Gérer des comptes d’accès d’urgence dans Azure ADManage emergency access accounts in Azure AD

Il est important d’éviter de bloquer par inadvertance votre organisation Azure Active Directory (Azure AD), car vous ne pouvez pas vous connecter ou activer un autre compte d’utilisateur en tant qu’administrateur.It is important that you prevent being accidentally locked out of your Azure Active Directory (Azure AD) organization because you can't sign in or activate another user's account as an administrator. Vous pouvez pallier l’impact d’un défaut d’accès administratif en créant deux ou plusieurs comptes d’accès d’urgence dans votre organisation.You can mitigate the impact of accidental lack of administrative access by creating two or more emergency access accounts in your organization.

Les comptes d’accès d’urgence sont hautement privilégiés et ne sont pas affectés à des personnes spécifiques.Emergency access accounts are highly privileged, and they are not assigned to specific individuals. Les comptes d’accès d’urgence sont limités à des cas d’urgence ou à des scénarios « de secours » où il est impossible d’utiliser des comptes d’administration normaux.Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used. Nous vous recommandons de vous fixer pour objectif de limiter l’utilisation du compte d’urgence uniquement lorsque cela est strictement nécessaire.We recommend that you maintain a goal of restricting emergency account use to only the times when it is absolutely necessary.

Cet article fournit des instructions pour la gestion des comptes d’accès d’urgence dans Azure AD.This article provides guidelines for managing emergency access accounts in Azure AD.

Pourquoi utiliser un compte d’accès d’urgence ?Why use an emergency access account

Une organisation peut avoir recours à un compte d’accès d’urgence dans les situations décrites ici.An organization might need to use an emergency access account in the following situations:

  • Les comptes d’utilisateurs sont fédérés, et la fédération est actuellement indisponible en raison d’un dysfonctionnement du réseau cellulaire ou d’une panne du fournisseur d’identité.The user accounts are federated, and federation is currently unavailable because of a cell-network break or an identity-provider outage. Par exemple, si l’hôte du fournisseur d’identité dans votre environnement s’est arrêté de fonctionner, les utilisateurs risquent de ne pas pouvoir se connecter lors de la redirection d’Azure AD vers leur fournisseur d’identité.For example, if the identity provider host in your environment has gone down, users might be unable to sign in when Azure AD redirects to their identity provider.
  • Les administrateurs sont inscrits par le biais de l’authentification multifacteur Azure AD. Tous leurs appareils individuels ou le service sont indisponibles.The administrators are registered through Azure AD Multi-Factor Authentication, and all their individual devices are unavailable or the service is unavailable. Les utilisateurs peuvent se retrouver dans l’incapacité de procéder à l’authentification multifacteur pour activer un rôle.Users might be unable to complete Multi-Factor Authentication to activate a role. Par exemple, une panne de réseau cellulaire les empêche de répondre aux appels téléphoniques ou de recevoir des SMS, les deux seuls mécanismes d’authentification à leur disposition qu’ils ont enregistrés pour leur appareil.For example, a cell network outage is preventing them from answering phone calls or receiving text messages, the only two authentication mechanisms that they registered for their device.
  • La personne disposant de l’accès administrateur général le plus récent a quitté l’organisation.The person with the most recent Global Administrator access has left the organization. Azure AD empêche la suppression du dernier compte d’administrateur général, mais n’empêche pas ce compte d’être supprimé ou désactivé localement.Azure AD prevents the last Global Administrator account from being deleted, but it does not prevent the account from being deleted or disabled on-premises. Chacune de ces situations peut rendre impossible la récupération du compte par l’organisation.Either situation might make the organization unable to recover the account.
  • Un événement imprévu, comme une catastrophe naturelle, au cours duquel les téléphones mobiles ou d’autres réseaux sont indisponibles.Unforeseen circumstances such as a natural disaster emergency, during which a mobile phone or other networks might be unavailable.

Créer des comptes d’accès d’urgenceCreate emergency access accounts

Créez plusieurs comptes d’accès d’urgence.Create two or more emergency access accounts. Ces comptes doivent être des comptes uniquement cloud utilisant le domaine *. onmicrosoft.com, et ne pas être fédérés ou synchronisés à partir d’un environnement local.These accounts should be cloud-only accounts that use the *.onmicrosoft.com domain and that are not federated or synchronized from an on-premises environment.

