Microsoft Entra ID'de acil durum erişim hesaplarını yönetme

Başka bir kullanıcının hesabını yönetici olarak oturum açamadığınız veya etkinleştiremediğiniz için Microsoft Entra kuruluşunuzda yanlışlıkla kilitlenmeyi engellemeniz önemlidir. Yanlışlıkla yönetim erişimini kaybetmenin etkisini hafifletmek için kuruluşunuzda iki veya daha fazla acil durum erişim hesabı oluşturun.

Acil durum erişim hesapları yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı acil durum veya "kırılabilir" senaryolarıyla sınırlıdır. Acil durum hesabı kullanımını yalnızca kesinlikle gerekli olduğu zamanlara kısıtlama hedefinizi korumanızı öneririz.

Bu makalede, Microsoft Entra Id'de acil durum erişim hesaplarını yönetme yönergeleri sağlanır.

Acil durum erişim hesabı neden kullanılır?

Bir kuruluşun aşağıdaki durumlarda acil durum erişim hesabı kullanması gerekebilir:

• Kullanıcı hesapları federasyona bağlı ve federasyon şu anda bir hücre ağı kesintisi veya kimlik sağlayıcısı kesintisi nedeniyle kullanılamıyor. Örneğin, ortamınızdaki kimlik sağlayıcısı ana bilgisayarı devre dışı kalırsa, Microsoft Entra Id kimlik sağlayıcılarına yönlendirildiğinde kullanıcılar oturum açamayabilir.
• Yöneticiler Microsoft Entra çok faktörlü kimlik doğrulaması aracılığıyla kaydedilir ve tek tek tüm cihazları kullanılamaz veya hizmet kullanılamaz. Kullanıcılar rolü etkinleştirmek için çok faktörlü kimlik doğrulamasını tamamlayamayabilir. Örneğin, bir hücre ağı kesintisi, cihazları için kaydettikleri yalnızca iki kimlik doğrulama mekanizması olan telefon aramalarını yanıtlamalarını veya kısa mesaj almalarını engelliyor.
• En son Global Yönetici istrator erişimi olan kişi kuruluşa ayrıldı. Microsoft Entra Id, son Genel Yönetici istrator hesabının silinmesini engeller, ancak hesabın şirket içinde silinmesini veya devre dışı bırakılmasını engellemez. Her iki durum da kuruluşun hesabı kurtaramamasına neden olabilir.
• Cep telefonunun veya diğer ağların kullanılamayabileceği doğal afet acil durumu gibi öngörülemeyen durumlar.

Acil durum erişim hesapları oluşturma

İki veya daha fazla acil durum erişim hesabı oluşturun. Bu hesaplar* .onmicrosoft.com etki alanını kullanan ve şirket içi ortamdan federasyon veya eşitlenmemiş yalnızca bulut hesapları olmalıdır.

Acil durum erişim hesabı oluşturma

1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.

3. Yeni kullanıcı'ya tıklayın.

4. Kullanıcı oluştur'u seçin.

5. Hesaba bir Kullanıcı adı verin.

6. Hesaba bir Ad verin.

7. Hesap için uzun ve karmaşık bir parola oluşturun.

8. Roller'in altında Genel Yönetici istrator rolünü atayın.

9. Kullanım konumu altında uygun konumu seçin.

   

10. Oluştur’u seçin.

11. Hesap kimlik bilgilerini güvenli bir şekilde depolayın.

12. Oturum açma ve denetim günlüklerini izleyin.

13. Hesapları düzenli olarak doğrulayın.

Bu hesapları yapılandırırken aşağıdaki gereksinimlerin karşılanması gerekir:

