Vészhelyzeti hozzáférési fiókok kezelése az Azure AD-ben

Fontos annak megakadályozása, hogy véletlenül ki lehessen Önt zárni az Azure Active Directory- (Azure AD-) szervezetből, mert akkor nem tud rendszergazdaként bejelentkezni, vagy rendszergazdaként aktiválni egy másik felhasználó fiókját. Ha van esély rá, hogy véletlenül elveszíti a rendszergazdai hozzáférését, a helyzet súlyosságát enyhítheti azzal, ha létrehoz legalább két vészhelyzeti hozzáférési fiókot a szervezetben.

A vészhelyzeti hozzáférési fiókok magas szintű jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A vészhelyzeti hozzáférési fiókok csak az olyan vészhelyzeti esetekre valók, amikor a normál rendszergazdai fiókok nem használhatók. Javasoljuk, hogy tartsa fenn azt a célt, hogy a vészhelyzeti fiókok használatát csak akkor korlátozza, amikor az feltétlenül szükséges.

Ez a cikk útmutatást nyújt a vészhelyzeti hozzáférési fiókok Azure AD történő kezeléséhez.

Miért érdemes vészhelyzeti hozzáférési fiókot használni?

Előfordulhat, hogy egy szervezetnek vészhelyzeti hozzáférési fiókot kell használnia a következő helyzetekben:

  • A felhasználói fiókok összevontak, és az összevonás jelenleg nem érhető el a cellahálózat megszakadása vagy az identitásszolgáltató szolgáltatáskimaradása miatt. Ha például a környezet identitásszolgáltató-szolgáltatója leállt, előfordulhat, hogy a felhasználók nem tudnak bejelentkezni, amikor Azure AD átirányítják az identitásszolgáltatójukhoz.
  • A rendszergazdákat Azure AD Multi-Factor Authentication használatával regisztrálják, és az összes eszközük nem érhető el, vagy a szolgáltatás nem érhető el. Előfordulhat, hogy a felhasználók nem tudják elvégezni a többtényezős hitelesítést egy szerepkör aktiválásához. A cellahálózati kimaradás például megakadályozza, hogy telefonhívásokat fogadjanak vagy SMS-t fogadjanak, ez az egyetlen két hitelesítési mechanizmus, amelyet regisztráltak az eszközükre.
  • A legutóbbi globális rendszergazdai hozzáféréssel rendelkező személy elhagyta a szervezetet. Azure AD megakadályozza az utolsó globális rendszergazdai fiók törlését, de nem akadályozza meg a fiók helyszíni törlését vagy letiltását. Bármelyik helyzet miatt előfordulhat, hogy a szervezet nem tudja helyreállítani a fiókot.
  • Előre nem látható körülmények, például természeti vészhelyzet, amely során a mobiltelefon vagy más hálózatok elérhetetlenné válhatnak.

Vészhelyzeti hozzáférési fiókok létrehozása

Hozzon létre két vagy több vészhelyzeti hozzáférési fiókot. Ezeknek a fiókoknak csak felhőalapú fiókoknak kell lenniük, amelyek a *.onmicrosoft.com tartományt használják, és amelyek nincsenek összevonva vagy szinkronizálva helyszíni környezetből.

Vészhelyzeti hozzáférési fiók létrehozása

  1. Jelentkezzen be a Azure Portal vagy Azure AD Felügyeleti központba meglévő globális rendszergazdaként.

  2. Válassza az Azure ActiveDirectory-felhasználók> lehetőséget.

  3. Válassza az Új felhasználó lehetőséget.

  4. Válassza a Felhasználó létrehozása lehetőséget.

  5. Adjon felhasználónevet a fióknak.

  6. Adjon nevet a fióknak.

  7. Hozzon létre egy hosszú és összetett jelszót a fiókhoz.

  8. A Szerepkörök területen rendelje hozzá a globális rendszergazdai szerepkört.

  9. A Használati hely területen válassza ki a megfelelő helyet.

    Vészhelyzeti hozzáférési fiók létrehozása Azure AD.