Lors de la configuration de ces comptes, les conditions suivantes doivent être remplies :When configuring these accounts, the following requirements must be met:

  • Les comptes d’accès d’urgence ne doivent être associés à aucun utilisateur au sein de l’organisation.The emergency access accounts should not be associated with any individual user in the organization. Veillez à ce que vos comptes d’accès d’urgence ne soient pas connectés à un matériel fourni à un employé et voyageant avec celui-ci, tel un téléphone mobile, un module de sécurité matériel, ou d’autres informations d’identification propres à l’employé.Make sure that your accounts are not connected with any employee-supplied mobile phones, hardware tokens that travel with individual employees, or other employee-specific credentials. Cette précaution de sécurité couvre les cas où un employé n’est pas joignable alors que les informations d’identification doivent être fournies.This precaution covers instances where an individual employee is unreachable when the credential is needed. Il est important de s’assurer que tous les appareils inscrits sont conservés dans un endroit sûr et connu, disposant de plusieurs moyens de communication avec Azure AD.It is important to ensure that any registered devices are kept in a known, secure location that has multiple means of communicating with Azure AD.
  • Le mécanisme d’authentification utilisé pour un compte d’accès d’urgence doit être distinct de celui utilisé par d’autres comptes administratifs, y compris d’autres comptes d’accès d’urgence.The authentication mechanism used for an emergency access account should be distinct from that used by your other administrative accounts, including other emergency access accounts. Par exemple, si votre administrateur normal se connecte par authentification MFA locale, l’authentification multifacteur Azure AD sera un mécanisme différent.For example, if your normal administrator sign-in is via on-premises MFA, then Azure AD MFA would be a different mechanism. En revanche, si l’authentification multifacteur Azure AD est votre principal composant d’authentification pour vos comptes administratifs, envisagez une approche différente pour ces derniers, par exemple l’accès conditionnel avec un fournisseur MFA tiers au moyen de contrôles personnalisés.However if Azure AD MFA is your primary part of authentication for your administrative accounts, then consider a different approach for these, such as using Conditional Access with a third-party MFA provider via Custom controls.
  • L’appareil ou les informations d’identification ne doivent pas expirer ou faire potentiellement l’objet d’un nettoyage automatisé en raison d’une utilisation insuffisante.The device or credential must not expire or be in scope of automated cleanup due to lack of use.
  • Vous devez rendre l’attribution de rôle d’administrateur général permanente pour vos comptes d’accès d’urgence.You should make the Global Administrator role assignment permanent for your emergency access accounts.

Exclure au moins un compte de l’authentification multifacteur par téléphoneExclude at least one account from phone-based multi-factor authentication

Afin de réduire le risque d’attaques résultant d’un mot de passe compromis, Azure AD recommande de généraliser l’authentification multifacteur pour tous les utilisateurs.To reduce the risk of an attack resulting from a compromised password, Azure AD recommends that you require multi-factor authentication for all individual users. Ce groupe inclut les administrateurs et tous les autres utilisateurs (par exemple, les responsables financiers) dont un compte compromis aurait un impact important.This group includes administrators and all others (for example, financial officers) whose compromised account would have a significant impact.

Cependant, au moins un de vos comptes d’accès d’urgence ne doit pas avoir le même mécanisme d’authentification multifacteur que vos autres comptes non dédiés à l’accès d’urgence.However, at least one of your emergency access accounts should not have the same multi-factor authentication mechanism as your other non-emergency accounts. Cela inclut les solutions d’authentification multifacteur tierces.This includes third-party multi-factor authentication solutions. Si vous avez une stratégie d’accès conditionnel qui impose l’authentification multifacteur à chaque administrateur pour Azure AD et d’autres applications SaaS connectées, vous devez soustraire les comptes d’accès d’urgence de cette exigence et configurer un autre mécanisme à la place.If you have a Conditional Access policy to require multi-factor authentication for every administrator for Azure AD and other connected software as a service (SaaS) apps, you should exclude emergency access accounts from this requirement, and configure a different mechanism instead. Vous devez en outre vous assurer que les comptes ne font pas l’objet d’une stratégie d’authentification multifacteur par utilisateur.Additionally, you should make sure the accounts do not have a per-user multi-factor authentication policy.

