Noodtoegangsaccounts beheren in Azure ADManage emergency access accounts in Azure AD

Het is belangrijk dat u voorkomt dat u per ongeluk wordt uitgesloten van uw Azure Active Directory-organisatie (Azure AD) omdat u het account van een andere gebruiker niet aanmelden of activeren als beheerder.It is important that you prevent being accidentally locked out of your Azure Active Directory (Azure AD) organization because you can't sign in or activate another user's account as an administrator. U de impact van onbedoeld gebrek aan beheerderstoegang beperken door twee of meer noodtoegangsaccounts in uw organisatie te maken.You can mitigate the impact of accidental lack of administrative access by creating two or more emergency access accounts in your organization.

Noodtoegangsaccounts zijn zeer geprivilegieerd en worden niet toegewezen aan specifieke personen.Emergency access accounts are highly privileged, and they are not assigned to specific individuals. Noodtoegangsaccounts zijn beperkt tot nood- of 'break glass'-scenario's waarbij normale administratieve accounts niet kunnen worden gebruikt.Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used. We raden u aan een doel te handhaven om het gebruik van noodaccounten te beperken tot alleen de tijden waarop dit absoluut noodzakelijk is.We recommend that you maintain a goal of restricting emergency account use to only the times when it is absolutely necessary.

In dit artikel vindt u richtlijnen voor het beheren van noodtoegangsaccounts in Azure AD.This article provides guidelines for managing emergency access accounts in Azure AD.

Waarom een noodtoegangsaccount gebruikenWhy use an emergency access account

Een organisatie moet mogelijk in de volgende situaties een noodtoegangsaccount gebruiken:An organization might need to use an emergency access account in the following situations:

  • De gebruikersaccounts zijn gefedereerd en federatie is momenteel niet beschikbaar vanwege een onderbreking van het mobiele netwerk of een uitval van de identiteitsprovider.The user accounts are federated, and federation is currently unavailable because of a cell-network break or an identity-provider outage. Als de host van de identiteitsprovider in uw omgeving bijvoorbeeld is gedaald, kunnen gebruikers zich mogelijk niet aanmelden wanneer Azure AD wordt omgeleid naar hun identiteitsprovider.For example, if the identity provider host in your environment has gone down, users might be unable to sign in when Azure AD redirects to their identity provider.
  • De beheerders zijn geregistreerd via Azure Multi-Factor Authentication en al hun afzonderlijke apparaten zijn niet beschikbaar of de service is niet beschikbaar.The administrators are registered through Azure Multi-Factor Authentication, and all their individual devices are unavailable or the service is unavailable. Gebruikers kunnen multifactorverificatie mogelijk niet voltooien om een rol te activeren.Users might be unable to complete Multi-Factor Authentication to activate a role. Een storing in het mobiele netwerk verhindert bijvoorbeeld dat ze telefoongesprekken kunnen beantwoorden of sms-berichten kunnen ontvangen, de enige twee verificatiemechanismen die ze voor hun apparaat hebben geregistreerd.For example, a cell network outage is preventing them from answering phone calls or receiving text messages, the only two authentication mechanisms that they registered for their device.
  • De persoon met de meest recente toegang tot globale beheerders heeft de organisatie verlaten.The person with the most recent Global Administrator access has left the organization. Azure AD voorkomt dat het laatste Globale Administrator-account wordt verwijderd, maar voorkomt niet dat het account on-premises wordt verwijderd of uitgeschakeld.Azure AD prevents the last Global Administrator account from being deleted, but it does not prevent the account from being deleted or disabled on-premises. In beide situaties kan de organisatie het account niet kunnen herstellen.Either situation might make the organization unable to recover the account.
  • Onvoorziene omstandigheden zoals een noodsituatie bij natuurrampen, waarbij een mobiele telefoon of andere netwerken mogelijk niet beschikbaar zijn.Unforeseen circumstances such as a natural disaster emergency, during which a mobile phone or other networks might be unavailable.

Accounts voor noodtoegang makenCreate emergency access accounts

Maak twee of meer noodtoegangsaccounts.Create two or more emergency access accounts. Deze accounts moeten alleen in de *cloud accounts zijn die het .onmicrosoft.com-domein gebruiken en die niet worden gefedeerd of gesynchroniseerd vanuit een on-premises omgeving.These accounts should be cloud-only accounts that use the *.onmicrosoft.com domain and that are not federated or synchronized from an on-premises environment.

