Správa účtů pro nouzový přístup v Azure AD

Je důležité, abyste zabránili náhodnému uzamčení vaší organizace Azure Active Directory (Azure AD), protože se nemůžete přihlásit nebo aktivovat účet jiného uživatele jako správce. Abyste zmírnili dopad náhodné nemožnosti přístupu správce, vytvořte v organizaci dva nebo více účtů pro nouzový přístup.

Účty pro nouzový přístup jsou vysoce privilegované a nejsou přiřazené konkrétním jednotlivcům. Jejich použití je omezené na nouzové nebo kritické situace, kdy se nedají použít běžné účty pro správu. Doporučujeme dodržovat cíl omezit používání účtu pro tísňové volání jenom na dobu, kdy je to nezbytně nutné.

Tento článek obsahuje pokyny ke správě účtů pro nouzový přístup v Azure AD.

Proč používat účet pro nouzový přístup

Organizace může potřebovat účet pro nouzový přístup v následujících situacích:

  • Uživatelské účty jsou federované a federace je momentálně nedostupná kvůli přerušení mobilní sítě nebo výpadku zprostředkovatele identity. Pokud například hostitel zprostředkovatele identity ve vašem prostředí nefunguje, uživatelé se nemusí při Azure AD přesměrovávání na svého zprostředkovatele identity přihlásit.
  • Správci jsou zaregistrovaní prostřednictvím služby Azure AD Multi-Factor Authentication a všechna jejich jednotlivá zařízení jsou nedostupná nebo je služba nedostupná. Uživatelé možná nebudou moct dokončit vícefaktorové ověřování, aby mohli aktivovat roli. Například výpadek mobilní sítě jim brání v přijímání telefonních hovorů nebo přijímání textových zpráv, což jsou jediné dva mechanismy ověřování, které si zaregistrovali na svém zařízení.
  • Osoba s nejnovějším přístupem globálního správce opustila organizaci. Azure AD zabrání odstranění posledního účtu globálního správce, ale nezabrání odstranění nebo zakázání účtu v místním prostředí. V obou situacích může organizace účet obnovit.
  • Nepředvídatelné okolnosti, jako je například tísňová situace při přírodní katastrofě, během které může být mobilní telefon nebo jiné sítě nedostupné.

Vytvoření účtů pro nouzový přístup

Vytvořte dva nebo více účtů pro nouzový přístup. Tyto účty by měly být jenom cloudové účty, které používají doménu *.onmicrosoft.com a které nejsou federované ani synchronizované z místního prostředí.

Vytvoření účtu pro nouzový přístup

  1. Přihlaste se k centru pro správu Azure Portal nebo Azure AD jako existující globální správce.

  2. Vyberte Uživatelé Azure Active Directory>.

  3. Vyberte Nový uživatel.

  4. Vyberte Vytvořit uživatele.

  5. Zadejte uživatelské jméno účtu.

  6. Zadejte název účtu.

  7. Vytvořte pro účet dlouhé a složité heslo.

  8. V části Role přiřaďte roli Globální správce .

  9. V části Umístění využití vyberte příslušné umístění.

    Vytvoření účtu pro nouzový přístup v Azure AD

  10. Vyberte Vytvořit.

  11. Bezpečně uložte přihlašovací údaje k účtu.

  12. Monitorujte protokoly přihlášení a auditu.

  13. Pravidelně ověřujte účty.

Při konfiguraci těchto účtů musí být splněny následující požadavky:

  • Účty pro nouzový přístup by neměly být přidružené k žádnému jednotlivému uživateli v organizaci. Ujistěte se, že vaše účty nejsou připojené k žádným mobilním telefonům dodaným zaměstnanci, hardwarovým tokenům, které cestují s jednotlivými zaměstnanci, ani s jinými přihlašovacími údaji specifickými pro zaměstnance. Toto opatření se vztahuje na případy, kdy je jednotlivý zaměstnanec nedostupný, když jsou potřeba přihlašovací údaje. Je důležité zajistit, aby všechna registrovaná zařízení byla uložena na známém a zabezpečeném místě, které má několik způsobů komunikace s Azure AD.
  • Používejte silné ověřování pro účty pro nouzový přístup a ujistěte se, že nepoužívají stejné metody ověřování jako ostatní účty pro správu. Pokud například váš běžný účet správce používá k silnému ověřování aplikaci Microsoft Authenticator, použijte pro účty tísňového volání bezpečnostní klíč FIDO2. Zvažte závislosti různých metod ověřování, abyste se vyhnuli přidávání externích požadavků do procesu ověřování.
  • Zařízení nebo přihlašovací údaje nesmí vypršet nebo nesmí být v rozsahu automatizovaného čištění z důvodu nedostatečného použití.
  • V Azure AD Privileged Identity Management byste měli přiřazení role globálního správce nastavit jako trvalé, místo abyste měli nárok na účty pro nouzový přístup.