Exclure au moins un compte des stratégies d’accès conditionnelExclude at least one account from Conditional Access policies

En cas d’urgence, vous ne souhaitez pas qu’une stratégie risque de vous empêcher d’accéder pour résoudre un problème.During an emergency, you do not want a policy to potentially block your access to fix an issue. Au moins un compte d’accès d’urgence doit être exclu de toutes les stratégies d’accès conditionnel.At least one emergency access account should be excluded from all Conditional Access policies.

Conseils sur la fédérationFederation guidance

Une option supplémentaire pour les organisations qui utilisent Azure AD Domain Services et ADFS ou un fournisseur d’identité similaire pour fédérer sur Azure AD, consiste à configurer un compte d’accès d’urgence dont la revendication MFA pourrait être fournie par ce fournisseur d’identité.An additional option for organizations that use AD Domain Services and ADFS or similar identity provider to federate to Azure AD, is to configure an emergency access account whose MFA claim could be supplied by that identity provider. Par exemple, le compte d’accès d’urgence pourrait s’appuyer sur un certificat et une paire de clés stockée sur une carte à puce.For example, the emergency access account could be backed by a certificate and key pair such as one stored on a smartcard. Quand cet utilisateur est authentifié auprès d’AD, ADFS peut transmettre une revendication à Azure AD, indiquant que l’utilisateur a satisfait aux exigences de MFA.When that user is authenticated to AD, ADFS can supply a claim to Azure AD indicating that the user has met MFA requirements. Même avec cette approche, les organisations doivent toujours disposer de comptes d’accès d’urgence basés sur le cloud au cas où une fédération ne pourrait pas être établie.Even with this approach, organizations must still have cloud-based emergency access accounts in case federation cannot be established.

Stocker les informations d’identification de compte en toute sécuritéStore account credentials safely

Les organisations sont tenues de garantir la sécurisation des informations d’identification pour les comptes d’accès d’urgence, et une confidentialité limitée aux seules personnes autorisées à les utiliser.Organizations need to ensure that the credentials for emergency access accounts are kept secure and known only to individuals who are authorized to use them. Certains clients utilisent une carte à puce, et d’autres des mots de passe.Some customers use a smartcard and others use passwords. Un mot de passe pour un compte d’accès d’urgence se divise généralement en deux ou trois parties notées sur des feuilles de papier séparées, et stockées dans des coffres-forts ignifuges installés dans des endroits distincts et sécurisés.A password for an emergency access account is usually separated into two or three parts, written on separate pieces of paper, and stored in secure, fireproof safes that are in secure, separate locations.

Si vous utilisez des mots de passe, assurez-vous que les comptes ont des mots de passe forts qui n’expirent pas.If using passwords, make sure the accounts have strong passwords that do not expire the password. Idéalement, les mots de passe doivent comprendre au moins 16 caractères générés de façon aléatoire.Ideally, the passwords should be at least 16 characters long and randomly generated.

Surveiller les journaux de connexion et d’auditMonitor sign-in and audit logs

Les organisations doivent surveiller l’activité de connexion et du journal d’audit à partir des comptes d’urgence et déclencher des notifications à d’autres administrateurs.Organizations should monitor sign-in and audit log activity from the emergency accounts and trigger notifications to other administrators. Lorsque vous surveillez l’activité sur des comptes d’urgence, vous pouvez vérifier que ces comptes sont utilisés uniquement pour les tests ou les urgences réelles.When you monitor the activity on break glass accounts, you can verify these accounts are only used for testing or actual emergencies. Vous pouvez utiliser Azure Log Analytics pour surveiller les journaux de connexion et déclencher des alertes par e-mail et SMS à vos administrateurs à chaque fois que des comptes d’urgence se connectent.You can use Azure Log Analytics to monitor the sign-in logs and trigger email and SMS alerts to your admins whenever break glass accounts sign in.

PrérequisPrerequisites

  1. Envoyez les journaux de connexion Azure AD à Azure Monitor.Send Azure AD sign-in logs to Azure Monitor.

Obtenir les ID d’objet des comptes de secoursObtain Object IDs of the break glass accounts

  1. Connectez-vous au portail Azure en utilisant un compte attribué au rôle Administrateur d’utilisateurs.Sign in to the Azure portal with an account assigned to the User administrator role.
  2. Sélectionnez Azure Active Directory > Utilisateurs.Select Azure Active Directory > Users.
  3. Recherchez le compte de secours et sélectionnez le nom de l’utilisateur.Search for the break-glass account and select the user’s name.
  4. Copiez et enregistrez l’attribut ID d’objet afin de pouvoir l’utiliser ultérieurement.Copy and save the Object ID attribute so that you can use it later.
  5. Répétez les étapes précédentes pour le deuxième compte de secours.Repeat previous steps for second break-glass account.

