Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID

Sie müssen unbedingt verhindern, versehentlich aus Ihrer Microsoft Entra-Organisation ausgeschlossen zu werden, weil Sie sich nicht anmelden oder Konten anderer Benutzer*innen als Administrator aktivieren können. Sie können die Auswirkungen eines versehentlichen Verlusts des Administratorzugriffs abmildern, indem Sie mindestens zwei Konten für den Notfallzugriff in Ihrer Organisation erstellen.

Konten für den Notfallzugriff verfügen über umfangreiche Berechtigungen und werden keinen Einzelpersonen zugewiesen. Konten für den Notfallzugriff sind auf Notfallsituationen oder Szenarien beschränkt, in denen normale Administratorkonten nicht verwendet werden können. Sie sollten die Verwendung der Notfallkonten ausschließlich auf Fälle beschränken, in denen dies absolut notwendig ist.

Dieser Artikel enthält Richtlinien zum Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.

Gründe zur Verwendung eines Kontos für den Notfallzugriff

Eine Organisation könnte beispielsweise in den folgenden Situationen auf ein Konto für den Notfallzugriff zurückgreifen:

  • Die Benutzerkonten befinden sich in einem Verbund, und der Verbund ist aktuell nicht verfügbar, weil ein Mobilfunknetz oder ein Identitätsanbieter ausgefallen ist. Wenn beispielsweise der Identitätsanbieterhost in Ihrer Umgebung nicht erreichbar ist, können sich die Benutzer möglicherweise nicht anmelden, wenn sie von Microsoft Entra ID an ihren Identitätsanbieter umgeleitet werden.
  • Die Administratoren sind über Microsoft Entra Multi-Faktor-Authentifizierung registriert, und keines der von ihnen verwendeten Geräte ist verfügbar, oder der Dienst ist nicht verfügbar. Benutzer können möglicherweise keine Multi-Faktor-Authentifizierung durchführen, um eine Rolle zu aktivieren. Beispielsweise können bei einem Ausfall des Mobilfunknetzes keine Anrufe entgegengenommen oder SMS empfangen werden, womit die einzigen registrierten Authentifizierungsmechanismen für ihr Gerät wegfallen.
  • Die Person, die zuletzt über globalen Administratorzugriff verfügte, hat die Organisation verlassen. Microsoft Entra ID verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber das lokale Löschen oder Deaktivieren des Kontos wird nicht verhindert. Beide Situationen können dazu führen, dass die Organisation nicht in der Lage ist, das Konto wiederherzustellen.
  • Bei unvorhersehbaren Ereignissen wie Naturkatastrophen, die dazu führen, dass Mobiltelefone oder andere Netzwerke nicht verfügbar sind.

Erstellen von Konten für den Notfallzugriff

Erstellen Sie mindestens zwei Konten für den Notfallzugriff. Bei diesen Konten sollte es sich um reine Cloudkonten handeln, die die Domäne „*.onmicrosoft.com“ verwenden und keine Verbundkonten oder Konten darstellen, die über eine lokale Umgebung synchronisiert werden.

Erstellen eines Kontos für den Notfallzugriff

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Globaler Administrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie Neuer Benutzer aus.

  4. Wählen Sie Create User (Benutzer erstellen) aus.

  5. Geben Sie dem Konto einen Benutzernamen.

  6. Geben Sie dem Konto einen Namen.

  7. Erstellen Sie ein langes und komplexes Kennwort für das Konto.

  8. Weisen Sie unter Rollen die Rolle Globaler Administrator zu.

  9. Wählen Sie unter Nutzungsspeicherort den entsprechenden Speicherort aus.

    Creating an emergency access account in Microsoft Entra ID.

