Hantera konton för nödåtkomst i Azure AD

Det är viktigt att du förhindrar att du av misstag blir utelåst från din Azure Active Directory-organisation (Azure AD) eftersom du inte kan logga in eller aktivera en annan användares konto som administratör. Du kan minska effekten av oavsiktlig brist på administrativ åtkomst genom att skapa två eller flera konton för nödåtkomst i din organisation.

Konton för nödåtkomst är mycket privilegierade och de tilldelas inte till specifika personer. Konton för nödåtkomst är begränsade till nödsituationer där du inte kan använda normala administratörskonton. Vi rekommenderar att du har som mål att begränsa användningen av nödsituationskonton till endast de tider då det är absolut nödvändigt.

Den här artikeln innehåller riktlinjer för hantering av konton för nödåtkomst i Azure AD.

Varför använda ett konto för nödåtkomst

En organisation kan behöva använda ett konto för nödåtkomst i följande situationer:

  • Användarkontona är federerade och federationen är för närvarande inte tillgänglig på grund av ett avbrott i cellnätverket eller ett avbrott i identitetsprovidern. Om till exempel identitetsproviderns värd i din miljö har gått ned kanske användarna inte kan logga in när Azure AD omdirigeras till sin identitetsprovider.
  • Administratörerna registreras via Azure AD Multi-Factor Authentication och alla deras enskilda enheter är inte tillgängliga eller så är tjänsten inte tillgänglig. Användare kanske inte kan slutföra Multi-Factor Authentication för att aktivera en roll. Till exempel hindrar ett avbrott i mobilnätverket dem från att svara på telefonsamtal eller ta emot textmeddelanden, de enda två autentiseringsmekanismer som de registrerade för sin enhet.
  • Personen med den senaste globala administratörsåtkomsten har lämnat organisationen. Azure AD förhindrar att det senaste globala administratörskontot tas bort, men det förhindrar inte att kontot tas bort eller inaktiveras lokalt. Endera situationen kan göra att organisationen inte kan återställa kontot.
  • Oförutsedda omständigheter, till exempel naturkatastrofer, under vilka en mobiltelefon eller andra nätverk kan vara otillgängliga.

Skapa konton för nödåtkomst

Skapa två eller flera konton för nödåtkomst. Dessa konton ska vara molnbaserade konton som använder domänen *.onmicrosoft.com och som inte är federerade eller synkroniserade från en lokal miljö.

Så här skapar du ett konto för nödåtkomst

  1. Logga in på Azure Portal eller Azure AD-administrationscentret som befintlig global administratör.

  2. Välj Azure Active Directory>Användare.

  3. Välj Ny användare.

  4. Välj Skapa användare.

  5. Ge kontot ett användarnamn.

  6. Ge kontot ett namn.

  7. Skapa ett långt och komplext lösenord för kontot.

  8. Under Roller tilldelar du rollen Global administratör .

  9. Under Användningsplats väljer du lämplig plats.

    Creating an emergency access account in Azure AD.

  10. Välj Skapa.

  11. Lagra kontoautentiseringsuppgifter på ett säkert sätt.

  12. Övervaka inloggnings- och granskningsloggar.

  13. Verifiera konton regelbundet.

När du konfigurerar dessa konton måste följande krav uppfyllas:

  • Kontona för nödåtkomst bör inte associeras med någon enskild användare i organisationen. Kontrollera att dina konton inte är anslutna till mobiltelefoner som tillhandahålls av anställda, maskinvarutoken som reser med enskilda anställda eller andra autentiseringsuppgifter som är specifika för anställda. Den här försiktighetsåtgärden omfattar instanser där en enskild anställd inte kan nås när autentiseringsuppgifterna behövs. Det är viktigt att se till att alla registrerade enheter förvaras på en känd och säker plats som har flera sätt att kommunicera med Azure AD.
  • Använd stark autentisering för dina konton för nödåtkomst och se till att den inte använder samma autentiseringsmetoder som dina andra administrativa konton. Om ditt vanliga administratörskonto till exempel använder Microsoft Authenticator-appen för stark autentisering använder du en FIDO2-säkerhetsnyckel för dina nödkonton. Överväg beroenden för olika autentiseringsmetoder för att undvika att lägga till externa krav i autentiseringsprocessen.
  • Enheten eller autentiseringsuppgifterna får inte upphöra att gälla eller vara i omfånget för automatisk rensning på grund av bristande användning.
  • I Azure AD Privileged Identity Management bör du göra rolltilldelningen Global administratör permanent i stället för att vara berättigad till dina konton för nödåtkomst.

