Создание учетных записей аварийного доступа и управление ими

Завершено

Важно предотвратить случайное блокирование вашей учетной записи Microsoft Entra. С идентификатором Microsoft Entra нельзя войти или активировать учетную запись другого пользователя в качестве администратора. Вы можете снизить вероятность случайного отсутствия административного доступа. Секрет, создайте две или более учетных записей аварийного доступа в организации.

Учетные записи аварийного доступа имеют высокий уровень привилегий, и они не назначаются определенным лицам. Учетные записи экстренного доступа ограничены использованием в аварийных или чрезвычайных ситуациях, когда обычные административные учетные записи не могут быть использованы. Рекомендуется ограничить доступ к экстренной учетной записи. Используйте учетные записи только в том случае, если это необходимо.

В этой статье приведены рекомендации по управлению учетными записями аварийного доступа в идентификаторе Microsoft Entra.

Почему используется учетная запись аварийного доступа

Организации может потребоваться использовать учетную запись аварийного доступа в следующих ситуациях:

  • Учетные записи пользователей являются федеративными, и федерация в настоящее время недоступна из-за разрыва сотовой сети или сбоя поставщика удостоверений. Например, если в вашей среде поставщик удостоверений перестал работать, пользователи могут оказаться не в состоянии войти в систему, когда Microsoft Entra ID перенаправляет их к их поставщику удостоверений.
  • Администраторы зарегистрированы через многофакторную проверку подлинности Microsoft Entra. Все их отдельные устройства недоступны или служба недоступна. Пользователи могут не выполнить многофакторную проверку подлинности для активации роли. Например, сбой в сети мобильной связи мешает отвечать на телефонные звонки или получать текстовые сообщения. Особенно если эти методы проверки подлинности являются единственными двумя механизмами проверки подлинности, которые они зарегистрировали.
  • Пользователь с самым последним доступом глобального администратора покинул организацию. Идентификатор Microsoft Entra запрещает удаление последней учетной записи глобального администратора, но не предотвращает удаление или отключение учетной записи локальной среды. Любая ситуация может сделать организацию не в состоянии восстановить учетную запись.
  • Непредвиденные обстоятельства, такие как чрезвычайные ситуации в результате стихийных бедствий, во время которых мобильный телефон или другие сети могут быть недоступны.

Создание учетных записей аварийного доступа

Создайте две или более учетных записей аварийного доступа. Эти учетные записи должны быть облачными учетными записями, которые используют домен .onmicrosoft.com и не федеративные или синхронизированные из локальной среды.

Когда администратор настраивает учетные записи аварийного реагирования, необходимо выполнить следующие требования:

  • Учетные записи аварийного доступа не должны быть связаны с отдельным пользователем в организации. Убедитесь, что ваши учетные записи не подключены к мобильным телефонам, предоставленным сотрудникам, аппаратным маркерам, которые перемещаются с отдельными сотрудниками, или другим учетным данным, специфичным для сотрудников. Эта мера предосторожности охватывает случаи, когда отдельный сотрудник недоступен, когда необходимо удостоверение. Все зарегистрированные устройства должны храниться в известном безопасном расположении. Эти места нуждаются в нескольких средствах связи с Microsoft Entra ID.
  • Механизм проверки подлинности, используемый для учетной записи аварийного доступа, должен отличаться. Держите его отдельно от того, которое используется другими вашими учетными записями администратора, включая другие учетные записи аварийного доступа. Например, если обычный вход администратора осуществляется через локальную MFA, то многофакторная проверка подлинности будет другим механизмом. Однако если многофакторная проверка подлинности является основной частью проверки подлинности для учетных записей администратора, то рассмотрите другой подход для аварийных учетных записей. Попробуйте использовать условный доступ со сторонним поставщиком многофакторной аутентификации (MFA) через пользовательские элементы управления.
  • Срок действия устройства или учетных данных не должен истекать или не должно подлежать автоматической очистке из-за отсутствия использования.
  • Вы должны сделать назначение роли глобального администратора постоянным для учетных записей аварийного доступа.