  10. Klicken Sie auf Erstellen.

  11. Sicheres Speichern der Anmeldeinformationen für Konten

  12. Überwachen von Anmeldungs- und Überwachungsprotokollen

  13. Regelmäßiges Überprüfen der Konten

Beim Konfigurieren dieser Konten müssen die folgenden Anforderungen erfüllt werden:

  • Die Konten für den Notfallzugriff dürfen keinem Einzelbenutzer in der Organisation zugeordnet werden. Stellen Sie sicher, dass Ihre Konten nicht mit Mobiltelefonen von Mitarbeitern, Hardwaretoken einzelner Mitarbeiter oder anderen mitarbeiterspezifischen Anmeldeinformationen verbunden sind. Durch diese Vorsichtsmaßnahme werden Fälle abgedeckt, in denen einzelne Mitarbeiter nicht erreichbar sind, wenn die Anmeldeinformationen benötigt werden. Es muss unbedingt sichergestellt werden, dass alle registrierten Geräte an einem bekannten, sicheren Ort aufbewahrt werden, die über verschiedene Wege mit Microsoft Entra ID kommunizieren können.
  • Verwenden Sie eine sichere Authentifizierungsmethode für Ihre Konten für den Notfallzugriff, und stellen Sie sicher, dass nicht die gleichen Authentifizierungsmethoden wie für Ihre anderen Verwaltungskonten verwendet werden. Wenn Ihr normales Administratorkonto beispielsweise die Microsoft Authenticator-App für die sichere Authentifizierung verwendet, verwenden Sie einen FIDO2-Sicherheitsschlüssel für Ihre Notfallkonten. Berücksichtigen Sie die Abhängigkeiten verschiedener Authentifizierungsmethoden, um zu vermeiden, dass dem Authentifizierungsprozess externe Anforderungen hinzugefügt werden.
  • Die jeweiligen Geräte oder die Anmeldeinformationen dürfen nicht ablaufen oder aufgrund mangelnder Verwendung in den Bereich der automatisierten Bereinigung fallen.
  • In Microsoft Entra Privileged Identity Management sollten Sie die Rollenzuweisung „Globaler Administrator“ als dauerhafte Einstellung festlegen, anstatt Berechtigungen für Ihre Notfallzugriffskonten zu gewähren.

Ausschließen mindestens eines Kontos aus der telefonbasierten Multi-Faktor-Authentifizierung

Um das Risiko von Angriffen zu verringern, die aus kompromittierten Kennwörtern resultieren, empfiehlt das Microsoft Entra ID-Team, die Multi-Faktor-Authentifizierung (MFA) für alle individuellen Benutzer als verbindlich festzulegen. Diese Gruppe umfasst Administratoren und alle weiteren Benutzer (z. B. Mitarbeiter der Finanzabteilung), bei denen ein kompromittiertes Konto erhebliche Auswirkungen haben kann.

Für mindestens eines Ihrer Konten für den Notfallzugriff sollte jedoch nicht der gleiche MFA-Mechanismus wie für Ihre anderen (normalen) Konten verwendet werden. Dies schließt Drittanbieterlösungen für die Multi-Faktor-Authentifizierung ein. Wenn Sie eine Richtlinie für bedingten Zugriff festgelegt haben, um Multi-Faktor-Authentifizierung für alle Administratoren für Microsoft Entra ID und andere verbundene Software-as-a-Service-Apps (SaaS-Apps) zu erzwingen, sollten Sie die Konten für den Notfallzugriff aus dieser Anforderung ausschließen und stattdessen einen anderen Mechanismus konfigurieren. Darüber hinaus sollten Sie sicherstellen, dass für die Konten keine Richtlinie für die Multi-Faktor-Authentifizierung pro Benutzer festgelegt ist.

Ausschließen mindestens eines Kontos aus Richtlinien für bedingten Zugriff

In einem Notfall soll eine Richtlinie Ihren Zugriff nicht potenziell blockieren, um ein Problem zu beheben. Wenn Sie den bedingten Zugriff verwenden, muss mindestens ein Konto für den Notfallzugriff von allen Richtlinien für bedingten Zugriff ausgeschlossen werden.

Verbundleitfaden

Einige Organisationen verwenden AD-Domänendienste und AD FS oder einen ähnlichen Identitätsanbieter, um einen Verbund mit Microsoft Entra ID zu bilden. Zwischen dem Notfallzugriff für lokale Systeme und dem Notfallzugriff für Clouddienste sollte unterschieden werden, und diese sollten nicht voneinander abhängig sein. Das Verwenden und Bereitstellen der Authentifizierung für Konten mit Notfallzugriffsrechten aus anderen Systemen sorgt für unnötiges Risiko im Fall eines Ausfalls dieser Systeme.