  10. Válassza a Létrehozás lehetőséget.

  11. Biztonságosan tárolhatja a fiók hitelesítő adatait.

  12. A bejelentkezési és auditnaplók monitorozása.

  13. A fiókok rendszeres ellenőrzése.

Ezeknek a fiókoknak a konfigurálásakor a következő követelményeknek kell teljesülniük:

  • A vészhelyzeti hozzáférési fiókok nem társíthatók a szervezet egyetlen felhasználójával sem. Győződjön meg arról, hogy a fiókjai nem kapcsolódnak az alkalmazottak által biztosított mobiltelefonokhoz, az egyes alkalmazottakkal utazó hardvertokenekhez vagy más alkalmazottspecifikus hitelesítő adatokhoz. Ez az óvintézkedés olyan esetekre vonatkozik, amikor az egyes alkalmazottak nem érhetők el, ha a hitelesítő adatokra szükség van. Fontos gondoskodni arról, hogy a regisztrált eszközök olyan ismert, biztonságos helyen legyenek tárolva, amely több módon kommunikál Azure AD.
  • Használjon erős hitelesítést a vészhelyzeti hozzáférési fiókokhoz, és győződjön meg arról, hogy nem ugyanazokat a hitelesítési módszereket használja, mint a többi rendszergazdai fiók. Ha például a normál rendszergazdai fiók a Microsoft Authenticator alkalmazást használja az erős hitelesítéshez, használjon FIDO2 biztonsági kulcsot a vészhelyzeti fiókokhoz. Vegye figyelembe a különböző hitelesítési módszerek függőségeit, hogy ne adjon hozzá külső követelményeket a hitelesítési folyamathoz.
  • Az eszköz vagy a hitelesítő adatok nem járnak le vagy nem lehetnek automatikus tisztítási hatókörben használat hiánya miatt.
  • A Azure AD Privileged Identity Management a globális rendszergazdai szerepkör-hozzárendelést állandóvá kell tennie ahelyett, hogy jogosult lenne a vészhelyzeti hozzáférési fiókokra.

Legalább egy fiók kizárása a telefonalapú többtényezős hitelesítésből

A jelszó feltörése miatti támadások kockázatának csökkentése érdekében Azure AD azt javasolja, hogy minden egyes felhasználónak többtényezős hitelesítést kelljen kérnie. Ebbe a csoportba tartoznak a rendszergazdák és az összes többi (például pénzügyi tisztviselő), akiknek a feltört fiókja jelentős hatással lenne.

A vészhelyzeti hozzáférési fiókok legalább egyikének azonban nem lehet ugyanaz a többtényezős hitelesítési mechanizmusa, mint a többi nem vészhelyzeti fióknak. Ide tartoznak a harmadik féltől származó többtényezős hitelesítési megoldások. Ha feltételes hozzáférési szabályzattal rendelkezik, amely többtényezős hitelesítést követel meg minden rendszergazda számára Azure AD és más csatlakoztatott szolgáltatott szoftveres (SaaS-) alkalmazásokhoz, zárja ki a vészhelyzeti hozzáférési fiókokat ebből a követelményből, és konfiguráljon helyette egy másik mechanizmust. Emellett győződjön meg arról, hogy a fiókok nem rendelkeznek felhasználónkénti többtényezős hitelesítési szabályzattal.

Legalább egy fiók kizárása a feltételes hozzáférési szabályzatokból

Vészhelyzet esetén nem szeretné, hogy egy szabályzat esetleg letiltsa a hozzáférést a probléma megoldásához. Ha feltételes hozzáférést használ, legalább egy vészhelyzeti hozzáférési fiókot ki kell zárni az összes feltételes hozzáférési szabályzatból.

Összevonási útmutató

Egyes szervezetek az AD Domain Servicest és az AD FS-t vagy hasonló identitásszolgáltatót használnak a Azure AD összevonásához. A helyszíni rendszerek vészhelyzeti hozzáférését és a felhőszolgáltatások vészhelyzeti hozzáférését külön-külön kell tárolni, a másiktól nem függve. A más rendszerekből vészhelyzeti hozzáférési jogosultságokkal rendelkező fiókok hitelesítésének elsajátítása és beszerzése szükségtelen kockázatot jelent a rendszer(ek) kimaradása esetén.

