Gerenciar contas de acesso de emergência no Microsoft Entra ID

  • Artigo

É importante impedir que a sua organização do Microsoft Entra seja bloqueada acidentalmente, pois não é possível entrar ou ativar a conta de outro usuário como um administrador. Você pode reduzir o impacto da falta acidental de acesso administrativo ao criar duas ou mais contas de acesso de emergência em sua organização.

Essas contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas. Recomendamos que você mantenha uma meta de restringir o uso da conta de emergência para somente esse momento durante o qual é absolutamente necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.

Por que usar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

  • As contas de usuário são federadas e a federação está indisponível no momento devido a uma interrupção de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host de provedor de identidade em seu ambiente foi desligado, os usuários podem não conseguir entrar quando o Microsoft Entra ID redireciona para seu provedor de identidade.
  • Os administradores são registrados por meio da autenticação multifator do Microsoft Entra, e todos os seus dispositivos individuais não estão disponíveis ou o serviço não está disponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção de rede celular está impedindo que eles atendam a chamadas telefônicas ou recebam mensagens de texto, os dois únicos dois mecanismos de autenticação registrados para os dispositivos.
  • A pessoa com acesso administrativo global mais recente saiu da organização. O Microsoft Entra ID impede que a conta do último Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.
  • Circunstâncias imprevisíveis, como uma emergência de desastre natural, em que um telefone celular ou outras redes podem não estar disponíveis.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Elas devem ser contas somente de nuvem que usam o domínio *.onmicrosoft.com e que não são federadas ou sincronizadas de um ambiente local.

Como criar uma conta de acesso de emergência

  1. Entre no centro de administração do Microsoft Entra como Administrador global.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione Novo usuário.

  4. Selecione Criar usuário.

  5. Dê um Nome de usuário à conta.

  6. Dê um Nome à conta.

  7. Crie uma senha longa e complexa para a conta.

  8. Em Funções, atribua a função Administrador Global.

  9. Em Local de uso, selecione o local apropriado.

    Creating an emergency access account in Microsoft Entra ID.

  10. Selecione Criar.

  11. Armazenar com segurança as credenciais da conta.

  12. Exibir entradas e logs de auditoria.

  13. Validar contas regularmente.

Ao configurar essas contas, os seguintes requisitos devem ser atendidos:

  • As contas de emergência não devem ser associadas a nenhum usuário individual na organização. Certifique-se de que suas contas não estejam conectadas a nenhum telefone celular fornecido pelo funcionário, tokens de hardware que viajam com funcionários específicos ou outras credenciais específicas do funcionário. Essa precaução abrange instâncias em que um funcionário individual está inacessível quando a credencial é necessária. É importante garantir que todos os dispositivos registrados sejam mantidos em uma localização segura e conhecida que tenha vários meios de comunicação com o Microsoft Entra ID.
  • Use a autenticação forte para suas contas de acesso de emergência e certifique-se de que ela não use os mesmos métodos de autenticação que suas outras contas administrativas. Por exemplo, se sua conta de administrador normal usar o aplicativo Microsoft Authenticator para autenticação forte, use uma chave de segurança FIDO2 para suas contas de emergência. Considere as dependências de vários métodos de autenticação, para evitar a adição de requisitos externos ao processo de autenticação.
  • O dispositivo ou a credencial não deve expirar ou estar no escopo de limpeza automatizado devido à falta de uso.
  • No Microsoft Entra Privileged Identity Management, você deve tornar a atribuição de função de administrador global permanente em vez de qualificada para suas contas de acesso de emergência.

Excluir pelo menos uma conta de autenticação de multifator baseada em telefone

Para reduzir o risco de um ataque resultante de uma senha comprometida, o Microsoft Entra ID recomenda que você exija a autenticação multifator para todos os usuários individuais. Este grupo deve incluir os administradores e todos os outros (por exemplo, gerentes financeiros) cuja conta comprometida teria um impacto significativo.

No entanto, pelo menos uma de suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator como outras contas não emergenciais. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de acesso condicional para exigir a autenticação multifator para todos os administradores para o Microsoft Entra ID e outros aplicativos SaaS (Software como Serviço), é necessário excluir as contas de acesso de emergência desse requisito e configurar um diferente mecanismo no seu lugar. Além disso, verifique se que as contas não têm uma política de autenticação multifator por usuário.

Exclua pelo menos uma conta de políticas de Acesso Condicional

Durante uma emergência, não é desejável uma política para bloquear o acesso para corrigir um problema. Se você usar o acesso condicional, pelo menos uma conta de acesso de emergência precisará ser excluída de todas as políticas de acesso condicional.

Diretrizes de federação

Algumas organizações usam o AD Domain Services e o AD FS ou um provedor de identidade semelhante para se federar ao Microsoft Entra ID. O acesso de emergência para sistemas locais e o acesso de emergência para serviços de nuvem devem ser mantidos distintos, sem qualquer dependência entre eles. O domínio e ou a autenticação de sourcing para contas com privilégios de acesso de emergência de outros sistemas, adiciona risco desnecessário em caso de falha desses sistemas.

Armazenar com segurança as credenciais da conta

As organizações precisam garantir que as credenciais para essas contas de emergência sejam mantidas seguras e conhecidas apenas para os indivíduos que estão autorizados a usá-las. Alguns clientes usam um cartão inteligente para Windows Server AD, uma chave de segurança FIDO2 para Microsoft Entra ID e outros usam senhas. A senha para uma conta de acesso de emergência geralmente é separada em duas ou três partes, escrita em pedaços de papel separados e armazenada em cofres seguros à prova de incêndio que estão em locais separados e seguros.