Vyloučení alespoň jednoho účtu z vícefaktorového ověřování založeného na telefonu

Aby se snížilo riziko útoku způsobeného prolomeným heslem, Azure AD doporučuje vyžadovat vícefaktorové ověřování pro všechny jednotlivé uživatele. Tato skupina zahrnuje správce a všechny ostatní (například finanční úředníky), jejichž ohrožený účet by měl významný dopad.

Alespoň jeden z vašich účtů pro nouzový přístup by ale neměl mít stejný mechanismus vícefaktorového ověřování jako ostatní účty, které nejsou nouzové. To zahrnuje řešení vícefaktorového ověřování třetích stran. Pokud máte zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování pro každého správce pro Azure AD a další připojené aplikace typu software jako služba (SaaS), měli byste z tohoto požadavku vyloučit účty pro nouzový přístup a místo toho nakonfigurovat jiný mechanismus. Kromě toho byste se měli ujistit, že účty nemají zásady vícefaktorového ověřování pro uživatele.

Vyloučení alespoň jednoho účtu ze zásad podmíněného přístupu

Během nouzového stavu nechcete, aby zásady potenciálně blokovaly váš přístup, aby opravily problém. Pokud používáte podmíněný přístup, musí být alespoň jeden účet nouzového přístupu vyloučený ze všech zásad podmíněného přístupu.

Doprovodné materiály k federaci

Některé organizace používají k federaci do Azure AD službu AD Domain Services a SLUŽBU AD FS nebo podobného zprostředkovatele identity. Nouzový přístup pro místní systémy a tísňový přístup pro cloudové služby by se měl lišit bez závislosti jednoho na druhém. Zvládnutí a zajišťování ověřování pro účty s oprávněními pro nouzový přístup z jiných systémů zvyšuje zbytečné riziko v případě výpadku těchto systémů.

Bezpečné ukládání přihlašovacích údajů k účtu

Organizace musí zajistit, aby přihlašovací údaje pro účty pro nouzový přístup byly zabezpečené a známé jenom jednotlivcům, kteří mají oprávnění je používat. Někteří zákazníci používají čipovou kartu pro Windows Server AD, klíč zabezpečení FIDO2 pro Azure AD a jiní používají hesla. Heslo k účtu pro nouzový přístup je obvykle rozděleno na dvě nebo tři části, zapsané na samostatné kusy papíru a uložené v zabezpečených protipožárních sejfech, které jsou na zabezpečených a oddělených místech.

Pokud používáte hesla, ujistěte se, že účty mají silná hesla, jejichž platnost nevyprší. V ideálním případě by hesla měla mít délku nejméně 16 znaků a měla by být náhodně generovaná.

Monitorování protokolů přihlášení a auditu

Organizace by měly monitorovat aktivitu protokolů přihlašování a auditování z účtů tísňového volání a aktivovat oznámení ostatním správcům. Když monitorujete aktivitu na účtech rozbitého skla, můžete ověřit, že se tyto účty používají pouze pro testování nebo skutečné nouzové situace. Azure Log Analytics můžete použít k monitorování protokolů přihlášení a k aktivaci e-mailových a SMS upozornění pro správce při každém přihlášení k účtu.

Požadavky

  1. Odešlete protokoly přihlášení Azure AD do Azure Monitoru.

Získání ID objektů účtů rozbitého skla

  1. Přihlaste se k centru pro správuAzure Portal nebo Azure AD pomocí účtu přiřazeného k roli Správce uživatelů.

  2. Vyberte Uživatelé Azure Active Directory>.

  3. Vyhledejte účet break-glass a vyberte jméno uživatele.

  4. Zkopírujte a uložte atribut ID objektu, abyste ho mohli později použít.

  5. Opakujte předchozí kroky pro druhý účet s rozbitým sklem.

Vytvoření pravidla upozornění

  1. Přihlaste se k Azure Portal pomocí účtu přiřazeného roli Přispěvatel monitorování ve službě Azure Monitor.
  2. Vyberte Všechny služby, do vyhledávacího pole zadejte log analytics a pak vyberte Pracovní prostory služby Log Analytics.
  3. Vyberte pracovní prostor.
  4. V pracovním prostoru vyberte Upozornění>Nové pravidlo upozornění.
    1. V části Prostředek ověřte, že se jedná o předplatné, ke kterému chcete přidružit pravidlo upozornění.