• Acil durum erişim hesapları kuruluştaki tek tek hiçbir kullanıcıyla ilişkilendirilmemelidir. Hesaplarınızın çalışan tarafından sağlanan cep telefonlarına, tek tek çalışanlarla birlikte seyahat eden donanım belirteçlerine veya çalışana özgü diğer kimlik bilgilerine bağlı olmadığından emin olun. Bu önlem, kimlik bilgisi gerektiğinde tek bir çalışana ulaşılamayan örnekleri kapsar. Kayıtlı cihazların, Microsoft Entra ID ile iletişim kurmak için birden fazla aracı olan bilinen, güvenli bir konumda tutulduğundan emin olmak önemlidir.
• Acil durum erişim hesaplarınız için güçlü kimlik doğrulaması kullanın ve diğer yönetim hesaplarınız ile aynı kimlik doğrulama yöntemlerini kullanmadığından emin olun. Örneğin, normal yönetici hesabınız güçlü kimlik doğrulaması için Microsoft Authenticator uygulamasını kullanıyorsa acil durum hesaplarınız için bir FIDO2 güvenlik anahtarı kullanın. Kimlik doğrulama işlemine dış gereksinimler eklenmesini önlemek için çeşitli kimlik doğrulama yöntemlerinin bağımlılıklarını göz önünde bulundurun.
• Kullanım yetersizliği nedeniyle cihazın veya kimlik bilgilerinin süresi dolmamalı veya otomatik temizleme kapsamında olmamalıdır.
• Microsoft Entra Privileged Identity Management'ta, acil durum erişim hesaplarınız için uygun yerine Genel Yönetici istrator rol atamasını kalıcı hale getirmelisiniz.

Telefon tabanlı çok faktörlü kimlik doğrulamasından en az bir hesabı dışlama

Güvenliği aşılmış paroladan kaynaklanan bir saldırı riskini azaltmak için Microsoft Entra ID, tek tek tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektirmenizi önerir. Bu grup, güvenliği aşılmış hesabı önemli bir etkiye sahip olan yöneticileri ve diğer tüm kişileri (örneğin, finansal memurları) içerir.

Ancak, acil durum erişim hesaplarınızdan en az birinin, diğer acil durum dışı hesaplarınızla aynı çok faktörlü kimlik doğrulama mekanizmasına sahip olmaması gerekir. Bu, üçüncü taraf çok faktörlü kimlik doğrulama çözümlerini içerir. Microsoft Entra Id ve diğer bağlı hizmet olarak yazılım (SaaS) uygulamaları için her yönetici için çok faktörlü kimlik doğrulaması gerektiren bir Koşullu Erişim ilkeniz varsa, acil durum erişim hesaplarını bu gereksinimin dışında tutmanız ve bunun yerine farklı bir mekanizma yapılandırmanız gerekir. Ayrıca, hesapların kullanıcı başına çok faktörlü kimlik doğrulama ilkesine sahip olmadığından emin olmanız gerekir.

Koşullu Erişim ilkelerinden en az bir hesabı dışlama

Acil bir durum sırasında, bir ilkenin bir sorunu çözmek için erişiminizi engellemesini istemezsiniz. Koşullu Erişim kullanıyorsanız, en az bir acil durum erişim hesabının tüm Koşullu Erişim ilkelerinin dışında tutulması gerekir.

Federasyon kılavuzu

Bazı kuruluşlar, Microsoft Entra Id'ye federasyon yapmak için AD Etki Alanı Hizmetleri'ni ve AD FS'yi veya benzer kimlik sağlayıcısını kullanır. Şirket içi sistemler için acil durum erişimi ve bulut hizmetlerine yönelik acil durum erişimi birbirinden ayrı tutulmalıdır ve bunlardan birine bağımlı olmamalıdır. Diğer sistemlerden acil erişim ayrıcalıklarına sahip hesaplar için kimlik doğrulamasında ustalık ve kaynak oluşturma, bu sistemlerde kesinti yaşanması durumunda gereksiz risklere neden olur.

Hesap kimlik bilgilerini güvenli bir şekilde depolama

Kuruluşların, acil durum erişim hesapları için kimlik bilgilerinin güvenli tutulduğundan ve yalnızca bunları kullanma yetkisi olan kişiler tarafından bilindiğinden emin olması gerekir. Bazı müşteriler Windows Server AD için akıllı kart, Microsoft Entra Id için FIDO2 güvenlik anahtarı ve diğerleri parola kullanır. Acil durum erişim hesabının parolası genellikle iki veya üç parçaya ayrılır, ayrı kağıt parçalarına yazılır ve güvenli, ayrı konumlarda güvenli, yangına dayanıklı kasalarda depolanır.