Undanta minst ett konto från telefonbaserad multifaktorautentisering

För att minska risken för en attack till följd av ett komprometterat lösenord rekommenderar Azure AD att du behöver multifaktorautentisering för alla enskilda användare. Den här gruppen omfattar administratörer och alla andra (till exempel ekonomiansvariga) vars komprometterade konto skulle ha en betydande inverkan.

Minst ett av dina konton för nödåtkomst bör dock inte ha samma mekanism för multifaktorautentisering som dina andra konton som inte är nödkonton. Detta inkluderar lösningar för multifaktorautentisering från tredje part. Om du har en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering för varje administratör för Azure AD och andra anslutna SaaS-appar (programvara som en tjänst) bör du undanta konton för nödåtkomst från det här kravet och konfigurera en annan mekanism i stället. Dessutom bör du se till att kontona inte har en princip för multifaktorautentisering per användare.

Undanta minst ett konto från principer för villkorsstyrd åtkomst

Under en nödsituation vill du inte att en princip ska blockera din åtkomst för att åtgärda ett problem. Om du använder villkorsstyrd åtkomst måste minst ett konto för nödåtkomst undantas från alla principer för villkorlig åtkomst.

Federationsvägledning

Vissa organisationer använder AD Domain Services och AD FS eller liknande identitetsprovider för att federera till Azure AD. Nödåtkomsten för lokala system och nödåtkomsten för molntjänster bör hållas åtskild, utan beroende av den ena på den andra. Att hantera och eller köpa autentisering för konton med behörighet för nödåtkomst från andra system medför onödig risk i händelse av avbrott i dessa system.

Lagra kontoautentiseringsuppgifter på ett säkert sätt

Organisationer måste se till att autentiseringsuppgifterna för konton för nödåtkomst hålls säkra och kända endast för personer som har behörighet att använda dem. Vissa kunder använder ett smartkort och andra använder lösenord. Ett lösenord för ett konto för nödåtkomst delas vanligtvis upp i två eller tre delar, skrivs på separata pappersbitar och lagras i säkra, brandsäkra kassaskåp som finns på säkra, separata platser.

Om du använder lösenord kontrollerar du att kontona har starka lösenord som inte förfaller lösenordet. Helst bör lösenorden vara minst 16 tecken långa och genereras slumpmässigt.

Övervaka inloggnings- och granskningsloggar

Organisationer bör övervaka inloggnings- och granskningsloggaktiviteten från nödsituationskontona och utlösa meddelanden till andra administratörer. När du övervakar aktiviteten på break glass-konton kan du kontrollera att dessa konton endast används för testning eller faktiska nödsituationer. Du kan använda Azure Log Analytics för att övervaka inloggningsloggarna och utlösa e-post- och SMS-aviseringar till dina administratörer när brytglaskonton loggar in.

Förutsättningar

  1. Skicka Azure AD-inloggningsloggar till Azure Monitor.

Hämta objekt-ID:t för brytglaskontona

  1. Logga in på Azure Portal eller Azure AD-administrationscentret med ett konto som tilldelats rollen Användaradministratör.

  2. Välj Azure Active Directory>Användare.

  3. Sök efter break-glass-kontot och välj användarens namn.

  4. Kopiera och spara objektets ID-attribut så att du kan använda det senare.

  5. Upprepa föregående steg för det andra brytglaskontot.

Skapa en varningsregel

  1. Logga in på Azure Portal med ett konto som tilldelats rollen Övervakningsdeltagare i Azure Monitor.
  2. Välj Alla tjänster, ange "log analytics" i Sök och välj sedan Log Analytics-arbetsytor.
  3. Välj en arbetsyta.
  4. På arbetsytan väljer du AviseringarNyaviseringsregel>.
    1. Under Resurs kontrollerar du att prenumerationen är den som du vill associera aviseringsregeln med.

