Gerir contas de acesso de emergência no Microsoft Entra ID

É importante que você evite ser acidentalmente bloqueado fora de sua organização do Microsoft Entra porque você não pode entrar ou ativar a conta de outro usuário como administrador. Pode mitigar o impacto da falta acidental de acesso administrativo ao criar duas ou mais contas de acesso de emergência na sua organização.

As contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas administrativas normais não podem ser usadas. Recomendamos que você mantenha uma meta de restringir o uso de emergência da conta apenas aos momentos em que for absolutamente necessário.

Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.

Porquê utilizar uma conta de acesso de emergência

Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:

  • As contas de usuário são federadas e a federação está indisponível no momento devido a uma quebra de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host do provedor de identidade em seu ambiente tiver caído, os usuários talvez não consigam entrar quando o Microsoft Entra ID redireciona para seu provedor de identidade.
  • Os administradores são registrados por meio da autenticação multifator Microsoft Entra e todos os seus dispositivos individuais estão indisponíveis ou o serviço não está disponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção da rede celular está impedindo que eles atendam chamadas telefônicas ou recebam mensagens de texto, os dois únicos mecanismos de autenticação que eles registraram para seu dispositivo.
  • A pessoa com o acesso de Administrador Global mais recente deixou a organização. O Microsoft Entra ID impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer uma das situações pode fazer com que a organização não consiga recuperar a conta.
  • Circunstâncias imprevistas, como uma emergência de catástrofe natural, durante a qual um telemóvel ou outras redes podem estar indisponíveis.

Criar contas de acesso de emergência

Crie duas ou mais contas de acesso de emergência. Essas contas devem ser contas somente na nuvem que usam o domínio *.onmicrosoft.com e que não são federadas ou sincronizadas a partir de um ambiente local.

Como criar uma conta de acesso de emergência

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Navegue até Identidade>de usuários Todos os usuários.>

  3. Selecione Novo usuário.

  4. Selecione Criar usuário.

  5. Dê à conta um nome de usuário.

  6. Dê um nome à conta.

  7. Crie uma senha longa e complexa para a conta.

  8. Em Funções, atribua a função de Administrador Global .

  9. Em Local de uso, selecione o local apropriado.

    Creating an emergency access account in Microsoft Entra ID.

  10. Selecione Criar.

  11. Armazene as credenciais da conta com segurança.

  12. Monitore os logs de entrada e auditoria.

  13. Valide contas regularmente.

Ao configurar essas contas, os seguintes requisitos devem ser atendidos:

  • As contas de acesso de emergência não devem ser associadas a nenhum usuário individual na organização. Certifique-se de que suas contas não estão conectadas a telefones celulares fornecidos por funcionários, tokens de hardware que viajam com funcionários individuais ou outras credenciais específicas de funcionários. Essa precaução abrange casos em que um funcionário individual está inacessível quando a credencial é necessária. É importante garantir que todos os dispositivos registrados sejam mantidos em um local conhecido e seguro que tenha vários meios de comunicação com o Microsoft Entra ID.
  • Use a autenticação forte para suas contas de acesso de emergência e certifique-se de que ela não use os mesmos métodos de autenticação que suas outras contas administrativas. Por exemplo, se sua conta de administrador normal usa o aplicativo Microsoft Authenticator para autenticação forte, use uma chave de segurança FIDO2 para suas contas de emergência. Considere as dependências de vários métodos de autenticação para evitar a adição de requisitos externos ao processo de autenticação.
  • O dispositivo ou credencial não deve expirar ou estar no escopo da limpeza automatizada devido à falta de uso.
  • No Microsoft Entra Privileged Identity Management, você deve tornar a atribuição da função de Administrador Global permanente em vez de qualificada para suas contas de acesso de emergência.

Excluir pelo menos uma conta da autenticação multifator baseada em telefone

Para reduzir o risco de um ataque resultante de uma senha comprometida, o Microsoft Entra ID recomenda que você exija autenticação multifator para todos os usuários individuais. Este grupo inclui administradores e todos os outros (por exemplo, diretores financeiros) cuja conta comprometida teria um impacto significativo.

No entanto, pelo menos uma das suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator que as suas outras contas não de emergência. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de Acesso Condicional para exigir autenticação multifator para cada administrador para o Microsoft Entra ID e outros aplicativos SaaS (software como serviço) conectados, exclua as contas de acesso de emergência desse requisito e configure um mecanismo diferente. Além disso, você deve certificar-se de que as contas não têm uma política de autenticação multifator por usuário.

Excluir pelo menos uma conta das políticas de Acesso Condicional

Durante uma emergência, você não quer que uma política bloqueie seu acesso para corrigir um problema. Se você usar o Acesso Condicional, pelo menos uma conta de acesso de emergência precisará ser excluída de todas as políticas de Acesso Condicional.

Orientações da federação

Algumas organizações usam os Serviços de Domínio do AD e o AD FS ou provedor de identidade semelhante para federar a ID do Microsoft Entra. O acesso de emergência para sistemas locais e o acesso de emergência para serviços de computação em nuvem devem ser mantidos distintos, sem dependência de um do outro. Dominar e/ou terceirizar a autenticação para contas com privilégios de acesso de emergência de outros sistemas adiciona riscos desnecessários no caso de uma interrupção desses sistemas.

Armazene as credenciais da conta com segurança

As organizações precisam garantir que as credenciais das contas de acesso de emergência sejam mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las. Alguns clientes usam um cartão inteligente para o Windows Server AD, uma chave de segurança FIDO2 para o Microsoft Entra ID e outros usam senhas. Uma senha para uma conta de acesso de emergência geralmente é separada em duas ou três partes, escrita em pedaços de papel separados e armazenada em cofres seguros e à prova de fogo que estão em locais seguros e separados.

