Créer et gérer des comptes d’accès d’urgence

  • 7 minutes

Il est important d’empêcher le verrouillage accidentel hors de votre Microsoft Entra ID. Avec Microsoft Entra ID, vous ne pouvez pas vous connecter à un autre compte d’utilisateur en tant qu’administrateur ni l’activer. Vous pouvez atténuer le risque d’absence accidentelle d’accès administratif. Pour le secret, créez deux comptes d’accès d’urgence ou plus dans votre organisation.

Les comptes d’accès d’urgence sont hautement privilégiés et ne sont pas attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités à des cas d’urgence ou à des scénarios « de secours » où il est impossible d’utiliser des comptes d’administration normaux. Nous vous recommandons de limiter l’accès au compte d’urgence. Utilisez les comptes uniquement quand c’est nécessaire.

Cet article fournit des instructions pour la gestion des comptes d’accès d’urgence dans Microsoft Entra ID.

Pourquoi utiliser un compte d’accès d’urgence ?

Une organisation peut avoir recours à un compte d’accès d’urgence dans les situations décrites ici.

  • Les comptes d’utilisateurs sont fédérés, et la fédération est actuellement indisponible en raison d’un dysfonctionnement du réseau cellulaire ou d’une panne du fournisseur d’identité. Par exemple, si l’hôte du fournisseur d’identité dans votre environnement s’est arrêté de fonctionner, les utilisateurs risquent de ne pas pouvoir se connecter lors de la redirection de Microsoft Entra ID vers leur fournisseur d’identité.
  • Les administrateurs sont inscrits via l’authentification multifacteur Microsoft Entra. Tous leurs appareils individuels ne sont pas disponibles ou le service n’est pas disponible. Les utilisateurs peuvent se retrouver dans l’incapacité de procéder à l’authentification multifacteur pour activer un rôle. Par exemple, une panne du réseau cellulaire les empêche de répondre aux appels téléphoniques ou de recevoir des SMS. En particulier quand ces méthodes d’authentification sont les deux seuls mécanismes d’authentification qu’ils ont inscrits.
  • La personne disposant de l’accès administrateur général le plus récent a quitté l’organisation. Microsoft Entra ID empêche la suppression du dernier compte d’administrateur général, mais n’empêche pas le compte d’être supprimé ou désactivé localement. Chacune de ces situations peut rendre impossible la récupération du compte par l’organisation.
  • Un événement imprévu, comme une catastrophe naturelle, au cours duquel les téléphones mobiles ou d’autres réseaux sont indisponibles.

Créer des comptes d’accès d’urgence

Créez plusieurs comptes d’accès d’urgence. Ces comptes doivent être des comptes cloud uniquement qui utilisent le domaine .onmicrosoft.com et qui ne sont pas fédérés ou synchronisés à partir d’un environnement local.

Quand un administrateur configure des comptes d’urgence, les exigences suivantes doivent être remplies :

  • Les comptes d’accès d’urgence ne doivent pas être associés à un utilisateur individuel de l’organisation. Assurez-vous que vos comptes ne sont pas connectés avec des téléphones mobiles fournis par des employés, des jetons matériels qui voyagent avec des employés individuels ou d’autres informations d’identification spécifiques aux employés. Cette précaution de sécurité couvre les cas où un employé n’est pas joignable alors que les informations d’identification doivent être fournies. Les appareils inscrits doivent être conservés dans un emplacement sécurisé et connu. Ces emplacements doivent avoir plusieurs moyens de communiquer avec Microsoft Entra ID.
  • Le mécanisme d’authentification utilisé pour un compte d’accès d’urgence doit être différent. Gardez-le distinct de celui utilisé par les autres comptes d’administration, y compris les autres comptes d’accès d’urgence. Par exemple, si votre connexion administrateur normale a lieu via l’authentification multifacteur locale, l’authentification multifacteur est un mécanisme différent. Toutefois, si l’authentification multifacteur est la principale solution d’authentification pour vos comptes d’administration, envisagez une autre approche pour les comptes d’urgence. Essayez des opérations telles que l’utilisation de l’accès conditionnel avec un fournisseur d’authentification multifacteur tiers via des contrôles personnalisés.
  • L’appareil ou les informations d’identification ne doivent pas expirer ou faire potentiellement l’objet d’un nettoyage automatisé en raison d’une utilisation insuffisante.
  • Vous devez rendre l’attribution de rôle d’administrateur général permanente pour vos comptes d’accès d’urgence.