Bij het configureren van deze accounts moet aan de volgende vereisten worden voldaan:When configuring these accounts, the following requirements must be met:

  • De noodtoegangsaccounts mogen niet worden gekoppeld aan een individuele gebruiker in de organisatie.The emergency access accounts should not be associated with any individual user in the organization. Zorg ervoor dat uw accounts niet zijn gekoppeld aan mobiele telefoons die door werknemers zijn geleverd, hardwaretokens die reizen met individuele werknemers of andere werknemersspecifieke referenties.Make sure that your accounts are not connected with any employee-supplied mobile phones, hardware tokens that travel with individual employees, or other employee-specific credentials. Deze voorzorgsmaatregel heeft betrekking op gevallen waarin een individuele werknemer onbereikbaar is wanneer de referentie nodig is.This precaution covers instances where an individual employee is unreachable when the credential is needed. Het is belangrijk om ervoor te zorgen dat geregistreerde apparaten worden bewaard op een bekende, veilige locatie die meerdere middelen heeft om te communiceren met Azure AD.It is important to ensure that any registered devices are kept in a known, secure location that has multiple means of communicating with Azure AD.
  • Het verificatiemechanisme dat wordt gebruikt voor een account voor noodtoegang moet verschillen van het verificatiemechanisme dat wordt gebruikt door uw andere beheerdersaccounts, waaronder andere accounts voor noodtoegang.The authentication mechanism used for an emergency access account should be distinct from that used by your other administrative accounts, including other emergency access accounts. Als uw normale administratoraanmelding bijvoorbeeld via on-premises MFA is, is Azure MFA een ander mechanisme.For example, if your normal administrator sign-in is via on-premises MFA, then Azure MFA would be a different mechanism. Als Azure MFA echter het primaire onderdeel van de verificatie voor uw beheerdersaccounts is, moet u overwegen om hiervoor een andere benadering te hanteren, zoals het gebruik van voorwaardelijke toegang met een MFA-provider van derden.However if Azure MFA is your primary part of authentication for your administrative accounts, then consider a different approach for these, such as using Conditional Access with a third-party MFA provider.
  • Het apparaat of de referentie mag niet verlopen of in het bereik van geautomatiseerde opruiming als gevolg van gebrek aan gebruik.The device or credential must not expire or be in scope of automated cleanup due to lack of use.
  • U moet de roltoewijzing globale beheerder permanent maken voor uw noodtoegangsaccounts.You should make the Global Administrator role assignment permanent for your emergency access accounts.

Ten minste één account uitsluiten van telefonische multifactorauthenticatieExclude at least one account from phone-based multi-factor authentication

Om het risico op een aanval als gevolg van een gecompromitteerd wachtwoord te verminderen, raadt Azure AD u aan multifactorauthenticatie voor alle individuele gebruikers te vereisen.To reduce the risk of an attack resulting from a compromised password, Azure AD recommends that you require multi-factor authentication for all individual users. Deze groep omvat beheerders en alle anderen (bijvoorbeeld financiële functionarissen) waarvan de gecompromitteerde account een aanzienlijke impact zou hebben.This group includes administrators and all others (for example, financial officers) whose compromised account would have a significant impact.

Ten minste één van uw noodtoegangsaccounts mag echter niet hetzelfde multi-factor authenticatiemechanisme hebben als uw andere niet-noodaccounts.However, at least one of your emergency access accounts should not have the same multi-factor authentication mechanism as your other non-emergency accounts. Dit omvat multifactorauthenticatieoplossingen van derden.This includes third-party multi-factor authentication solutions. Als u een beleid voor voorwaardelijke toegang hebt om multifactorauthenticatie voor elke beheerder voor Azure AD en andere verbonden software-as-a-service-apps (SaaS) te vereisen, moet u noodtoegangsaccounts uitsluiten van deze vereiste en in plaats daarvan een ander mechanisme configureren.If you have a Conditional Access policy to require multi-factor authentication for every administrator for Azure AD and other connected software as a service (SaaS) apps, you should exclude emergency access accounts from this requirement, and configure a different mechanism instead. Bovendien moet u ervoor zorgen dat de accounts geen multi-factor authenticatiebeleid per gebruiker hebben.Additionally, you should make sure the accounts do not have a per-user multi-factor authentication policy.