Исключить хотя бы одну учетную запись из многофакторной проверки подлинности на основе телефона

Чтобы снизить риск атаки, возникшей из-за скомпрометированного пароля, идентификатор Microsoft Entra рекомендует требовать многофакторную проверку подлинности для всех отдельных пользователей. Эта группа включает администраторов и всех других (например, финансовых сотрудников), скомпрометированный счет которого имеет значительную возможность причинить вред.

Однако хотя бы одна из учетных записей аварийного доступа не должна иметь тот же механизм многофакторной проверки подлинности, что и другие учетные записи, не являющиеся экстренными. Сюда входят сторонние решения многофакторной проверки подлинности. Если у вас есть политика условного доступа, требующая многофакторной аутентификации для каждого администратора для Microsoft Entra ID и других подключенных SaaS-приложений, вы должны исключить учетные записи аварийного доступа из этого требования и настроить другой механизм. Кроме того, следует убедиться, что учетные записи не имеют политики многофакторной проверки подлинности для каждого пользователя.

Исключить хотя бы одну учетную запись из политик условного доступа

Во время чрезвычайной ситуации вы не хотите, чтобы правило потенциально блокировало ваш доступ для устранения проблемы. Не менее одной учетной записи аварийного доступа следует исключить из всех политик условного доступа.

Руководство для федерации

Другой вариант для организаций, использующих службы доменных имен AD и ADFS или аналогичный поставщик удостоверений для федерации с Microsoft Entra ID, — это настроить учетную запись аварийного доступа, для которой утверждение MFA может предоставляться этим поставщиком удостоверений. Например, учетная запись аварийного доступа может быть сохранена сертификатом и парой ключей, например одной из них, хранящейся на смарт-карте. Когда пользователь проходит проверку подлинности в AD, ADFS может предоставить утверждение идентификатору Microsoft Entra, указывающее, что пользователь выполнил требования MFA. Даже при таком подходе организации по-прежнему должны иметь облачные учетные записи аварийного доступа в случае, если федерация не может быть установлена.

Мониторинг журналов входа и аудита

Организации должны отслеживать активность входа и журнала аудита в экстренных учетных записях и отправлять уведомления другим администраторам. При мониторинге активности в аварийных учетных записях можно удостовериться, что эти учетные записи применяются только для тестирования или чрезвычайных ситуаций. Вы можете использовать Azure Log Analytics для мониторинга журналов входа и настройки оповещений по электронной почте и SMS для администраторов при входе в экстренные аккаунты.

Регулярно проверяйте учетные записи

При обучении сотрудников использовать учетные записи аварийного доступа и проверять учетные записи аварийного доступа, как минимум, выполните следующие действия через регулярные интервалы:

  • Убедитесь, что сотрудники по мониторингу безопасности знают, что действие проверки учетных записей продолжается.
  • Убедитесь, что процесс аварийного доступа для использования этих учетных записей задокументирован и актуален.
  • Убедитесь, что администраторы и сотрудники службы безопасности, которые могут потребоваться выполнить эти действия во время чрезвычайной ситуации, обучаются в процессе.
  • Обновите учетные данные учетной записи, в частности пароли, для учетных записей аварийного доступа, а затем убедитесь, что учетные записи аварийного доступа могут входить и выполнять административные задачи.
  • Убедитесь, что пользователи не зарегистрировали многофакторную проверку подлинности или самостоятельный сброс пароля (SSPR) на устройство или персональные данные отдельного пользователя.
  • Если учетные записи зарегистрированы для многофакторной проверки подлинности на устройстве, для использования во время входа или активации ролей убедитесь, что устройство доступно всем администраторам, которым может потребоваться использовать его во время чрезвычайной ситуации. Кроме того, убедитесь, что устройство может взаимодействовать по крайней мере через два сетевых пути, которые не используют общий режим сбоя. Например, устройство может взаимодействовать с интернетом через беспроводную сеть объекта и сеть оператора сотовой связи.

Эти действия должны выполняться с регулярными интервалами и для ключевых изменений:

  • По крайней мере каждые 90 дней
  • Когда произошло недавнее изменение ИТ-персонала, например изменение работы, отъезд или новый сотрудник
  • Когда подписки Microsoft Entra в организации изменились