Parola kullanıyorsanız, hesapların süresi dolmayan güçlü parolalara sahip olduğundan emin olun. İdeal olarak, parolalar en az 16 karakter uzunluğunda ve rastgele oluşturulmuş olmalıdır.

Oturum açma ve denetim günlüklerini izleme

Kuruluşlar, acil durum hesaplarından oturum açma ve denetim günlüğü etkinliğini izlemeli ve diğer yöneticilere bildirim tetiklemelidir. Kesme camı hesaplarında etkinliği izlerken, bu hesapların yalnızca test veya gerçek acil durumlar için kullanıldığını doğrulayabilirsiniz. Azure Log Analytics'i kullanarak oturum açma günlüklerini izleyebilir ve kırılabilir hesaplar her oturum açtığında yöneticilerinize e-posta ve SMS uyarılarını tetikleyebilirsiniz.

Önkoşullar

1. Microsoft Entra oturum açma günlüklerini Azure İzleyici'ye gönderin.

Kesme camı hesaplarının Nesne Kimliklerini alma

1. Microsoft Entra yönetim merkezinde en az Kullanıcı Yönetici istrator olarak oturum açın.

2. Kimlik>Kullanıcıları Tüm kullanıcılar'a> göz atın.

3. Cam kıran hesabı arayın ve kullanıcının adını seçin.

4. Daha sonra kullanabilmek için Nesne Kimliği özniteliğini kopyalayın ve kaydedin.

5. İkinci cam kıran hesap için önceki adımları yineleyin.

Uyarı kuralı oluşturma

1. Azure portalında en az İzleme Katkıda Bulunanı olarak oturum açın.

2. Log Analytics çalışma alanlarını izleme'ye >göz atın.

3. Çalışma alanını seçme.

4. Çalışma alanınızda Uyarılar>Yeni uyarı kuralı'nı seçin.

   1. Kaynak'ın altında, uyarı kuralını ilişkilendirmek istediğiniz aboneliğin abonelik olduğunu doğrulayın.

   2. Koşul'un altında Ekle'yi seçin.

   3. Sinyal adı'nın altında Özel günlük araması'yı seçin.

   4. Arama sorgusu'nun altında, iki kesme camı hesabının nesne kimliklerini ekleyerek aşağıdaki sorguyu girin.

      Dekont

      Eklemek istediğiniz her ek kesme noktası hesabı için sorguya başka bir "veya UserId == "ObjectGuid"" ekleyin.

      Örnek sorgular:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. Uyarı mantığı'nın altında aşağıdakileri girin:

      • Temel: Sonuç sayısı
      • İşleç: Büyüktür
      • Eşik değeri: 0

   6. Temel alınan değerlendirme'nin altında, sorgunun ne kadar süreyle çalışmasını istediğinize ilişkin Nokta (dakika) ve sorgunun ne sıklıkta çalıştırılmasını istediğinize ilişkin Sıklık (dakika cinsinden) öğesini seçin. Sıklık, süreye eşit veya daha küçük olmalıdır.

      

   7. Bitti'yi seçin. Artık bu uyarının tahmini aylık maliyetini görüntüleyebilirsiniz.

5. Uyarı tarafından bildirilecek bir eylem grubu seçin. Bir eylem grubu oluşturmak istiyorsanız bkz . Eylem grubu oluşturma.

6. Eylem grubunun üyelerine gönderilen e-posta bildirimini özelleştirmek için, Eylemleri Özelleştir'in altındaki eylemleri seçin.