Ten minste één account uitsluiten van beleid voor voorwaardelijke toegangExclude at least one account from Conditional Access policies

Tijdens een noodsituatie wilt u niet dat een beleid uw toegang om een probleem op te lossen mogelijk blokkeert.During an emergency, you do not want a policy to potentially block your access to fix an issue. Ten minste één account voor noodtoegang moet worden uitgesloten van alle beleid voor voorwaardelijke toegang.At least one emergency access account should be excluded from all Conditional Access policies. Als u een basislijnbeleidhebt ingeschakeld, moet u uw noodtoegangsaccounts uitsluiten.If you have enabled a baseline policy, you should exclude your emergency access accounts.

FederatiebegeleidingFederation guidance

Een extra optie voor organisaties die AD Domain Services en ADFS of vergelijkbare identiteitsprovider gebruiken om te reageren op Azure AD, is het configureren van een account voor noodtoegang waarvan de MFA-claim door die identiteitsprovider kan worden geleverd.An additional option for organizations that use AD Domain Services and ADFS or similar identity provider to federate to Azure AD, is to configure an emergency access account whose MFA claim could be supplied by that identity provider. Het account voor noodtoegang kan bijvoorbeeld worden ondersteund door een certificaat en sleutelpaar, zoals een account dat is opgeslagen op een smartcard.For example, the emergency access account could be backed by a certificate and key pair such as one stored on a smartcard. Wanneer die gebruiker is geverifieerd naar AD, kan ADFS een claim aan Azure AD leveren, waaruit blijkt dat de gebruiker aan de MFA-vereisten heeft voldaan.When that user is authenticated to AD, ADFS can supply a claim to Azure AD indicating that the user has met MFA requirements. Zelfs met deze aanpak moeten organisaties nog steeds cloudgebaseerde noodtoegangsaccounts hebben voor het geval federatie niet kan worden ingesteld.Even with this approach, organizations must still have cloud-based emergency access accounts in case federation cannot be established.

Accountgegevens veilig opslaanStore account credentials safely

Organisaties moeten ervoor zorgen dat de referenties voor noodtoegangsaccounts alleen worden beveiligd en alleen bekend zijn bij personen die gemachtigd zijn om ze te gebruiken.Organizations need to ensure that the credentials for emergency access accounts are kept secure and known only to individuals who are authorized to use them. Sommige klanten gebruiken een smartcard en anderen gebruiken wachtwoorden.Some customers use a smartcard and others use passwords. Een wachtwoord voor een noodtoegangsaccount wordt meestal gescheiden in twee of drie delen, geschreven op afzonderlijke stukken papier en opgeslagen in veilige, brandwerende kluizen die zich op veilige, afzonderlijke locaties bevinden.A password for an emergency access account is usually separated into two or three parts, written on separate pieces of paper, and stored in secure, fireproof safes that are in secure, separate locations.

Als u wachtwoorden gebruikt, moet u ervoor zorgen dat de accounts sterke wachtwoorden hebben die het wachtwoord niet verlopen.If using passwords, make sure the accounts have strong passwords that do not expire the password. Idealiter moeten de wachtwoorden ten minste 16 tekens lang en willekeurig gegenereerd.Ideally, the passwords should be at least 16 characters long and randomly generated.

Aanmeldings- en controlelogboeken controlerenMonitor sign-in and audit logs

Organisaties moeten de aanmeldings- en controlelogboekactiviteit van de noodaccounts controleren en meldingen naar andere beheerders activeren.Organizations should monitor sign-in and audit log activity from the emergency accounts and trigger notifications to other administrators. Wanneer u de activiteit op break glass-accounts controleert, u controleren of deze accounts alleen worden gebruikt voor het testen of noodsituaties.When you monitor the activity on break glass accounts, you can verify these accounts are only used for testing or actual emergencies. U Azure Log Analytics gebruiken om de aanmeldingslogboeken te controleren en e-mail- en sms-waarschuwingen naar uw beheerders te activeren wanneer u glazen accounts aanmeldt.You can use Azure Log Analytics to monitor the sign-in logs and trigger email and SMS alerts to your admins whenever break glass accounts sign in.

