在 Azure AD 中管理緊急存取帳戶

請務必防止意外鎖定 Azure Active Directory (Azure AD) 組織,因為您無法以系統管理員的身分,登入或啟動其他使用者的帳戶。 您可以藉由在組織中建立兩個或多個 緊急存取帳戶,來減輕不慎失去系統管理存取權的影響。

緊急存取帳戶具有高度權限,不會指派給特定個人。 緊急存取帳戶僅限用於無法使用一般系統管理帳戶的緊急或「急用」狀況。 建議您限制只有在絕對必要時,才能使用緊急帳戶,並維護此限制目標。

本文提供在 Azure AD 中管理緊急存取帳戶的指導方針。

為何要使用緊急存取帳戶

組織在下列情況中可能需要使用緊急存取帳戶:

  • 使用者帳戶為同盟,但由於行動網路中斷或身分識別提供者運作中斷,同盟目前停用。 例如,如果您環境中的識別提供者主機已中斷,那麼當 Azure AD 重新導向至使用者的識別提供者時,使用者可能無法登入。
  • 系統管理員已透過 Azure AD Multi-Factor Authentication 進行註冊,但所有個別裝置或服務皆無法使用。 使用者可能無法完成 Multi-Factor Authentication 來啟動角色。 例如,行動網路的中斷會讓使用者無法接聽來電或接收文字簡訊 (唯一為裝置註冊的兩種驗證機制)。
  • 具有最新全域系統管理員存取權的人員已離開組織。 Azure AD 可防止最新的「全域管理員」帳戶遭到刪除,但無法防止該帳戶在內部部署環境中遭到刪除或停用。 其中任一情況皆可能造成組織無法復原帳戶。
  • 可能發生未預期的緊急情況,例如自然災害緊急情況,在此期間可能無法使用行動電話或其他網路。

建立緊急存取帳戶

建立兩個或以上的緊急存取帳戶。 這些帳戶應該是使用 *.onmicrosoft.com 網域的雲端限定帳戶,而且未與內部部署環境同盟或同步。

設定這些帳戶時,必須符合下列需求:

  • 這些緊急存取帳戶不應與組織中的任何個別使用者相關聯。 請確定您的帳戶未連線至任何員工提供的行動電話、會與個別員工一同移動的硬體權杖,或其他員工專屬的認證。 此預防措施適用於需要認證時卻聯絡不到個別員工的狀況。 請務必確保任何已註冊的裝置可處於已知且安全的位置,並有多個方法可與 Azure AD 通訊。
  • 針對您的緊急存取帳戶使用增強式驗證,並確定其不會使用與其他系統管理帳戶相同的驗證方法。 例如,如果您的一般系統管理員帳戶使用 Microsoft Authenticator 應用程式進行增強式驗證,請針對您的緊急帳戶使用 FIDO2 安全性金鑰。 請考慮 各種驗證方法的相依性,以避免在驗證程式中加入外部需求。
  • 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。
  • 在 Azure AD Privileged Identity Management 中,您應該將全域管理員角色指派設為永久,而不是符合緊急存取帳戶的資格。

將至少一個帳戶從電話式多重要素驗證中排除

若要降低因密碼洩漏而遭到攻擊的風險,Azure AD 建議您要求所有個別使用者使用多重要素驗證。 這個群組包含管理員和所有其他人員 (例如財務人員),其遭洩漏的帳戶會造成重大影響。

但是,至少有一個緊急存取帳戶不應該具有與其他非緊急帳戶相同的多重要素驗證機制。 這包括第三方多重要素驗證解決方案。 如果您具備條件式存取原則,要針對 Azure AD 和其他連線的軟體即服務 (SaaS) 應用程式,要求每位管理員進行多重要素驗證,則應該將緊急存取帳戶從此要求中排除,並設定其他機制。 此外,您應該確定帳戶沒有每位使用者的多重要素驗證原則。

從條件式存取原則中排除至少一個帳戶

在緊急情況下,您不希望有可能會阻止您存取以解決問題的原則。 如果您使用條件式存取,則必須從所有條件式存取原則中排除至少一個緊急存取帳戶。

同盟指引

某些組織會使用 AD 網域服務和 AD FS 或類似的身分識別提供者來與 Azure AD 同盟。 內部部署系統的緊急存取以及雲端服務的緊急存取,都應該保持相異,而不會相依于另一項。 當系統 (的) 發生中斷時,對於具有其他系統緊急存取權限之帳戶的主控和或來源驗證,會增加不必要的風險。

安全地儲存帳戶認證

組織需要確保緊急存取帳戶的認證保持在安全狀態,且僅有獲得授權使用的個人知道該認證內容。 有些客戶使用智慧卡,而其他客戶使用密碼。 緊急存取帳戶的密碼通常會分成兩個或三個部分、記錄在不同的紙上,以及儲存在不同安全地點的安全防火保險箱中。

