Gestire gli account di accesso di emergenza in Azure AD

È importante evitare di restare accidentalmente bloccati fuori dalla propria organizzazione di Azure Active Directory (Azure AD) perché non è possibile accedere o attivare l'account di un altro utente come amministratore. È possibile ridurre l'impatto di una accidentale mancanza di accesso amministrativo creando due o più account di accesso di emergenza nell'organizzazione.

Gli account di accesso di emergenza hanno privilegi elevati e non sono assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi. Consigliamo di mantenere l'impegno di limitare l'uso dell'account di emergenza solo ai casi strettamente necessari.

Questo articolo fornisce indicazioni per la gestione degli account di accesso di emergenza in Azure AD.

Perché usare un account di accesso di emergenza

Per un'organizzazione può essere necessario usare un account di accesso di emergenza nelle situazioni seguenti:

  • Gli account utente sono federati e la federazione non è attualmente disponibile a causa di un'interruzione del funzionamento della rete cellulare o di un problema tecnico del provider di identità. Se ad esempio l'host del provider di identità dell'ambiente è stato disattivato, gli utenti potrebbero non essere in grado di effettuare l'accesso quando Azure AD li reindirizza al provider di identità.
  • Gli amministratori sono registrati tramite Azure AD Multi-Factor Authentication e tutti i loro dispositivi non sono disponibili oppure il servizio non è disponibile. Gli utenti potrebbero non essere in grado di completare l'autenticazione a più fattori per attivare un ruolo. Ad esempio, un'interruzione del funzionamento della rete cellulare può impedire di rispondere alle chiamate telefoniche o di ricevere SMS, gli unici due meccanismi di autenticazione registrati per il dispositivo.
  • L'utente con l'accesso di amministratore globale più recente ha lasciato l'organizzazione. Azure Active Directory impedisce l'eliminazione dell'ultimo account di amministratore globale, ma non impedisce l'eliminazione o la disabilitazione dell'account a livello locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.
  • Circostanze impreviste come una calamità naturale durante la quale la rete cellulare o altre reti potrebbero non essere disponibili.

Creare account di accesso di emergenza

Creare due o più account di accesso di emergenza. Questi account devono essere account solo cloud che usano il dominio *.onmicrosoft.com e che non sono federati o sincronizzati da un ambiente locale.

Come creare un account di accesso di emergenza

  1. Accedere all'interfaccia di amministrazione di portale di Azure o di Azure AD come amministratore globale esistente.

  2. Selezionare gli utenti di >Azure Active Directory.

  3. Selezionare Nuovo utente.

  4. Selezionare Create user (Crea utente).

  5. Assegnare all'account un nome utente.

  6. Assegnare un nome all'account.

  7. Creare una password lunga e complessa per l'account.

  8. In Ruoli assegnare il ruolo di amministratore globale .

  9. In Località di utilizzo selezionare la posizione appropriata.

    Creating an emergency access account in Azure AD.

  10. Selezionare Crea.

  11. Archiviare le credenziali dell'account in modo sicuro.

  12. Monitorare i log di accesso e di controllo.

  13. Convalidare regolarmente gli account.

Durante la configurazione di questi account, devono essere soddisfatti i requisiti seguenti:

  • Gli account di accesso di emergenza non devono essere associati a un utente specifico dell'organizzazione. Assicurarsi che gli account non siano connessi a cellulari forniti ai dipendenti, token hardware che viaggiano con i singoli dipendenti o altre credenziali specifiche del dipendente. Questa precauzione consente di affrontare le situazioni in cui un singolo dipendente è irraggiungibile quando sono necessarie le credenziali. È importante verificare che tutti i dispositivi registrati vengano conservati in una posizione nota e sicura con più mezzi di comunicazione con Azure AD.
  • Usare l'autenticazione avanzata per gli account di accesso di emergenza e assicurarsi che non usi gli stessi metodi di autenticazione degli altri account amministrativi. Ad esempio, se l'account amministratore normale usa l'app Microsoft Authenticator per l'autenticazione avanzata, usare una chiave di sicurezza FIDO2 per gli account di emergenza. Prendere in considerazione le dipendenze di vari metodi di autenticazione per evitare di aggiungere requisiti esterni nel processo di autenticazione.
  • Il dispositivo o le credenziali non devono scadere o trovarsi nell'ambito della pulizia automatica per mancanza di utilizzo.
  • In Azure AD Privileged Identity Management è necessario rendere permanente l'assegnazione di ruolo Amministratore globale anziché essere idonea per gli account di accesso di emergenza.