VereistenPrerequisites

  1. Azure AD-aanmeldingslogboeken naar Azure Monitor verzenden.Send Azure AD sign-in logs to Azure Monitor.

Object-iD's van de breakglass-accounts verkrijgenObtain Object IDs of the break glass accounts

  1. Meld u aan bij de Azure-portal met een account dat is toegewezen aan de functie Gebruikersbeheerder.Sign in to the Azure portal with an account assigned to the User administrator role.
  2. Selecteer Azure Active Directory > Users.Select Azure Active Directory > Users.
  3. Zoek naar het break-glass-account en selecteer de naam van de gebruiker.Search for the break-glass account and select the user’s name.
  4. Kopieer en sla het kenmerk Object-ID op, zodat u het later gebruiken.Copy and save the Object ID attribute so that you can use it later.
  5. Herhaal eerdere stappen voor een tweede break-glass-account.Repeat previous steps for second break-glass account.

Een waarschuwingsregel makenCreate an alert rule

  1. Meld u aan bij de Azure-portal met een account dat is toegewezen aan de rol Monitorbijdrage bewaken in Azure Monitor.Sign in to the Azure portal with an account assigned to the Monitoring Contributor role in Azure Monitor.
  2. Selecteer Alle services", typ "log analytics" in Zoeken en selecteer vervolgens Log Analytics-werkruimten.Select All services", enter "log analytics" in Search and then select Log Analytics workspaces.
  3. Selecteer een werkruimte.Select a workspace.
  4. Selecteer in uw werkruimte denieuwe waarschuwingsregel waarschuwingen > .In your workspace, select Alerts > New alert rule.
    1. Controleer onder Resourceof het abonnement het abonnement is waarmee u de waarschuwingsregel wilt koppelen.Under Resource, verify that the subscription is the one with which you want to associate the alert rule.

    2. Selecteer Onder Voorwaardede optie Toevoegen.Under Condition, select Add.

    3. Selecteer Aangepaste logboekzoekopdracht onder De naam van het signaal.Select Custom log search under Signal name.

    4. Voer onder Zoekopdrachtde volgende query in, waarbij de object-id's van de twee breakglass-accounts worden ingevoegd.Under Search query, enter the following query, inserting the object IDs of the two break glass accounts.

      Notitie

      Voeg voor elk extra breakglass-account dat u wilt opnemen een andere "of UserId== "ObjectGuid"" toe aan de query.For each additional break glass account you want to include, add another "or UserId == "ObjectGuid"" to the query.

      De object-geïdentificeerde accounts van de breukglasaccounts toevoegen aan een waarschuwingsregel

    5. Voer onder Waarschuwingslogicahet volgende in:Under Alert logic, enter the following:

      • Gebaseerd op: Aantal resultatenBased on: Number of results
      • Operator: Groter danOperator: Greater than
      • Drempelwaarde: 0Threshold value: 0
    6. Selecteer onder Geëvalueerd op basisvan : Selecteer de periode (in minuten) voor hoe lang u de query wilt uitvoeren en de frequentie (in minuten) voor hoe vaak u de query wilt uitvoeren.Under Evaluated based on, select the Period (in minutes) for how long you want the query to run, and the Frequency (in minutes) for how often you want the query to run. De frequentie moet lager zijn dan of gelijk zijn aan de periode.The frequency should be less than or equal to the period.

      waarschuwingslogica

    7. Selecteer Done.Select Done. U nu de geschatte maandelijkse kosten van deze waarschuwing bekijken.You may now view the estimated monthly cost of this alert.

  5. Selecteer een actiegroep van gebruikers die door de waarschuwing op de hoogte moet worden gesteld.Select an action group of users to be notified by the alert. Zie Een actiegroep makenals u er een wilt maken.If you want to create one, see Create an action group.
  6. Als u de e-mailmelding wilt aanpassen die naar de leden van de actiegroep is verzonden, selecteert u acties onder Acties aanpassen.To customize the email notification sent to the members of the action group, select actions under Customize Actions.
  7. Geef onder Waarschuwingsgegevensde naam van de waarschuwingsregel op en voeg een optionele beschrijving toe.Under Alert Details, specify the alert rule name and add an optional description.
  8. Stel het ernstniveau van de gebeurtenis in.Set the Severity level of the event. We raden u aan deze in te stellen op Kritiek(Sev 0).We recommend that you set it to Critical(Sev 0).
  9. Onder Regel inschakelen bij het maken, laat deze instellen als ja.Under Enable rule upon creation, leave it set as yes.
  10. Als u waarschuwingen een tijdje wilt uitschakelen, schakelt u het selectievakje Waarschuwingen onderdrukken in en voert u de wachttijd in voordat u opnieuw waarschuwt en selecteert u Opslaan.To turn off alerts for a while, select the Suppress Alerts check box and enter the wait duration before alerting again, and then select Save.
  11. Klik op Waarschuwingsregel maken.Click Create alert rule.