7. Uyarı Ayrıntıları'nın altında uyarı kuralı adını belirtin ve isteğe bağlı bir açıklama ekleyin.

8. Olayın Önem Derecesi düzeyini ayarlayın. Bunu Kritik(Önem Derecesi 0) olarak ayarlamanızı öneririz.

9. Kuralı oluşturma sırasında etkinleştir'in altında evet olarak bırakın.

10. Uyarıları bir süre kapatmak için Uyarıları Gizle onay kutusunu seçin ve yeniden uyarı vermeden önce bekleme süresini girin ve kaydet'i seçin.

11. Uyarı kuralı oluştur’a tıklayın.

Eylem grubu oluşturma

1. Eylem grubu oluştur'u seçin.

   

2. Eylem grubu adını ve kısa bir ad girin.

3. Aboneliği ve kaynak grubunu doğrulayın.

4. Eylem türü altında E-posta/SMS/Gönderme/Ses'i seçin.

5. Genel Yönetici Istrator'a Bildir gibi bir eylem adı girin.

6. Eylem Türünü E-posta/SMS/Gönderme/Ses olarak seçin.

7. Yapılandırmak istediğiniz bildirim yöntemlerini seçmek için Ayrıntıları düzenle'yi seçin, gerekli kişi bilgilerini girin ve ardından ayrıntıları kaydetmek için Tamam'ı seçin.

8. Tetiklemesini istediğiniz ek eylemleri ekleyin.

9. Tamam seçeneğini işaretleyin.

Hesapları düzenli olarak doğrulama

Personel üyelerini acil durum erişim hesaplarını kullanmaları ve acil durum erişim hesaplarını doğrulamaları için eğittiğiniz zaman, en azından düzenli aralıklarla aşağıdaki adımları uygulayın:

• Güvenlik izleme personelinin hesap denetimi etkinliğinin devam ettiğinin farkında olduğundan emin olun.
• Bu hesapları kullanmak için acil durum kesme cam işleminin belgelendiğinden ve güncel olduğundan emin olun.
• Acil bir durumda bu adımları gerçekleştirmesi gerekebilecek yöneticilerin ve güvenlik görevlilerinin bu işlem hakkında eğitildiğinden emin olun.
• Acil durum erişim hesaplarınız için hesap kimlik bilgilerini, özellikle de tüm parolaları güncelleştirin ve ardından acil durum erişim hesaplarının oturum açıp yönetim görevlerini gerçekleştirebildiğini doğrulayın.
• Kullanıcıların çok faktörlü kimlik doğrulamasını veya self servis parola sıfırlamayı (SSPR) herhangi bir kullanıcının cihazına veya kişisel ayrıntılarına kaydettirmediğinden emin olun.
• Hesaplar bir cihazda çok faktörlü kimlik doğrulaması için kayıtlıysa, oturum açma veya rol etkinleştirme sırasında kullanım için cihazın acil durum sırasında kullanması gerekebilecek tüm yöneticiler tarafından erişilebilir olduğundan emin olun. Ayrıca, cihazın ortak bir hata modunu paylaşmayan en az iki ağ yolu üzerinden iletişim kurabildiğini doğrulayın. Örneğin, cihaz hem tesisin kablosuz ağı hem de hücre sağlayıcısı ağı üzerinden İnternet'e iletişim kurabilir.

Bu adımlar düzenli aralıklarla ve önemli değişiklikler için gerçekleştirilmelidir:

• En az 90 günde bir
• BT personelinde iş değişikliği, kalkış veya yeni işe alma gibi yeni bir değişiklik olduğunda
• Kuruluştaki Microsoft Entra abonelikleri değiştiğinde

Sonraki adımlar

• Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama
• Microsoft Entra Id kullanarak kullanıcı ekleme ve yeni kullanıcıyı Genel Yönetici istrator rolüne atama
• Henüz kaydolmadıysanız Microsoft Entra ID P1 veya P2'ye kaydolun
• Kullanıcı için iki aşamalı doğrulama gerektirme
• Microsoft 365 kullanıyorsanız, Microsoft 365'te Genel Yönetici istrator'lar için ek korumalar yapılandırma
• Genel Yönetici strator'ların erişim gözden geçirmesini başlatın ve mevcut Genel Yönetici strator'ları daha belirli yönetici rollerine geçirin