    2. Under Villkor väljer du Lägg till.

    3. Välj Anpassad loggsökning under Signalnamn.

    4. Under Sökfråga anger du följande fråga och infogar objekt-ID:t för de två brytglaskontona.

      Anteckning

      För varje ytterligare brytglaskonto som du vill inkludera lägger du till ett annat "eller UserId == "ObjectGuid" i frågan.

      Exempelfrågor:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Add the object IDs of the break glass accounts to an alert rule

    5. Under Aviseringslogik anger du följande:

      • Baserat på: Antal resultat
      • Operator: Större än
      • Tröskelvärde: 0
    6. Under Utvärderad baserat på väljer du Perioden (i minuter) för hur länge du vill att frågan ska köras och Frekvens (i minuter) för hur ofta du vill att frågan ska köras. Frekvensen bör vara mindre än eller lika med perioden.

      alert logic

    7. Välj Klar. Nu kan du visa den uppskattade månadskostnaden för den här aviseringen.

  5. Välj en åtgärdsgrupp med användare som ska meddelas av aviseringen. Om du vill skapa en kan du läsa Skapa en åtgärdsgrupp.
  6. Om du vill anpassa e-postmeddelandet som skickas till medlemmarna i åtgärdsgruppen väljer du åtgärder under Anpassa åtgärder.
  7. Under Aviseringsinformation anger du aviseringsregelns namn och lägger till en valfri beskrivning.
  8. Ange allvarlighetsgrad för händelsen. Vi rekommenderar att du ställer in den på Critical(Sev 0).
  9. Under Aktivera regel vid skapande låter du den vara inställd som ja.
  10. Om du vill inaktivera aviseringar ett tag markerar du kryssrutan Ignorera aviseringar och anger väntetiden innan du aviserar igen och väljer sedan Spara.
  11. Klicka på Skapa aviseringsregel.

Skapa en åtgärdsgrupp

  1. Välj Skapa en åtgärdsgrupp.

    create an action group for notification actions

  2. Ange åtgärdsgruppens namn och ett kort namn.

  3. Verifiera prenumerationen och resursgruppen.

  4. Under Åtgärdstyp väljer du E-post/SMS/Push/Röst.

  5. Ange ett åtgärdsnamn, till exempel Meddela global administratör.

  6. Välj Åtgärdstyp som E-post/SMS/Push/Röst.

  7. Välj Redigera information för att välja de meddelandemetoder som du vill konfigurera och ange nödvändig kontaktinformation och välj sedan OK för att spara informationen.

  8. Lägg till ytterligare åtgärder som du vill utlösa.

  9. Välj OK.

Verifiera konton regelbundet

När du utbildar personal att använda konton för nödåtkomst och verifierar konton för åtkomst till nödsituationer gör du åtminstone följande steg med jämna mellanrum:

  • Se till att säkerhetsövervakningspersonalen är medveten om att kontokontrollaktiviteten pågår.
  • Se till att processen med nödavbrott för att använda dessa konton är dokumenterad och aktuell.
  • Se till att administratörer och säkerhetsansvariga som kan behöva utföra dessa steg under en nödsituation utbildas i processen.
  • Uppdatera autentiseringsuppgifterna för kontot, särskilt eventuella lösenord, för dina konton för åtkomst vid akutfall och kontrollera sedan att kontona för åtkomst till nödsituationer kan logga in och utföra administrativa uppgifter.
  • Se till att användarna inte har registrerat Multi-Factor Authentication eller självbetjäning av lösenordsåterställning (SSPR) till någon enskild användares enhet eller personliga information.
  • Om kontona är registrerade för Multi-Factor Authentication till en enhet, för användning under inloggning eller rollaktivering, kontrollerar du att enheten är tillgänglig för alla administratörer som kan behöva använda den under en nödsituation. Kontrollera också att enheten kan kommunicera via minst två nätverkssökvägar som inte delar ett vanligt felläge. Enheten kan till exempel kommunicera med Internet via både en anläggnings trådlösa nätverk och ett cellprovidernätverk.

Dessa steg bör utföras med jämna mellanrum och för nyckeländringar:

  • Minst var 90:e dag
  • När DET nyligen har skett en förändring i IT-personalen, till exempel en arbetsförändring, en avgång eller en ny anställning
  • När Azure AD-prenumerationerna i organisationen har ändrats

Nästa steg