Sicheres Speichern der Anmeldeinformationen für Konten

Organisationen müssen sicherstellen, dass die Anmeldeinformationen für Konten für den Notfallzugriff sicher aufbewahrt werden und nur den Personen bekannt sind, die für deren Verwendung autorisiert sind. Einige Kunden verwenden eine Smartcard für Windows Server AD, einen FIDO2-Sicherheitsschlüssel für Microsoft Entra ID, andere verwenden Kennwörter. Ein Kennwort für ein Konto für den Notfallzugriff wird in der Regel in zwei oder drei Teile unterteilt, die separat auf Papier festgehalten und in geschützten, feuerfesten Tresoren hinterlegt werden, die sich an sicheren, getrennten Standorten befinden.

Stellen Sie bei Verwendung von Kennwörtern sicher, dass die Konten über sichere Kennwörter verfügen, die nicht ablaufen. Im Idealfall sollten die Kennwörter mindestens 16 Zeichen umfassen und zufällig generiert werden.

Überwachen von Anmeldungs- und Überwachungsprotokollen

Organisationen sollten die von den Notfallkonten ausgehenden Anmelde- und Überwachungsprotokollaktivitäten überwachen und Benachrichtigungen anderer Administratoren auslösen. Wenn Sie die Aktivität von Konten für den Notfallzugriff überwachen, können Sie sicherstellen, dass diese Konten nur für Tests oder tatsächliche Notfälle verwendet werden. Sie können mit Azure Log Analytics die Anmeldeprotokolle überwachen und E-Mail- und SMS-Warnungen an Ihre Administratoren senden, wenn sich Konten für den Notfallzugriff anmelden.

Voraussetzungen

  1. Senden Sie Microsoft Entra Anmeldeprotokolle an Azure Monitor.

Abrufen von Objekt-IDs der Konten für den Notfallzugriff

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Suchen Sie nach dem Konto für den Notfallzugriff, und wählen Sie den Namen des Benutzers aus.

  4. Kopieren und speichern Sie das Objekt-ID-Attribut, damit Sie es später verwenden können.

  5. Wiederholen Sie die vorherigen Schritte für das zweite Konto für den Notfallzugriff.

Erstellen einer Warnungsregel

  1. Melden Sie sich beim Azure-Portal mindestens mit der Rolle Mitwirkender an der Überwachung an.

  2. Navigieren Sie zu Überwachung>Log Analytics-Arbeitsbereiche.

  3. Wählen Sie einen Arbeitsbereich aus.

  4. Wählen Sie in Ihrem Arbeitsbereich Warnungen>Neue Warnungsregel aus.

    1. Überprüfen Sie unter Ressource, ob es sich bei dem Abonnement um das Abonnement handelt, dem Sie die Warnungsregel zuordnen möchten.

    2. Wählen Sie unter Bedingung die Option Hinzufügen aus.

    3. Wählen Sie Benutzerdefinierte Protokollsuche unter Signalname aus.

    4. Geben Sie unter Suchabfrage die folgende Abfrage ein, und fügen Sie die Objekt-IDs der beiden Konten für den Notfallzugriff ein.

      Hinweis

      Fügen Sie für jedes weitere Konto für den Notfallzugriff, das Sie einschließen möchten, ein weiteres „or UserId == "ObjectGuid"“ in die Abfrage ein.

      Beispielabfragen:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Add the object IDs of the break glass accounts to an alert rule

    5. Geben Sie unter Warnungslogik Folgendes ein:

      • Basierend auf: Anzahl der Ergebnisse
      • Operator: Größer als
      • Schwellenwert: 0
    6. Wählen Sie unter Auswertung basierend auf den Zeitraum (in Minuten) aus, für den die Abfrage ausgeführt werden soll, und die Häufigkeit (in Minuten) , mit der die Abfrage ausgeführt werden soll. Die Häufigkeit sollte kleiner als der Zeitraum oder gleich sein.

      alert logic

    7. Wählen Sie Fertig aus. Sie können jetzt die geschätzten monatlichen Kosten dieser Warnung anzeigen.

  5. Wählen Sie eine Aktionsgruppe von Benutzern aus, die durch die Warnung benachrichtigt werden soll. Wenn Sie eine erstellen möchten, finden Sie weitere Informationen unter Erstellen einer Aktionsgruppe.