Se estiver a utilizar palavras-passe, certifique-se de que as contas têm palavras-passe fortes que não expiram. O ideal é que as senhas tenham pelo menos 16 caracteres e sejam geradas aleatoriamente.

Monitorar logs de entrada e auditoria

As organizações devem monitorar a atividade de login e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade em contas de quebra-vidro, você pode verificar se essas contas são usadas apenas para testes ou emergências reais. Pode utilizar o Azure Log Analytics para monitorizar os registos de início de sessão e disparar alertas por e-mail e SMS para os seus administradores sempre que iniciar sessão em contas de vidro quebrado.

Pré-requisitos

  1. Envie os logs de entrada do Microsoft Entra para o Azure Monitor.

Obter IDs de objeto das contas de quebra de vidro

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Navegue até Identidade>de usuários Todos os usuários.>

  3. Procure a conta de quebra-vidro e selecione o nome do usuário.

  4. Copie e salve o atributo ID do objeto para que você possa usá-lo mais tarde.

  5. Repita as etapas anteriores para a segunda conta de quebra-vidro.

Criar uma regra de alerta

  1. Entre no portal do Azure como pelo menos um Colaborador de Monitoramento.

  2. Navegue até Monitorar>espaços de trabalho do Log Analytics.

  3. Selecione uma área de trabalho.

  4. No espaço de trabalho, selecione Alertas>Nova regra de alerta.

    1. Em Recurso, verifique se a subscrição é aquela à qual pretende associar a regra de alerta.

    2. Em Condição, selecione Adicionar.

    3. Selecione Pesquisa de log personalizada em Nome do sinal.

    4. Em Consulta de pesquisa, insira a seguinte consulta, inserindo as IDs de objeto das duas contas de quebra-vidro.

      Nota

      Para cada conta de vidro de quebra adicional que você deseja incluir, adicione outro "ou UserId == "ObjectGuid"" à consulta.

      Exemplos de consultas:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Add the object IDs of the break glass accounts to an alert rule

    5. Em Lógica de alerta, insira o seguinte:

      • Com base em: Número de resultados
      • Operador: Maior que
      • Valor limite: 0
    6. Em Avaliado com base em, selecione o Período (em minutos) para quanto tempo você deseja que a consulta seja executada e a Frequência (em minutos) para a frequência com que você deseja que a consulta seja executada. A frequência deve ser inferior ou igual ao período.

      alert logic

    7. Selecionar Concluído. Agora você pode visualizar o custo mensal estimado desse alerta.

  5. Selecione um grupo de ações de usuários a serem notificados pelo alerta. Se quiser criar um, consulte Criar um grupo de ações.

  6. Para personalizar a notificação por e-mail enviada aos membros do grupo de ações, selecione ações em Personalizar ações.

  7. Em Detalhes do alerta, especifique o nome da regra de alerta e adicione uma descrição opcional.

  8. Defina o nível de gravidade do evento. Recomendamos que você o defina como Crítico (Sev 0).

  9. Em Ativar regra após a criação, deixe-a definida como sim.

  10. Para desativar os alertas por um tempo, marque a caixa de seleção Suprimir Alertas, insira a duração da espera antes de alertar novamente e selecione Salvar.

  11. Clique em Criar regra de alerta.

Criar um grupo de ações

  1. Selecione Criar um grupo de ações.

    create an action group for notification actions

  2. Insira o nome do grupo de ações e um nome curto.

  3. Verifique a assinatura e o grupo de recursos.

  4. Em Tipo de ação, selecione E-mail/SMS/Push/Voz.

  5. Insira um nome de ação, como Notificar Administrador Global.

  6. Selecione o tipo de ação como Email/SMS/Push/Voice.

  7. Selecione Editar detalhes para selecionar os métodos de notificação que deseja configurar e insira as informações de contato necessárias e, em seguida, selecione Ok para salvar os detalhes.

  8. Adicione as ações adicionais que deseja acionar.

  9. Selecione OK.

Valide contas regularmente

Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo, execute as seguintes etapas em intervalos regulares:

  • Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta está em andamento.
  • Certifique-se de que o processo de quebra de vidro de emergência para usar essas contas esteja documentado e atualizado.
  • Certifique-se de que os administradores e agentes de segurança que possam precisar executar essas etapas durante uma emergência sejam treinados no processo.
  • Atualize as credenciais da conta, em particular quaisquer palavras-passe, para as suas contas de acesso de emergência e, em seguida, valide se as contas de acesso de emergência podem iniciar sessão e executar tarefas administrativas.
  • Certifique-se de que os usuários não registraram autenticação multifator ou redefinição de senha de autoatendimento (SSPR) para qualquer dispositivo de usuário individual ou detalhes pessoais.
  • Se as contas estiverem registadas para autenticação multifator num dispositivo, para utilização durante o início de sessão ou a ativação de funções, certifique-se de que o dispositivo está acessível a todos os administradores que possam necessitar de o utilizar durante uma emergência. Verifique também se o dispositivo pode se comunicar através de pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a internet através da rede sem fio de uma instalação e de uma rede de provedor de celular.

Estas etapas devem ser executadas a intervalos regulares e para alterações fundamentais:

  • Pelo menos a cada 90 dias
  • Quando houve uma mudança recente na equipe de TI, como uma mudança de emprego, uma saída ou uma nova contratação
  • Quando as assinaturas do Microsoft Entra na organização foram alteradas

Próximos passos