    2. V části Podmínka vyberte Přidat.

    3. V části Název signálu vyberte Vlastní vyhledávání v protokolu.

    4. V části Vyhledávací dotaz zadejte následující dotaz a vložte ID objektů dvou účtů break glass.

      Poznámka

      Pro každý další účet break glass, který chcete zahrnout, přidejte do dotazu další "nebo UserId == "ObjectGuid".

      Ukázkové dotazy:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Přidání ID objektů účtů break glass do pravidla upozornění

    5. V části Logika upozornění zadejte následující:

      • Na základě: Počet výsledků
      • Operátor: Větší než
      • Prahová hodnota: 0
    6. V části Vyhodnoceno na základě vyberte Dobu (v minutách) pro dobu, po kterou má dotaz běžet, a frekvenci (v minutách) u toho, jak často se má dotaz spouštět. Frekvence by měla být menší nebo rovna období.

      Logika upozornění

    7. Vyberte Hotovo. Teď můžete zobrazit odhadované měsíční náklady na toto upozornění.

  5. Vyberte skupinu akcí uživatelů, kteří mají být upozorněními upozorněni. Pokud ji chcete vytvořit, přečtěte si téma Vytvoření skupiny akcí.
  6. Pokud chcete přizpůsobit e-mailové oznámení odesílané členům skupiny akcí, vyberte akce v části Přizpůsobit akce.
  7. V části Podrobnosti výstrahy zadejte název pravidla upozornění a volitelně přidejte popis.
  8. Nastavte úroveň závažnosti události. Doporučujeme nastavit ji na Kritická (záv. 0).
  9. V části Povolit pravidlo při vytvoření nechte nastavenou hodnotu Ano.
  10. Pokud chcete upozornění na chvíli vypnout, zaškrtněte políčko Potlačit výstrahy , zadejte dobu čekání před dalším upozorňováním a pak vyberte Uložit.
  11. Klikněte na Vytvořit pravidlo upozornění.

Vytvoření skupiny akcí

  1. Vyberte Vytvořit skupinu akcí.

    Vytvoření skupiny akcí pro akce oznámení

  2. Zadejte název skupiny akcí a krátký název.

  3. Ověřte předplatné a skupinu prostředků.

  4. V části Typ akce vyberte Email/SMS/Nabízené/Hlasové.

  5. Zadejte název akce, například Upozornit globálního správce.

  6. Jako Typ akce vyberte Email/SMS/Push/Voice.

  7. Vyberte Upravit podrobnosti , vyberte metody oznámení, které chcete nakonfigurovat, a zadejte požadované kontaktní informace a pak vyberte OK a uložte podrobnosti.

  8. Přidejte všechny další akce, které chcete aktivovat.

  9. Vyberte OK.

Pravidelné ověřování účtů

Při školení zaměstnanců tak, aby používali účty pro nouzový přístup a ověřujete účty pro nouzový přístup, proveďte v pravidelných intervalech minimálně následující kroky:

  • Zajistěte, aby pracovníci, kteří monitorují zabezpečení, věděli, že aktivita kontroly účtu právě probíhá.
  • Ujistěte se, že je proces nouzového dělení na použití těchto účtů zdokumentovaný a aktuální.
  • Ujistěte se, že správci a bezpečnostní pracovníci, kteří by mohli potřebovat provést tyto kroky během nouzové situace, byli na tento proces vyškoleni.
  • Aktualizujte přihlašovací údaje účtu, zejména všechna hesla, pro účty pro nouzový přístup a pak ověřte, že se účty pro nouzový přístup můžou přihlásit a provádět úlohy správy.
  • Ujistěte se, že uživatelé nemají zaregistrované vícefaktorové ověřování nebo samoobslužné resetování hesla (SSPR) na zařízení nebo osobní údaje jednotlivých uživatelů.
  • Pokud jsou účty zaregistrované pro vícefaktorové ověřování v zařízení, aby je bylo možné použít při přihlašování nebo aktivaci role, ujistěte se, že je zařízení přístupné všem správcům, kteří ho můžou potřebovat používat v případě nouze. Ověřte také, že zařízení může komunikovat nejméně dvěma síťovými cestami, které nesdílely společný režim selhání. Zařízení může například komunikovat s internetem prostřednictvím bezdrátové sítě zařízení i sítě poskytovatele mobilních zařízení.

Tyto kroky by se měly provádět v pravidelných intervalech a v případě klíčových změn:

  • Alespoň každých 90 dní
  • Pokud v nedávné době došlo ke změně v oddělení IT, jako je změna zaměstnání, odchod nebo nový zaměstnanec
  • Když se Azure AD předplatná v organizaci změnila

Další kroky