Fiók hitelesítő adatainak biztonságos tárolása

A szervezeteknek gondoskodniuk kell arról, hogy a vészhelyzeti hozzáférési fiókok hitelesítő adatai biztonságban legyenek, és csak azoknak a személyeknek legyenek ismertek, akik jogosultak a használatukra. Egyes ügyfelek intelligens kártyát használnak Windows Server AD, egy FIDO2 biztonsági kulcsot Azure AD, míg mások jelszavakat. A vészhelyzeti hozzáférési fiókok jelszava általában két vagy három részre van osztva, külön papírra van írva, és biztonságos, tűzálló széfekben tárolja őket, amelyek biztonságos, különálló helyeken találhatók.

Ha jelszavakat használ, győződjön meg arról, hogy a fiókok erős jelszavakkal rendelkeznek, amelyek nem járnak le a jelszóval. Ideális esetben a jelszavaknak legalább 16 karakter hosszúnak kell lenniük, és véletlenszerűen kell generálni őket.

Bejelentkezési és auditnaplók monitorozása

A szervezeteknek figyelnie kell a bejelentkezési és naplózási tevékenységeket a vészhelyzeti fiókokból, és értesítéseket kell indítaniuk más rendszergazdáknak. A törésüveg-fiókokon végzett tevékenység figyelésekor ellenőrizheti, hogy ezeket a fiókokat csak teszteléshez vagy tényleges vészhelyzetekhez használják-e. Az Azure Log Analytics használatával figyelheti a bejelentkezési naplókat, és e-mail- és SMS-riasztásokat aktiválhat a rendszergazdáknak, amikor feltörik a fiókokat.

Előfeltételek

  1. Küldjön Azure AD bejelentkezési naplókat az Azure Monitornak.

A törésüveg-fiókok objektumazonosítóinak beszerzése

  1. Jelentkezzen be a Azure Portal vagy Azure AD Felügyeleti központba a Felhasználói rendszergazda szerepkörhöz rendelt fiókkal.

  2. Válassza az Azure ActiveDirectory-felhasználók> lehetőséget.

  3. Keresse meg a break-glass fiókot, és válassza ki a felhasználó nevét.

  4. Másolja és mentse az Objektumazonosító attribútumot, hogy később használhassa.

  5. Ismételje meg az előző lépéseket a második break-glass fiók esetében.

Riasztási szabály létrehozása

  1. Jelentkezzen be a Azure Portal az Azure Monitor monitorozási közreműködő szerepköréhez rendelt fiókkal.
  2. Válassza a Minden szolgáltatás lehetőséget, írja be a "log analytics" kifejezést a Keresés mezőbe, majd válassza a Log Analytics-munkaterületek lehetőséget.
  3. Jelöljön ki egy munkaterületet.
  4. A munkaterületen válassza a RiasztásokÚj riasztási> szabály lehetőséget.
    1. Az Erőforrás területen ellenőrizze, hogy az előfizetéshez szeretné-e társítani a riasztási szabályt.

    2. A Feltétel területen válassza a Hozzáadás lehetőséget.

    3. Válassza az Egyéni naplókeresés lehetőséget a Jel neve területen.

    4. A Keresési lekérdezés területen adja meg a következő lekérdezést, és szúrja be a két törésüveg-fiók objektumazonosítóit.

      Megjegyzés

      Minden további törésüveg-fiókhoz, amelyet fel szeretne venni, adjon hozzá egy másik "vagy UserId == "ObjectGuid" azonosítót a lekérdezéshez.

      Mintalekérdezések:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      A törésüveg-fiókok objektumazonosítóinak hozzáadása riasztási szabályhoz

    5. A Riasztási logika területen adja meg a következőket:

      • A következő alapján: Eredmények száma
      • Operátor: Nagyobb, mint
      • Küszöbérték: 0
    6. Az Alapján kiértékelve területen válassza ki a Lekérdezés futási idejének időtartamát (percben), és a Gyakoriságot (percekben), hogy milyen gyakran szeretné futtatni a lekérdezést. A gyakoriságnak az időszaknál kisebbnek vagy egyenlőnek kell lennie.