Een actiegroep makenCreate an action group

  1. Selecteer Een actiegroep maken.Select Create an action group.

    een actiegroep voor meldingsacties maken

  2. Voer de naam van de actiegroep en een korte naam in.Enter the action group name and a short name.

  3. Controleer de abonnements- en brongroep.Verify the subscription and resource group.

  4. Selecteer onder actietype E-mail/SMS/Push/Voice.Under action type, select Email/SMS/Push/Voice.

  5. Voer een actienaam in, zoals Globale beheerder melden.Enter an action name such as Notify global admin.

  6. Selecteer het actietype als e-mail/sms/push/spraak.Select the Action Type as Email/SMS/Push/Voice.

  7. Selecteer Details bewerken om de meldingsmethoden te selecteren die u wilt configureren en voer de vereiste contactgegevens in en selecteer Ok om de details op te slaan.Select Edit details to select the notification methods you want to configure and enter the required contact information, and then select Ok to save the details.

  8. Voeg eventuele extra acties toe die u wilt activeren.Add any additional actions you want to trigger.

  9. Selecteer OK.Select OK.

Accounts regelmatig validerenValidate accounts regularly

Wanneer u medewerkers traint om noodtoegangsaccounts te gebruiken en de noodtoegangsaccounts te valideren, volgt u op gezette tijden de volgende stappen:When you train staff members to use emergency access accounts and validate the emergency access accounts, at minimum do the following steps at regular intervals:

  • Zorg ervoor dat beveiligingsmedewerkers zich ervan bewust zijn dat de accountcontroleactiviteit aan de gang is.Ensure that security-monitoring staff are aware that the account-check activity is ongoing.
  • Zorg ervoor dat het noodpauzeglasproces om deze accounts te gebruiken gedocumenteerd en actueel is.Ensure that the emergency break glass process to use these accounts is documented and current.
  • Zorg ervoor dat beheerders en beveiligingsfunctionarissen die deze stappen mogelijk moeten uitvoeren tijdens een noodsituatie, worden getraind in het proces.Ensure that administrators and security officers who might need to perform these steps during an emergency are trained on the process.
  • Werk de accountgegevens, met name wachtwoorden, bij voor uw noodtoegangsaccounts en valideer vervolgens dat de noodtoegangsaccounts zich kunnen aanmelden en administratieve taken kunnen uitvoeren.Update the account credentials, in particular any passwords, for your emergency access accounts, and then validate that the emergency access accounts can sign-in and perform administrative tasks.
  • Zorg ervoor dat gebruikers multi-factorauthenticatie of selfservicewachtwoordreset (SSPR) niet hebben geregistreerd op het apparaat of persoonlijke gegevens van een individuele gebruiker.Ensure that users have not registered Multi-Factor Authentication or self-service password reset (SSPR) to any individual user’s device or personal details.
  • Als de accounts zijn geregistreerd voor multifactorauthenticatie op een apparaat, voor gebruik tijdens het aanmelden of functieactivering, moet u ervoor zorgen dat het apparaat toegankelijk is voor alle beheerders die het mogelijk moeten gebruiken tijdens een noodsituatie.If the accounts are registered for Multi-Factor Authentication to a device, for use during sign-in or role activation, ensure that the device is accessible to all administrators who might need to use it during an emergency. Controleer ook of het apparaat kan communiceren via ten minste twee netwerkpaden die geen algemene foutmodus delen.Also verify that the device can communicate through at least two network paths that do not share a common failure mode. Het apparaat kan bijvoorbeeld communiceren met het internet via zowel het draadloze netwerk van een faciliteit als een netwerk van mobiele provideren.For example, the device can communicate to the internet through both a facility's wireless network and a cell provider network.

Deze stappen moeten regelmatig worden uitgevoerd en voor belangrijke wijzigingen:These steps should be performed at regular intervals and for key changes:

  • Ten minste elke 90 dagenAt least every 90 days
  • Wanneer er onlangs een verandering is in IT-personeel, zoals een baanwijziging, een vertrek of een nieuweWhen there has been a recent change in IT staff, such as a job change, a departure, or a new hire
  • Wanneer de Azure AD-abonnementen in de organisatie zijn gewijzigdWhen the Azure AD subscriptions in the organization have changed

Volgende stappenNext steps