Création d'une règle d'alerteCreate an alert rule

  1. Connectez-vous au portail Azure en utilisant un compte attribué au rôle Contributeur de surveillance dans Azure Monitor.Sign in to the Azure portal with an account assigned to the Monitoring Contributor role in Azure Monitor.
  2. Sélectionnez Tous les services, entrez « log analytics » dans Rechercher, puis sélectionnez Espaces de travail Log Analytics.Select All services", enter "log analytics" in Search and then select Log Analytics workspaces.
  3. Sélectionnez un espace de travail.Select a workspace.
  4. Dans votre espace de travail, sélectionnez Alertes > Nouvelle règle d’alerte.In your workspace, select Alerts > New alert rule.
    1. Sous Ressource, vérifiez que l’abonnement est celui auquel vous souhaitez associer la règle d’alerte.Under Resource, verify that the subscription is the one with which you want to associate the alert rule.

    2. Sous Condition, sélectionnez Ajouter.Under Condition, select Add.

    3. Sélectionnez Recherche de journal personnalisée sous Nom du signal.Select Custom log search under Signal name.

    4. Sous Requête de recherche, entrez la requête suivante, en insérant les ID d’objet des deux comptes de secours.Under Search query, enter the following query, inserting the object IDs of the two break glass accounts.

      Nota

      Pour chaque compte de secours supplémentaire que vous souhaitez inclure, ajoutez une autre valeur « or UserId == "ObjectGuid" » à la requête.For each additional break glass account you want to include, add another "or UserId == "ObjectGuid"" to the query.

      Ajouter les ID d’objet des comptes de secours à une règle d’alerte

    5. Sous Logique d’alerte, entrez ce qui suit :Under Alert logic, enter the following:

      • Basé sur : Nombre de résultatsBased on: Number of results
      • Opérateur : Supérieur àOperator: Greater than
      • Valeur de seuil : 0Threshold value: 0
    6. Sous Évalué en fonction de, sélectionnez Durée (en minutes) pour indiquer la durée pendant laquelle la requête doit s’exécuter et Fréquence (en minutes) pour indiquer à quelle fréquence la requête doit s’exécuter.Under Evaluated based on, select the Period (in minutes) for how long you want the query to run, and the Frequency (in minutes) for how often you want the query to run. La fréquence doit être inférieure ou égale à la durée.The frequency should be less than or equal to the period.

      logique d’alerte

    7. Sélectionnez Terminé.Select Done. Vous pouvez maintenant voir le coût mensuel estimé de cette alerte.You may now view the estimated monthly cost of this alert.

  5. Sélectionnez un groupe d’actions d’utilisateurs devant être avertis par l’alerte.Select an action group of users to be notified by the alert. Si vous souhaitez en créer un, consultez Créer un groupe d’actions.If you want to create one, see Create an action group.
  6. Pour personnaliser les notifications par e-mail envoyées aux membres du groupe d’actions, sélectionnez Actions sous Personnaliser les actions.To customize the email notification sent to the members of the action group, select actions under Customize Actions.
  7. Sous Détails de l’alerte, spécifiez le nom de la règle d’alerte et ajoutez une description facultative.Under Alert Details, specify the alert rule name and add an optional description.
  8. Définissez le Niveau de gravité de l’événement.Set the Severity level of the event. Nous vous recommandons de le définir sur Critique(Grav 0) .We recommend that you set it to Critical(Sev 0).
  9. Sous Activer la règle lors de la création, conserver la valeur Oui.Under Enable rule upon creation, leave it set as yes.
  10. Pour désactiver les alertes pendant un certain temps, activez la case à cocher Supprimer les alertes et entrez la durée d’attente avant que les alertes ne soient à nouveau activées, puis sélectionnez Enregistrer.To turn off alerts for a while, select the Suppress Alerts check box and enter the wait duration before alerting again, and then select Save.
  11. Cliquez sur Créer une règle d'alerte.Click Create alert rule.

