Verwalten von Konten für den Notfallzugriff in Azure Active Directory B2C
Es ist wichtig, dass Sie verhindern, versehentlich aus Ihrer Azure AD B2C-Organisation (Azure Active Directory B2C) ausgeschlossen zu werden, weil Sie sich nicht anmelden oder ein Konto eines anderen Benutzers als Administrator aktivieren können. Sie können die Auswirkungen eines versehentlichen Verlusts des Administratorzugriffs abmildern, indem Sie mindestens zwei Konten für den Notfallzugriff in Ihrer Organisation erstellen.
Wenn Sie diese Konten konfigurieren, müssen die folgenden Anforderungen erfüllt werden:
Die Konten für Notfallzugriff dürfen keinem einzelnen Benutzer in der Organisation zugeordnet werden. Stellen Sie sicher, dass Ihre Konten nicht mit von Mitarbeitern bereitgestellten Mobiltelefonen, Hardwaretoken, die einzelne Mitarbeiter mit sich führen, oder anderen mitarbeiterspezifischen Anmeldeinformationen verbunden sind. Durch diese Vorsichtsmaßnahme werden Fälle abgedeckt, in denen einzelne Mitarbeiter nicht erreichbar sind, wenn die Anmeldeinformationen benötigt werden. Es muss unbedingt sichergestellt werden, dass alle registrierten Geräte an einem bekannten, sicheren Ort aufbewahrt werden, die über verschiedene Wege mit Azure AD B2C kommunizieren können.
Verwenden Sie eine sichere Authentifizierungsmethode für Ihre Konten für den Notfallzugriff, und stellen Sie sicher, dass nicht die gleichen Authentifizierungsmethoden wie für Ihre anderen Verwaltungskonten verwendet werden.
Die jeweiligen Geräte oder die Anmeldeinformationen dürfen nicht ablaufen oder aufgrund mangelnder Verwendung in den Bereich der automatisierten Bereinigung fallen.
Voraussetzungen
- Wenn Sie Ihren eigenen Azure AD B2C-Mandanten noch nicht erstellt haben, erstellen Sie jetzt einen. Sie können einen vorhandenen Azure AD B2C-Mandanten verwenden.
- Grundlegendes zu Benutzerkonten in Azure AD B2C
- Grundlegendes zum Steuern des Ressourcenzugriffs mithilfe von Benutzerrollen
- Grundlegendes zum Bedingten Zugriff
Erstellen von Konten für den Notfallzugriff
Erstellen Sie mindestens zwei Konten für den Notfallzugriff. Bei diesen Konten sollte es sich um reine Cloudkonten handeln, welche die Domäne .onmicrosoft.com verwenden und nicht im Verbund sind oder in einer lokalen Umgebung synchronisiert werden.
Verwenden Sie die folgenden Schritte zum Erstellen eines Kontos für den Notfallzugriff:
Melden Sie sich als bestehender globaler Administrator im Azure-Portal an. Stellen Sie beim Verwenden Ihres Microsoft Entra-Kontos sicher, dass Sie das Verzeichnis nutzen, das Ihren Azure AD B2C-Mandanten enthält:
Wählen Sie auf der Symbolleiste des Portals das Symbol Verzeichnisse und Abonnements aus.
Suchen Sie auf der Seite Portaleinstellungen > Verzeichnisse und Abonnements das Azure AD B2C-Verzeichnis in der Liste Verzeichnisname, und klicken Sie dann auf Wechseln.
Wählen Sie unter Azure-Dienste die Option Azure AD B2C aus. Oder suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option aus.
Wählen Sie im Menü auf der linken Seite unter Verwalten die Option Benutzer aus.
Klicken Sie auf + Neuer Benutzer.
Wählen Sie Create User (Benutzer erstellen) aus.
Gehen Sie unter Identität folgendermaßen vor:
Geben Sie unter Benutzername einen eindeutigen Namen ein, etwa emergency account.
Geben Sie unter Name einen Namen ein, etwa Emergency Account.
Geben Sie unter Kennwort Ihr eindeutiges Kennwort ein.
Gehen Sie unter Gruppen und Rollen wie folgt vor:
Wählen Sie Benutzer aus.
Suchen Sie im angezeigten Bereich nach Globaler Administrator, und wählen Sie die Option und dann die Schaltfläche Auswählen aus.
Wählen Sie unter Einstellungen den entsprechenden Nutzungsstandort aus.
Klicken Sie auf Erstellen.
Beim Erstellen von Notfallkonten müssen Sie folgende Schritte ausführen:
Stellen Sie sicher, dass Sie mindestens ein Konto aus der telefonbasierten Multi-Faktor-Authentifizierung ausschließen
Wenn Sie Bedingten Zugriff verwenden, muss mindestens ein Konto für den Notfallzugriff von allen Richtlinien für den bedingten Zugriff ausgeschlossen werden.