  6. Zum Anpassen der E-Mail-Benachrichtigung, die an die Mitglieder der Aktionsgruppe gesendet wird, wählen Sie unter Aktionen anpassen Aktionen aus.

  7. Geben Sie unter Warnungsdetails den Namen der Warnungsregel an, und fügen Sie eine optionale Beschreibung hinzu.

  8. Legen Sie den Schweregrad des Ereignisses fest. Sie sollten ihn auf Kritisch (Schweregrad 0) festlegen.

  9. Behalten Sie unter Regel beim Erstellen aktivieren die Einstellung ja bei.

  10. Wenn Sie Warnungen für eine Weile deaktivieren möchten, aktivieren Sie das Kontrollkästchen Warnungen unterdrücken, geben Sie die Wartezeit vor der Warnung erneut ein, und wählen Sie dann Speichern aus.

  11. Klicken Sie auf Warnungsregel erstellen.

Erstellen einer Aktionsgruppe

  1. Wählen Sie Erstellen einer Aktionsgruppe aus.

    create an action group for notification actions

  2. Geben Sie den Namen für die Aktionsgruppe und einen kurzen Namen ein.

  3. Überprüfen Sie Abonnement und Ressourcengruppe.

  4. Wählen Sie unter Aktionstyp E-Mail/SMS/Push/Sprachanruf aus.

  5. Geben Sie einen Aktionsnamen ein, z. B. Globale Administrator*innen benachrichtigen.

  6. Wählen Sie den AktionstypE-Mail/SMS/Push/Sprachanruf aus.

  7. Wählen Sie Details bearbeiten aus, um die zu konfigurierenden Benachrichtigungsmethoden auszuwählen, geben Sie die erforderlichen Kontaktinformationen ein, und wählen Sie dann OK aus, um die Details zu speichern.

  8. Fügen Sie ggf. zusätzliche Aktionen hinzu, die Sie auslösen möchten.

  9. Klicken Sie auf OK.

Regelmäßiges Überprüfen der Konten

Wenn Sie Mitarbeiter in der Verwendung und Überprüfung von Konten für den Notfallzugriff schulen, führen Sie mindestens die folgenden Schritte in regelmäßigen Abständen aus:

  • Stellen Sie sicher, dass die für die Sicherheitsüberwachung verantwortlichen Mitarbeiter darüber informiert sind, dass eine Kontoüberprüfung stattfindet.
  • Stellen Sie sicher, dass der Notfallprozess zur Verwendung dieser Konten dokumentiert und aktuell ist.
  • Stellen Sie sicher, dass Administratoren und Sicherheitsbeauftragte, die diese Schritte bei einem Notfall möglicherweise ausführen müssen, entsprechend geschult sind.
  • Aktualisieren Sie die Kontoanmeldeinformationen (insbesondere alle Kennwörter) für Ihre Konten für den Notfallzugriff, und überprüfen Sie dann, ob Sie sich mit den Konten für den Notfallzugriff anmelden und damit administrative Aufgaben ausführen können.
  • Stellen Sie sicher, dass die Benutzer keine Multi-Faktor-Authentifizierung oder Self-Service-Kennwortzurücksetzung mit persönlichen Geräten oder Informationen registriert haben.
  • Wenn die Konten für Multi-Faktor-Authentifizierung mit einem Gerät zur Verwendung während der Anmeldung oder Rollenaktivierung registriert sind, stellen Sie sicher, dass das Gerät für alle Administratoren zugänglich ist, die es bei einem Notfall möglicherweise verwenden müssen. Stellen Sie außerdem sicher, dass das Gerät über mindestens zwei Netzwerkpfade kommunizieren kann, die nicht dasselbe Ausfallverhalten zeigen. Beispiel: Das Gerät kann über ein Drahtlosnetzwerk der Organisation und über das Netz eines Mobilfunkanbieters mit dem Internet kommunizieren.

Diese Schritte sollten in regelmäßigen Abständen und für wichtige Änderungen ausgeführt werden:

  • Mindestens alle 90 Tage
  • Bei einem Wechsel bei den IT-Mitarbeitern, z. B. bei einem Positionswechsel, beim Ausscheiden eines Mitarbeiters oder bei einer Neueinstellung
  • Bei einer Änderung der Microsoft Entra-Abonnements in der Organisation

Nächste Schritte