建立並管理緊急存取帳戶

  • 7 分鐘

請務必防止意外鎖定您的 Microsoft Entra ID。 使用 Microsoft Entra ID,您無法以系統管理員身分登入或啟用其他使用者帳戶。 您可以降低意外缺乏管理存取權的可能性。 祕密會在您組織中建立兩個以上的「緊急存取帳戶」

緊急存取帳戶具有高度特殊權限,且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「緊急 (breal glass)」案例。 建議您限制緊急帳戶的存取權。 僅在必要時使用帳戶。

本文提供在 Microsoft Entra ID 中管理緊急存取帳戶的指導方針。

為什麼要使用緊急存取帳戶

在下列情況下,組織可能需要使用緊急存取帳戶:

  • 使用者帳戶已同盟,且同盟目前因數據格網路中斷或身分識別提供者中斷而無法使用。 例如,如果環境中的識別提供者主機已關閉,則當 Microsoft Entra ID 重新導向至其識別提供者時,使用者可能無法登入。
  • 系統管理員已透過 Microsoft Entra 多重要素驗證註冊。 所有個人設備均無法使用或服務無法使用。 使用者可能無法完成多重要素驗證來啟動角色。 例如,手機網路中斷導致其無法接聽電話或接收文字簡訊。 特別是當這些身分驗證方法是他們已註冊的僅有兩種身分驗證機制時。
  • 具有最新全域系統管理員存取權的人員已離開組織。 Microsoft Entra ID 可防止最後一個全域系統管理員帳戶遭到刪除,但不會防止帳戶刪除或停用內部部署。 這兩種情況任一種都可能導致組織無法復原帳戶。
  • 在意外情況期間 (例如自然災害緊急情況),行動電話或其他網路可能無法使用。

建立緊急存取帳戶

建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 .onmicrosoft.com 網域的雲端限定帳戶,且未與內部部署環境同盟或同步。

與系統管理員設定緊急帳戶時,必須符合下列需求:

  • 緊急存取帳戶不應與組織中的任何個別使用者相關聯。 請確定您的帳戶未與任何員工提供的行動電話、隨個別員工旅行的硬體權杖或其他員工特定認證連結。 此預防措施涵蓋需要認證時無法連線到個別員工的情況。 任何已註冊裝置都必須保留在已知的安全位置。 這些位置需要多種與 Microsoft Entra ID 通訊的方式。
  • 用於緊急存取帳戶的身分驗證機制應有所不同。 緊急存取帳戶應使用單獨的身分驗證機制,不應與其他系統管理帳戶相同 (包括其他緊急存取帳戶)。 例如,如果您的一般系統管理員登入是透過內部部署 MFA,則多重要素驗證將會是不同的機制。 不過,如果多重要素驗證是驗證管理帳戶的主要部分,請考慮針對緊急帳戶採用不同方法。 例如,嘗試透過自訂控制項將條件式存取與第三方 MFA 提供者搭配使用。
  • 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。
  • 您應該為緊急存取帳戶永久指派全域系統管理員角色。

從電話型多重要素驗證中排除至少一個帳戶

若要降低因密碼遭入侵而遭受攻擊的風險,Microsoft Entra ID 建議您為所有個別使用者要求多重要素驗證。 這個群組包含管理員和所有其他人員 (例如財務人員),其遭洩漏的帳戶將有很大機會造成傷害。

但是,至少有一個緊急存取帳戶不應該具有與其他非緊急帳戶相同的多重要素驗證機制。 這包括協力廠商多重要素驗證解決方案。 如果您具備條件式存取原則,其針對 Microsoft Entra ID 和其他連線的軟體即服務 (SaaS) 應用程式要求每位管理員進行多重要素驗證,則應該將緊急存取帳戶從此要求中排除,並設定其他機制。 此外,您應該確定帳戶沒有每位使用者的多重要素驗證原則。

從 [條件式存取] 原則中排除至少一個帳戶

在緊急情況下,您不會希望有個可能阻止您進行存取以解決問題的原則。 至少應從所有 [條件式存取] 原則中排除一個緊急存取帳戶。

同盟指導

適用於使用 AD Domain Services 和 ADFS 或類似識別提供者以建立同盟到 Microsoft Entra ID 的組織而言,另一個選項是設定可由該識別提供者提供 MFA 宣告的緊急存取帳戶。 例如,緊急存取帳戶可由憑證和金鑰組支援,例如儲存在智慧卡上的憑證和金鑰組。 當該使用者向 AD 進行驗證時,ADFS 可以向 Microsoft Entra ID 提供宣告,指出使用者已符合 MFA 需求。 即使採用這種方法,組織仍必須擁有雲端式的緊急存取帳戶,以避免無法建立同盟。

監視登入與稽核記錄

組織應該監視來自緊急帳戶的登入和稽核記錄活動,且對其他系統管理員觸發通知。 當監視緊急帳戶的活動時,您可以確認這些帳戶僅用於測試或實際的緊急事件。 您可以使用 Azure Log Analytics 來監視登入記錄,並在每次緊急帳戶登入時,對您的系統管理員觸發電子郵件和 SMS 警示。

定期驗證帳戶

當您訓練員工使用緊急存取帳戶並驗證緊急存取帳戶時,請至少定期執行下列步驟:

  • 確定安全性監控人員了解帳戶檢查活動須持續進行。
  • 確定要使用這些帳戶的緊急急用程序已記錄下來,而且是最新的。
  • 請確定可能需要在緊急情況下執行這些步驟的系統管理員和安全性人員,都已針對此程序進行訓練。
  • 為緊急存取帳戶更新帳戶認證,尤其是任何密碼,然後驗證緊急存取帳戶是否可以登入並執行管理工作。
  • 確定使用者尚未將多重要素驗證或自助式密碼重設 (SSPR) 註冊至任何個別使用者的裝置或個人詳細資料。
  • 如果帳戶已在裝置上註冊以使用多重要素驗證 (在登入或啟用角色時使用),請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取該裝置。 另外也請確認裝置已透過至少兩個失敗模式不同的網路路徑進行通訊。 例如,裝置可以透過設施的無線網路和資料格提供者網路來與網際網路通訊。

這些步驟應該定期執行,並針對金鑰變更執行:

  • 至少每 90 天
  • 當 IT 人員最近發生變更時,例如工作變更、離職或新進員工
  • 當組織中的 Microsoft Entra 訂用帳戶變更時