      riasztási logika

    7. Válassza a Kész lehetőséget. Most már megtekintheti a riasztás becsült havi költségét.

  5. Válasszon ki egy felhasználói műveletcsoportot, amelyről értesítést szeretne kapni a riasztásban. Ha létre szeretne hozni egyet, olvassa el a Műveletcsoport létrehozása című témakört.
  6. A műveletcsoport tagjainak küldött e-mail-értesítés testreszabásához válassza a Műveletek testreszabása területen található műveleteket.
  7. A Riasztás részletei területen adja meg a riasztási szabály nevét, és adjon meg egy opcionális leírást.
  8. Állítsa be az esemény súlyossági szintjét . Javasoljuk, hogy állítsa Kritikus(Sev 0) értékre.
  9. A Szabály engedélyezése létrehozáskor területen hagyja meg az igen értéket.
  10. Ha egy ideig ki szeretné kapcsolni a riasztásokat, jelölje be a Riasztások mellőzése jelölőnégyzetet , és adja meg a várakozási időtartamot, mielőtt ismét riasztást kap, majd válassza a Mentés lehetőséget.
  11. Kattintson a Riasztási szabály létrehozása lehetőségre.

Műveletcsoport létrehozása

  1. Válassza a Műveletcsoport létrehozása lehetőséget.

    műveletcsoport létrehozása értesítési műveletekhez

  2. Adja meg a műveletcsoport nevét és egy rövid nevet.

  3. Ellenőrizze az előfizetést és az erőforráscsoportot.

  4. A művelet típusa területen válassza a Email/SMS/Push/Voice lehetőséget.

  5. Adjon meg egy műveletnevet, például : Globális rendszergazda értesítése.

  6. Válassza Email/SMS/Push/Voiceművelettípust.

  7. Válassza a Részletek szerkesztése lehetőséget a konfigurálni kívánt értesítési módszerek kiválasztásához, és adja meg a szükséges kapcsolattartási adatokat, majd az OK gombra kattintva mentse a részleteket.

  8. Adjon hozzá minden további aktiválni kívánt műveletet.

  9. Válassza az OK lehetőséget.

Fiókok rendszeres ellenőrzése

Ha betanítja a személyzet tagjait, hogy vészhelyzeti hozzáférési fiókokat használjanak, és érvényesítik a vészhelyzeti hozzáférési fiókokat, legalább rendszeres időközönként hajtsa végre az alábbi lépéseket:

  • Győződjön meg arról, hogy a biztonsági figyelési munkatársak tisztában vannak azzal, hogy a fiókellenőrzési tevékenység folyamatban van.
  • Győződjön meg arról, hogy a fiókok használatához szükséges vésztörési üvegfolyamat dokumentált és aktuális.
  • Győződjön meg arról, hogy azoknak a rendszergazdáknak és biztonsági tisztviselőknek, akiknek vészhelyzet esetén el kell végezniük ezeket a lépéseket, betanítást végeznek a folyamatba.
  • Frissítse a fiók hitelesítő adatait, különösen a jelszavakat a vészhelyzeti hozzáférési fiókokhoz, majd ellenőrizze, hogy a vészhelyzeti hozzáférési fiókok képesek-e bejelentkezni és rendszergazdai feladatokat végezni.
  • Győződjön meg arról, hogy a felhasználók nem regisztráltak többtényezős hitelesítést vagy önkiszolgáló jelszóátállítást (SSPR) egyetlen felhasználó eszközére vagy személyes adataira sem.
  • Ha a fiókok regisztrálva vannak egy eszközön a többtényezős hitelesítéshez a bejelentkezés vagy a szerepkör aktiválása során való használathoz, győződjön meg arról, hogy az eszköz elérhető minden olyan rendszergazda számára, akinek vészhelyzet esetén szüksége lehet rá. Azt is ellenőrizze, hogy az eszköz legalább két olyan hálózati útvonalon keresztül tud-e kommunikálni, amelyek nem osztoznak közös meghibásodási módon. Az eszköz például egy létesítmény vezeték nélküli hálózatán és egy cellaszolgáltató hálózatán keresztül is kommunikálhat az internetre.

Ezeket a lépéseket rendszeres időközönként és a legfontosabb módosítások esetében kell végrehajtani:

  • Legalább 90 naponta
  • Amikor az informatikai személyzetben nemrégiben változás történt, például munkahelyváltás, távozás vagy új alkalmazott
  • Amikor a szervezet Azure AD előfizetései megváltoztak

Következő lépések