際緊急情況。 您可以使用 Azure 監視器、Microsoft Sentinel 或其他工具來監視登入記錄，並在緊急存取帳戶登入時觸發電子郵件和 SMS 警示給系統管理員。 本節說明如何使用 Azure 監視器。

必要條件

• 傳送 Microsoft Entra 登入記錄 至 Azure 監視器。

取得緊急存取帳戶的物件標識碼

1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

3. 搜尋緊急存取帳戶，然後選取用戶的名稱。

4. 複製並儲存物件識別碼屬性，讓您稍後可以使用。

5. 針對第二個緊急存取帳戶重複上述步驟。

建立警示規則

1. 以監視參與者身分登入 Azure 入口網站。

2. 瀏覽至 [監視]>[Log Analytics 工作區]。

3. 選取工作區。

4. 在您的工作區中，選取 [警示]> [新增警示規則]。

   1. 在 [資源] 底下，確認訂用帳戶是您要與警示規則產生關聯的訂用帳戶。

   2. 在 [條件] 底下，選取 [新增]。

   3. 選取 [訊號名稱] 底下的 [自訂記錄搜尋]。

   4. 在 搜尋查詢下，輸入下列查詢，並插入兩個緊急存取帳戶的物件 ID。

      注意

      如需新增您想包含的每個額外緊急存取帳戶，請將另一個 or UserId == "ObjectGuid" 加入查詢中。

      範例查詢：

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. 在 [警示邏輯] 底下輸入下列項目：

      • 依據：結果數目
      • 運算子：大於
      • 閾值：0

   6. 在 [評估根據] 底下，針對要執行查詢多久時間選取 [期間 (以分鐘為單位)]，以及針對執行查詢的頻率選取 [頻率 (以分鐘為單位)]。 頻率應小於或等於期間。

      

   7. 選取完成。 您現在可以看到此警示的每月預估成本。

5. 選取要由警示通知的使用者動作群組。 如果您想要建立一個群組，請參閱建立動作群組。

6. 若要自訂傳送至動作群組成員的電子郵件通知，請選取 [自訂動作] 底下的動作。

7. 在 [警示詳細資料] 底下，指定警示規則名稱並新增選擇性的描述。

8. 設定事件的嚴重性層級。 我們建議您將其設定為 [重大 (嚴重性 0)]。

9. 於 [在建立時啟用規則] 底下，保留其設定為 [是]。

10. 若要將警示關閉一段時間，請選取 [隱藏警示] 核取方塊，輸入再次警示之前的等候持續時間，然後選取 [儲存]。

11. 選取 [建立警示規則]。

建立動作群組

1. 選取 [建立動作群組]。

   

2. 指定動作群組名稱和簡短名稱。

3. 確認訂用帳戶和資源群組。

4. 在動作類型底下，選取 [電子郵件/簡訊/推播/語音]。

5. 輸入動作名稱，例如通知全域管理員。

6. 針對 [動作類型]，選取 [電子郵件/簡訊/推播/語音]。

7. 選取 [編輯詳細資料] 以選取您要設定的通知方法，並輸入必要的連絡人資訊，然後選取 [確定] 以儲存詳細資料。

8. 新增您想要觸發的任何其他動作。

9. 選取 [確定]。

準備事後檢討小組以評估每個緊急存取帳戶憑證的使用情況

如果觸發警示，請保留來自 Microsoft Entra 和其他工作負載的記錄。 對情況和緊急存取帳戶使用結果進行檢閱。 此檢閱將決定是否使用帳戶：

• 計劃性演練以驗證其適用性
• 在實際緊急情況下，當管理員無法使用常用帳戶時
• 或因濫用或未經授權使用帳戶而造成

接下來，檢查記錄檔，以判斷具有緊急存取帳戶的個人採取哪些動作，以確保這些動作與帳戶的授權使用一致。

定期驗證帳戶

除了訓練員工使用緊急存取帳戶外，您也應該有持續程式來驗證緊急存取帳戶仍可供授權人員存取。 應定期進行演練，以驗證帳戶的功能，並確認在帳戶被誤用時，監視和警示規則會被觸發。 下列步驟至少應定期執行：

• 請確定安全性監視人員知道帳戶檢查活動正在進行中。
• 檢閱並更新獲授權使用緊急存取帳戶認證的個人清單。
• 確定要使用這些帳戶的緊急急用程序已記錄下來，而且是最新的。
• 請確定可能需要在緊急情況下執行這些步驟的系統管理員和安全性人員，都已針對此程序進行訓練。
• 驗證緊急存取帳戶是否可以登入並執行系統管理工作。
• 確保使用者未將多重要素驗證或自助式密碼重設（SSPR）註冊到任何個別使用者的裝置或個人詳細資訊。
• 如果帳戶已在裝置上註冊以使用多重要素驗證 (在登入或啟用角色時使用)，請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取該裝置。 另外也請確認裝置已透過至少兩個失敗模式不同的網路路徑進行通訊。 例如，裝置可以透過設施的無線網路和資料格提供者網路來與網際網路通訊。
• 當具備存取權限的人員離開組織後，請更改保險箱的密碼組合，並定期進行更換。

這些步驟應該定期執行，並針對金鑰變更執行:

• 至少每 90 天
• 當 IT 人員發生最近的變動時，例如在解雇或職位變更後
• 當組織中的 Microsoft Entra 訂用帳戶變更時

下一步

• 如何確認用戶已設定為強制 MFA
• 要求針對系統管理員使用防範網路釣魚的多重因素認證
• 在 Microsoft Entra ID 中保護混合式部署和雲端部署的特殊權限存取
• 如果您使用 Microsoft 365，在 Microsoft 365 中為權限角色設定額外保護
• 啟動權限角色的存取權檢閱，並將現有的權限角色指派轉換為更具體的管理員角色