Escludere almeno un account dall'autenticazione a più fattori basata su telefono

Per ridurre il rischio di attacchi derivanti da una password compromessa, in Azure AD è consigliabile richiedere l'autenticazione a più fattori per tutti gli utenti singoli. Questo gruppo include gli amministratori e tutti gli altri utenti (ad esempio dirigenti del reparto finanziario) per cui un account compromesso avrebbe un impatto significativo.

Tuttavia, almeno uno degli account di accesso di emergenza deve avere un meccanismo di autenticazione a più fattori diverso rispetto agli altri account non di emergenza. Questo include le soluzioni di autenticazione a più fattori di terze parti. Se si hanno criteri di Accesso condizionale per richiedere l'autenticazione a più fattori per ogni amministratore per Azure AD e altre app connesse in modalità SaaS, è opportuno escludere gli account di accesso di emergenza da questo requisito e configurare un meccanismo diverso. Inoltre, assicurarsi che gli account non abbiano criteri di autenticazione a più fattori per utente.

Escludere almeno un account dai criteri di Accesso condizionale

Durante un'emergenza, non è desiderabile che un criterio possa potenzialmente bloccare l'accesso necessario per risolvere un problema. Se si usa l'accesso condizionale, è necessario escludere almeno un account di accesso di emergenza da tutti i criteri di accesso condizionale.

Linee guida per la federazione

Alcune organizzazioni usano Servizi di dominio Active Directory e AD FS o un provider di identità simile per eseguire la federazione per Azure AD. L'accesso di emergenza per i sistemi locali e l'accesso di emergenza per i servizi cloud devono essere mantenuti distinti, senza alcuna dipendenza da uno dall'altro. La gestione e l'origine dell'autenticazione per gli account con privilegi di accesso di emergenza da altri sistemi comportano rischi non necessari in caso di interruzione di tali sistemi.

Archiviare le credenziali dell'account in sicurezza

Le organizzazioni devono garantire che le credenziali per gli account di accesso di emergenza siano sempre conservate in modo sicuro e siano note solo a coloro che sono autorizzati a usarle. Alcuni clienti usano una smart card, mentre altri usano password. Una password per un account di accesso di emergenza in genere è suddivisa in due o tre parti, scritte su pezzi di carta separati e archiviate in casseforti a prova di fuoco in luoghi sicuri e separati.

Se si usano password, assicurarsi che gli account abbiano password complesse senza scadenza. Idealmente, le password devono contenere almeno 16 caratteri generati in modo casuale.

Monitorare i log di accesso e di controllo

Le organizzazioni devono monitorare l'attività del log di accesso e controllo dagli account di emergenza e attivare le notifiche ad altri amministratori. Quando si monitora l'attività sugli account critici, è possibile verificare che questi account vengano usati solo per i test o per le emergenze effettive. È possibile usare Log Analytics di Azure per monitorare i log di accesso e attivare gli avvisi di posta elettronica e SMS agli amministratori ogni volta che gli account critici effettuano l'accesso.

Prerequisiti

  1. Inviare i log di accesso Azure AD a Monitoraggio di Azure.

Ottenere gli ID oggetto degli account critici

  1. Accedere all'interfaccia di amministrazione portale di Azure o Azure AD con un account assegnato al ruolo Amministratore utenti.

  2. Selezionare gli utenti di >Azure Active Directory.

  3. Cercare l'account critico e selezionare il nome dell'utente.

  4. Copiare e salvare l'attributo ID oggetto in modo da poterlo usare in un secondo momento.

  5. Ripetere i passaggi precedenti per il secondo account critico.

Creare una regola di avviso

  1. Accedere al portale di Azure con un account assegnato al ruolo Collaboratore monitoraggio in Monitoraggio di Azure.
  2. Selezionare Tutti i servizi, immettere "log analytics" in Cerca e quindi selezionare Aree di lavoro Log Analytics.
  3. Selezionare un'area di lavoro.
  4. Nell'area di lavoro selezionare Avvisi>Nuova regola di avviso.
    1. In Risorsa verificare che la sottoscrizione sia quella a cui si vuole associare la regola di avviso.