Exclure au moins un compte de l’authentification multifacteur par téléphone

Afin de réduire le risque d’attaques résultant d’un mot de passe compromis, Microsoft Entra ID recommande de généraliser l’authentification multifacteur pour tous les utilisateurs. Ce groupe comprend les administrateurs et tous les autres utilisateurs (par exemple, les responsables financiers) dont la compromission du compte pourrait avoir des conséquences graves.

Cependant, au moins un de vos comptes d’accès d’urgence ne doit pas avoir le même mécanisme d’authentification multifacteur que les comptes autres que ceux d’urgence. Cela inclut les solutions d’authentification multifacteur tierces. Si vous avez une stratégie d’accès conditionnel qui impose l’authentification multifacteur à chaque administrateur pour Microsoft Entra ID et d’autres applications SaaS connectées, vous devez soustraire les comptes d’accès d’urgence de cette exigence et configurer un autre mécanisme à la place. En outre, vous devez vous assurer que les comptes n’ont pas de stratégies d’authentification multifacteur basées sur l’utilisateur.

Exclure au moins un compte des stratégies d’accès conditionnel

En cas d’urgence, vous ne voulez pas qu’une stratégie bloque potentiellement votre accès afin de résoudre un problème. Au moins un compte d’accès d’urgence doit être exclu de toutes les stratégies d’accès conditionnel.

Conseils sur la fédération

Une autre option pour les organisations qui utilisent AD Domain Services et ADFS ou un fournisseur d’identité similaire à des fins de fédération sur Microsoft Entra ID, consiste à configurer un compte d’accès d’urgence dont la demande MFA peut être assurée par ce fournisseur d’identité. Par exemple, le compte d’accès d’urgence pourrait s’appuyer sur un certificat et une paire de clés stockée sur une carte à puce. Quand cet utilisateur est authentifié auprès d’AD, ADFS peut transmettre une demande à Microsoft Entra ID, indiquant que l’utilisateur a satisfait aux exigences de MFA. Même avec cette approche, les organisations doivent toujours disposer de comptes d’accès d’urgence cloud en cas d’impossibilité d’établir la fédération.

Surveiller les journaux de connexion et d’audit

Les organisations doivent surveiller les activités des journaux de connexion et d’audit à partir des comptes d’urgence et déclencher des notifications pour les autres administrateurs. Lorsque vous surveillez l’activité sur des comptes de secours, vous pouvez vérifier que ces comptes ne sont utilisés qu’à des fins de test ou d’urgence réelle. Vous pouvez utiliser Azure Log Analytics pour monitorer les journaux de connexion, et envoyer des alertes par e-mail et SMS à vos administrateurs chaque fois que des comptes d’urgence se connectent.

Valider régulièrement les comptes

Lorsque vous formez les membres du personnel à l’utilisation et à la validation des comptes d’accès d’urgence, suivez au moins les procédures suivantes à intervalles réguliers :

  • Vérifiez que le personnel chargé du monitoring de la sécurité est informé que l’activité de vérification de compte est en cours.
  • Assurez-vous que le processus d’utilisation de ces comptes est documenté et à jour.
  • Assurez-vous que les administrateurs et les responsables de la sécurité susceptibles de devoir suivre ces étapes en cas d’urgence sont formés au processus.
  • Mettez à jour les informations d’identification du compte, en particulier les mots de passe de vos comptes d’accès d’urgence, puis vérifiez que les comptes d’accès d’urgence peuvent se connecter et effectuer des tâches d’administration.
  • Vérifiez que les utilisateurs n’ont pas inscrit l’authentification multifacteur ou la réinitialisation de mot de passe en libre-service (SSPR) sur l’appareil de chaque utilisateur ou dans les détails personnels.
  • Si les comptes sont inscrits pour une authentification multifacteur sur un appareil, en vue de servir pendant la connexion ou l’activation de rôle, vérifiez que tous les administrateurs susceptibles d’utiliser l’appareil en cas d’urgence ont accès à celui-ci. Vérifiez également que l’appareil peut communiquer via au moins deux chemins d’accès réseau qui ne partagent pas un mode de défaillance commun. Par exemple, l’appareil doit être capable de communiquer sur internet via le réseau sans fil d’une installation et le réseau d’un fournisseur de données cellulaires.

Ces étapes doivent être effectuées à intervalles réguliers et pour les principaux changements :

  • Au moins tous les 90 jours
  • En cas de remaniement récent de l’équipe informatique, par exemple suite à un changement de poste, à un départ ou à l’arrivée d’un nouvel employé
  • Lorsque les abonnements Microsoft Entra de l’organisation changent