Se usar as senhas, verifique se as contas têm senhas fortes que não expirem. Idealmente, as senhas devem ter pelo menos 16 caracteres longos e gerados aleatoriamente.

Exibir entradas e logs de auditoria

As organizações devem monitorar a atividade de entrada e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade em contas de interrupção, você poderá verificar se essas contas são usadas apenas para teste ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de entrada e disparar alertas de email e SMS para seus administradores sempre que as contas de interrupção entrarem.

Pré-requisitos

  1. Enviar logs de entrada do Microsoft Entra ao Azure Monitor.

Obter IDs de objeto das contas de interrupção

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Procure a conta de interrupção e selecione o nome do usuário.

  4. Copie e salve o atributo ID de objeto para que você possa usá-lo mais tarde.

  5. Repita as etapas anteriores para a segunda conta de interrupção.

Criar uma regra de alerta

  1. Inscreva-se no portal do Azure como pelo menos um Colaborador de monitoramento.

  2. Navegue até Monitorar>Workspaces do Log Analytics.

  3. Selecione um workspace.

  4. Em seu espaço de trabalho, selecione Alertas>Nova regra de alerta.

    1. Em Recursos, verifique se a assinatura é aquela com a qual você deseja associar a regra de alerta.

    2. Em Condição, selecione Adicionar.

    3. Selecione Pesquisa de log personalizada em Nome do sinal.

    4. Em Consulta de pesquisa, insira a consulta a seguir, inserindo as IDs de objeto das duas contas de interrupção.

      Observação

      Para cada conta de interrupção adicional que você deseja incluir, adicione outro "or UserId == "ObjectGuid"" à consulta.

      Consultas de exemplo:

      // Search for a single Object ID (UserID)
SigninLogs
| project UserId 
| where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"

      // Search for multiple Object IDs (UserIds)
SigninLogs
| project UserId 
| where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"

      // Search for a single UserPrincipalName
SigninLogs
| project UserPrincipalName 
| where UserPrincipalName == "user@yourdomain.onmicrosoft.com"

      Add the object IDs of the break glass accounts to an alert rule

    5. Em Lógica de alerta, insira o seguinte:

      • Baseado em: Número de resultados
      • Operador: Maior que
      • Valor do limite: 0

    6. Em Avaliado com base em, selecione o Período (em minutos) para informar quanto tempo você deseja que a consulta seja executada e a Frequência (em minutos) para a frequência de execução da consulta. A frequência deve ser inferior ou igual ao período.

      alert logic

    7. Selecione Concluído. Agora você pode exibir o custo mensal estimado deste alerta.

  5. Selecione um grupo de ações de usuários a ser notificado pelo alerta. Se você quiser criar um, confira Criar um grupo de ação.

  6. Para personalizar a notificação por email enviada aos membros do grupo de ações, selecione ações em Personalizar ações.

  7. Em Detalhes do alerta, especifique o nome da regra de alerta e adicione uma descrição opcional.

  8. Defina o Nível de severidade do evento. É recomendável defini-lo como Crítico (Sev 0) .

  9. Em Habilitar regra ao criar, deixe-a definida como Sim.

  10. Para desativar os alertas por um tempo, marque a caixa de seleção Suprimir alertas e insira a duração da espera antes de alertar novamente e, em seguida, selecione Salvar.

  11. Clique em Criar regra de alerta.

Criar um grupo de ações

  1. Selecione Criar um grupo de ações.

    create an action group for notification actions

  2. Inserir o nome do grupo de ações e um nome curto.

  3. Verifique uma assinatura e um grupo de recursos.

  4. Em Tipo de ação, selecione Email/SMS/Push/Voz.

  5. Insira um nome de ação, como Notificar Administrador Global.

  6. Selecione o Tipo de Ação como Email/SMS/Push/Voz.

  7. Selecione Editar detalhes para selecionar os métodos de notificação que você deseja configurar e insira as informações de contato necessárias e, em seguida, selecione Ok para salvar os detalhes.

  8. Adicione as ações adicionais que você deseja disparar.

  9. Selecione OK.

Validar contas regularmente

Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo execute as seguintes etapas em intervalos regulares:

  • Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta é contínua.
  • Certifique-se de que o processo de quebra de vidro de emergência para usar essas contas é documentado e atual.
  • Certifique-se de que os administradores e os agentes de segurança que talvez sejam necessários para executar essas etapas durante uma emergência recebam um treinamento sobre o processo.
  • Atualize as credenciais da conta, em particular, todas as senhas para suas contas de acesso de emergência e, em seguida, confirme se as contas de acesso de emergência podem ser acessadas e as tarefas administrativas executadas.
  • Certifique-se de que os usuários não tenham registrado a autenticação multifator ou a redefinição de senha self-service (SSPR) em nenhum dispositivo de usuário individual ou detalhes pessoais.
  • Se as contas forem registradas para a autenticação multifator para um dispositivo, para uso durante as entradas ou a ativação de função, certifique-se de que o dispositivo esteja acessível a todos os administradores que podem precisar usá-lo durante uma emergência. Verifique também se o dispositivo pode se comunicar por meio de pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a Internet por meio de rede sem fio da instalação e por uma rede de provedor celular.

Essas etapas devem ser realizadas em intervalos regulares e para alterações de chave:

  • Pelo menos a cada 90 dias
  • Quando houve uma alteração recente na equipe de TI, como uma alteração de cargo, uma saída ou uma nova contratação
  • Quando as assinaturas do Microsoft Entra da organização foram alteradas

Próximas etapas