    2. In Condizione selezionare Aggiungi.

    3. In Nome segnale selezionare Ricerca log personalizzata.

    4. In Query di ricerca immettere la query seguente, inserendo gli ID oggetto dei due account critici.

      Nota

      Per ogni account critico aggiuntivo che si desidera includere, aggiungere un altro "or UserId ==" ObjectGuid"" alla query.

      Query di esempio:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Add the object IDs of the break glass accounts to an alert rule

    5. In Logica avvisi immettere quanto segue:

      • In base a: Numero di risultati
      • Operator: Maggiore di
      • Valore soglia: 0
    6. In Valutati in base a, selezionare il Periodo (in minuti) per il periodo di tempo in cui si desidera eseguire la query e la Frequenza (in minuti) per la frequenza con cui si desidera eseguire la query. La frequenza deve essere minore o uguale al periodo di ricerca.

      alert logic

    7. Selezionare Operazione completata. È ora possibile visualizzare il costo mensile stimato di questo avviso.

  5. Selezionare un gruppo di azioni di utenti a cui inviare una notifica tramite l'avviso. Se si desidera crearne uno, vedere Creare un gruppo di azioni.
  6. Per personalizzare la notifica di posta elettronica inviata ai membri del gruppo di azioni, selezionare azioni in Personalizza azioni.
  7. In Dettagli avviso specificare il nome della regola di avviso e aggiungere una descrizione facoltativa.
  8. Impostare il Livello di gravità dell'evento. È consigliabile impostarlo su Critico (gravità 0) .
  9. In Abilita regola al momento della creazione lasciarla impostata come .
  10. Per disattivare gli avvisi per un periodo di tempo, selezionare la casella di controllo Non visualizzare avvisi e immettere la durata di attesa prima di ripetere l'avviso e quindi selezionare Salva.
  11. Fare clic su Crea regola di avviso.

Creare un gruppo di azioni

  1. Selezionare Crea un gruppo di azioni.

    create an action group for notification actions

  2. Specificare il nome gruppo di azioni e il nome breve.

  3. Verificare la sottoscrizione e il gruppo di risorse.

  4. In tipo di azione selezionare Posta elettronica/SMS/Push/Voce.

  5. Immettere un nome di azione, ad esempio Notifica amministratore globale.

  6. Selezionare Tipo di azione come Posta elettronica/SMS/Push/Voce.

  7. Selezionare Modifica dettagli per selezionare i metodi di notifica che si desidera configurare e immettere le informazioni di contatto necessarie, quindi selezionare Ok per salvare i dettagli.

  8. Aggiungere eventuali azioni aggiuntive che si desidera attivare.

  9. Selezionare OK.

Convalidare gli account regolarmente

Quando si formano i membri del personale per l'uso degli account di accesso di emergenza e convalidare gli account di accesso di emergenza, eseguire almeno i passaggi seguenti a intervalli regolari:

  • Assicurarsi che il personale che monitora la sicurezza sia informato che l'attività di verifica degli account è in corso.
  • Assicurarsi che il processo per gli scenari di emergenza per usare questi account sia documentato e corrente.
  • Assicurarsi che gli amministratori e i responsabili della sicurezza che potrebbero dover eseguire queste procedure durante un'emergenza siano formati sul processo.
  • Aggiornare le credenziali dell'account, in particolare le password, per gli account di accesso di emergenza e quindi verificare che gli account di accesso di emergenza possano accedere ed eseguire attività amministrative.
  • Verificare che gli utenti non abbiano l'autenticazione a più fattori o la reimpostazione della password self-service (SSPR) per qualsiasi dispositivo utente o per le informazioni personali.
  • Se gli account sono registrati per l'autenticazione a più fattori per un dispositivo da usare durante l'accesso o l'attivazione del ruolo, assicurarsi che il dispositivo sia accessibile a tutti gli amministratori che potrebbero aver bisogno di usarlo durante un'emergenza. Verificare inoltre che il dispositivo possa comunicare tramite almeno due percorsi di rete che non condividono una modalità di errore comune. Ad esempio, il dispositivo può comunicare con Internet tramite la rete wireless di una struttura e una rete cellulare.

Questi passaggi devono essere eseguiti a intervalli regolari e per le modifiche chiave:

  • Almeno ogni 90 giorni
  • In caso di modifica recente del personale IT, ad esempio per un cambio di mansione, una partenza o una nuova assunzione
  • Quando le sottoscrizioni di Azure AD dell'organizzazione sono cambiate

Passaggi successivi