Créer un groupe d’actionsCreate an action group

  1. Sélectionnez Créer un groupe d’actions.Select Create an action group.

    créer un groupe d’actions pour les actions de notification

  2. Entrez le nom du groupe d’actions et un nom court.Enter the action group name and a short name.

  3. Vérifiez l’abonnement et le groupe de ressources.Verify the subscription and resource group.

  4. Sous le type d’action, sélectionnez E-mail/SMS/Push/Voix.Under action type, select Email/SMS/Push/Voice.

  5. Entrez un nom d’action, par exemple Avertir l’administrateur général.Enter an action name such as Notify global admin.

  6. Sélectionnez le Type d’action E-mail/SMS/Push/Voix.Select the Action Type as Email/SMS/Push/Voice.

  7. Sélectionnez Modifier les détails pour sélectionner les méthodes de notification que vous souhaitez configurer, puis entrez les coordonnées requises et cliquez sur OK pour enregistrer les détails.Select Edit details to select the notification methods you want to configure and enter the required contact information, and then select Ok to save the details.

  8. Ajoutez toutes les actions supplémentaires que vous souhaitez déclencher.Add any additional actions you want to trigger.

  9. Sélectionnez OK.Select OK.

Valider régulièrement les comptesValidate accounts regularly

Lorsque vous formez les membres du personnel à l’utilisation et à la validation des comptes d’accès d’urgence, suivez au moins les procédures suivantes à intervalles réguliers :When you train staff members to use emergency access accounts and validate the emergency access accounts, at minimum do the following steps at regular intervals:

  • Assurez-vous que les agents de la surveillance et de la sécurité sont informés que l’activité de vérification du compte est permanente.Ensure that security-monitoring staff are aware that the account-check activity is ongoing.
  • Assurez-vous que le processus de secours permettant d’utiliser ces comptes est documenté et à jour.Ensure that the emergency break glass process to use these accounts is documented and current.
  • Assurez-vous que les administrateurs et les responsables de la sécurité susceptibles de devoir suivre ces étapes en cas d’urgence sont formés au processus.Ensure that administrators and security officers who might need to perform these steps during an emergency are trained on the process.
  • Mettez à jour les informations d’identification de compte, en particulier les mots de passe, pour vos comptes d’accès d’urgence, puis confirmez que ceux-ci peuvent se connecter et effectuer des tâches administratives.Update the account credentials, in particular any passwords, for your emergency access accounts, and then validate that the emergency access accounts can sign-in and perform administrative tasks.
  • Assurez-vous que les utilisateurs n’ont pas enregistré d’authentification multifacteur ou de réinitialisation de mot de passe en libre-service (SSPR) sur un appareil individuel ou dans des informations personnelles.Ensure that users have not registered Multi-Factor Authentication or self-service password reset (SSPR) to any individual user’s device or personal details.
  • Si les comptes sont inscrits pour une authentification multifacteur sur un appareil, en vue de servir pendant la connexion ou l’activation de rôle, vérifiez que tous les administrateurs susceptibles d’utiliser l’appareil en cas d’urgence ont accès à celui-ci.If the accounts are registered for Multi-Factor Authentication to a device, for use during sign-in or role activation, ensure that the device is accessible to all administrators who might need to use it during an emergency. Vérifiez également que l’appareil peut communiquer via au moins deux chemins d’accès réseau qui ne partagent pas un mode d’échec commun.Also verify that the device can communicate through at least two network paths that do not share a common failure mode. Par exemple, l’appareil doit être capable de communiquer sur internet via le réseau sans fil d’une installation et le réseau d’un fournisseur de données cellulaires.For example, the device can communicate to the internet through both a facility's wireless network and a cell provider network.

Ces étapes doivent être effectuées à intervalles réguliers et pour les principaux changements :These steps should be performed at regular intervals and for key changes:

  • Au moins tous les 90 joursAt least every 90 days
  • En cas de remaniement récent de l’équipe informatique, par exemple suite à un changement de poste, à un départ ou à l’arrivée d’un nouvel employéWhen there has been a recent change in IT staff, such as a job change, a departure, or a new hire
  • Lorsque les abonnements Azure AD de l’organisation changentWhen the Azure AD subscriptions in the organization have changed

Étapes suivantesNext steps