如果使用密碼,請確定帳戶具有不會使密碼過期的強式密碼。 理想情況下,密碼長度應該至少為 16 個字元,並隨機產生。

監視登入與稽核記錄

組織應該監視來自緊急帳戶的登入和稽核記錄活動,並且對其他系統管理員觸發通知。 當您監視急用帳戶的活動時,您可以確認這些帳戶僅用於測試或實際的緊急事件。 您可以使用 Azure Log Analytics 來監視登入記錄,並在每次急用帳戶登入時,對您的系統管理員觸發電子郵件和 SMS 警示。

Prerequisites

  1. 傳送 Azure AD 登入記錄至 Azure 監視器。

取得急用帳戶的物件識別碼

  1. 使用指派給使用者系統管理員角色的帳戶登入 Azure 入口網站Azure AD admin center

  2. 選取 [Azure Active Directory] > [使用者]。

  3. 搜尋急用帳戶,然後選取使用者的名稱。

  4. 複製並儲存物件識別碼屬性,讓您稍後可以使用。

  5. 針對第二個急用帳戶重複上述步驟。

建立警示規則

  1. 使用指派給 Azure 監視器中 [監視參與者] 角色的帳戶,登入 Azure 入口網站
  2. 選取 [所有服務],在 [搜尋] 中輸入 "log analytics",然後選取 [Log Analytics 工作區]。
  3. 選取工作區。
  4. 在您的工作區中,選取 [警示] > [新增警示規則]。
    1. 在 [資源] 底下,確認訂用帳戶是您要與警示規則產生關聯的訂用帳戶。

    2. 在 [條件] 底下,選取 [新增]。

    3. 選取 [訊號名稱] 底下的 [自訂記錄搜尋]。

    4. 在 [搜尋查詢] 下,輸入下列查詢,插入兩個急用帳戶的物件識別碼。

      注意

      針對您想要包含的每個額外急用帳戶,將其他 "or UserId == "ObjectGuid"" 新增至查詢。

      將急用帳戶的物件識別碼新增至警示規則

    5. 在 [警示邏輯] 底下輸入下列項目:

      • 依據:結果數目
      • 運算子:大於
      • 閾值:0
    6. 在 [評估根據] 底下,針對要執行查詢多久時間選取 [期間 (以分鐘為單位)],以及針對執行查詢的頻率選取 [頻率 (以分鐘為單位)]。 頻率應小於或等於期間。

      警示邏輯

    7. 選取 [完成] 。 您現在可以看到此警示的每月預估成本。

  5. 選取要由警示通知的使用者動作群組。 如果您想要建立一個群組,請參閱建立動作群組
  6. 若要自訂傳送至動作群組成員的電子郵件通知,請選取 [自訂動作] 底下的動作。
  7. 在 [警示詳細資料] 底下,指定警示規則名稱並新增選擇性的描述。
  8. 設定事件的 嚴重性層級。 我們建議您將其設定為 [重大 (嚴重性 0)]。
  9. 於 [在建立時啟用規則] 底下,保留其設定為 [是]。
  10. 若要將警示關閉一段時間,請選取 [隱藏警示] 核取方塊,輸入再次警示之前的等候持續時間,然後選取 [儲存]。
  11. 按一下 [建立警示規則]。

建立動作群組

  1. 選取 [建立動作群組]。

    建立通知動作的動作群組

  2. 指定動作群組名稱和簡短名稱。

  3. 確認訂用帳戶和資源群組。

  4. 在動作類型底下,選取 [電子郵件/簡訊/推播/語音]。

  5. 輸入動作名稱,例如 通知全域管理員

  6. 針對 [動作類型],選取 [電子郵件/簡訊/推播/語音]。

  7. 選取 [編輯詳細資料] 以選取您要設定的通知方法,並輸入必要的連絡人資訊,然後選取 [確定] 以儲存詳細資料。

  8. 新增您想要觸發的任何其他動作。

  9. 選取 [確定]。

定期驗證帳戶

當您培訓員工成員使用緊急存取帳戶並驗證緊急存取帳戶時,請至少定期執行下列步驟:

  • 確定安全性監控人員了解帳戶檢查活動須持續進行。
  • 確定要使用這些帳戶的緊急急用程序已記錄下來,而且是最新的。
  • 確定緊急情況下可能需要執行這些步驟的系統管理員和安全人員接受有關此程序的培訓。
  • 為緊急存取帳戶更新帳戶認證,尤其是任何密碼,然後驗證緊急存取帳戶是否可以登入並執行管理工作。
  • 確定使用者尚未將 Multi-Factor Authentication 或自助式密碼重設 (SSPR) 註冊至任何個別使用者的裝置或個人詳細資料。
  • 如果帳戶已在裝置上註冊以使用 Multi-Factor Authentication (在登入或角色啟用時使用),請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取裝置。 另外也請確認裝置已透過至少兩個失敗模式不同的網路路徑來進行通訊。 例如,裝置可以透過設施的無線網路和電信業者提供的網路來與網際網路通訊。

應該定期執行這些步驟,並進行重要變更:

  • 至少每隔 90 天
  • 當 IT 人員在最近發生變動時,例如工作變更、離職或雇用新人員
  • 當組織中的 Azure AD 訂用帳戶發生變更時

後續步驟