Vészhelyzeti hozzáférési fiókok kezelése az Azure AD-ben

Fontos, hogy megakadályozza, hogy véletlenül kizárják az Azure Active Directory-szervezetből (Azure AD), mert nem tud rendszergazdaként bejelentkezni vagy aktiválni egy másik felhasználó fiókját. A rendszergazdai hozzáférés véletlen hiányának következményeit csökkentheti, ha két vagy több vészhelyzeti hozzáférési fiókot hoz létre a szervezetében.

A vészhelyzeti hozzáférési fiókok magas jogosultsági szintűek, és nincsenek meghatározott személyekhez rendelve. A vészhelyzeti hozzáférési fiókok csak az olyan vészhelyzeti esetekre valók, amikor a normál rendszergazdai fiókok nem használhatók. Azt javasoljuk, hogy tartsa fenn azt a célt, hogy a vészhelyzeti fiókok használatát csak akkor korlátozza, amikor az feltétlenül szükséges.

Ez a cikk útmutatást nyújt a segélyhívási fiókok Azure AD történő kezeléséhez.

Miért érdemes vészhelyzeti hozzáférési fiókot használni?

Előfordulhat, hogy egy szervezetnek vészhelyzeti hozzáférési fiókot kell használnia a következő helyzetekben:

  • A felhasználói fiókok összevontak, és az összevonás jelenleg nem érhető el cellahálózati törés vagy identitásszolgáltatói szolgáltatáskimaradás miatt. Ha például a környezet identitásszolgáltató-szolgáltatója leállt, előfordulhat, hogy a felhasználók nem tudnak bejelentkezni, amikor Azure AD átirányítják az identitásszolgáltatójukra.
  • A rendszergazdák regisztrálva vannak Azure AD Multi-Factor Authenticationen keresztül, és az összes eszközük nem érhető el, vagy a szolgáltatás nem érhető el. Előfordulhat, hogy a felhasználók nem tudják elvégezni a többtényezős hitelesítést egy szerepkör aktiválásához. A cellahálózat leállása például megakadályozza, hogy telefonhívásokat fogadjanak vagy szöveges üzeneteket fogadjanak, ez az egyetlen két hitelesítési mechanizmus, amelyet regisztráltak az eszközükön.
  • A legutóbbi globális rendszergazdai hozzáféréssel rendelkező személy elhagyta a szervezetet. Azure AD megakadályozza az utolsó globális rendszergazdai fiók törlését, de nem akadályozza meg a fiók helyszíni törlését vagy letiltását. Bármelyik helyzet miatt előfordulhat, hogy a szervezet nem tudja helyreállítani a fiókot.
  • Előre nem látható körülmények, például természeti vészhelyzet, amelynek során a mobiltelefon vagy más hálózatok elérhetetlenné válhatnak.

Vészhelyzeti hozzáférési fiókok létrehozása

Hozzon létre két vagy több vészhozzáférés-fiókot. Ezeknek a fiókoknak csak felhőalapú fiókoknak kell lenniük, amelyek a *.onmicrosoft.com tartományt használják, és amelyek nincsenek összevonva vagy szinkronizálva helyszíni környezetből.

Vészhelyzeti hozzáférési fiók létrehozása

  1. Jelentkezzen be a Azure Portal vagy Azure AD Felügyeleti központba meglévő globális rendszergazdaként.

  2. Válassza az Azure ActiveDirectory-felhasználók> lehetőséget.

  3. Válassza az Új felhasználó lehetőséget.

  4. Válassza a Felhasználó létrehozása lehetőséget.

  5. Adjon felhasználónevet a fióknak.

  6. Nevezze el a fiókot.

  7. Hozzon létre egy hosszú és összetett jelszót a fiókhoz.

  8. A Szerepkörök területen rendelje hozzá a globális rendszergazdai szerepkört.

  9. A Használati hely területen válassza ki a megfelelő helyet.

    Vészhelyzeti hozzáférési fiók létrehozása Azure AD.

  10. Válassza a Létrehozás lehetőséget.

  11. Biztonságosan tárolja a fiók hitelesítő adatait.

  12. A bejelentkezési és auditnaplók figyelése.

  13. Rendszeresen ellenőrizze a fiókokat.

A fiókok konfigurálásakor a következő követelményeknek kell teljesülniük:

  • A vészhelyzeti hozzáférési fiókok nem társíthatók a szervezet egyetlen felhasználójával sem. Győződjön meg arról, hogy fiókjai nem kapcsolódnak az alkalmazottak által biztosított mobiltelefonokhoz, az egyes alkalmazottakkal utazó hardvertokenekhez vagy más alkalmazottspecifikus hitelesítő adatokhoz. Ez az óvintézkedés olyan esetekre vonatkozik, amikor az egyes alkalmazottak nem érhetők el, ha a hitelesítő adatokra szükség van. Fontos biztosítani, hogy a regisztrált eszközök olyan ismert, biztonságos helyen legyenek tárolva, amely több módon kommunikál Azure AD.
  • Használjon erős hitelesítést a vészhelyzeti hozzáférési fiókokhoz, és győződjön meg arról, hogy nem ugyanazokat a hitelesítési módszereket használja, mint a többi rendszergazdai fiók. Ha például a normál rendszergazdai fiókja a Microsoft Authenticator alkalmazást használja az erős hitelesítéshez, használjon FIDO2 biztonsági kulcsot a segélyhívási fiókokhoz. Vegye figyelembe a különböző hitelesítési módszerek függőségeit, hogy ne adjon külső követelményeket a hitelesítési folyamathoz.
  • Az eszköz vagy a hitelesítő adatok nem járhatnak le, és nem lehetnek automatikus tisztítási hatókörben használat hiánya miatt.
  • A Azure AD Privileged Identity Management a globális rendszergazdai szerepkör-hozzárendelést véglegessé kell tennie ahelyett, hogy jogosult lenne a vészhelyzeti hozzáférési fiókokra.

Legalább egy fiók kizárása a telefonalapú többtényezős hitelesítésből

A jelszó feltörése miatti támadások kockázatának csökkentése érdekében Azure AD azt javasolja, hogy minden egyes felhasználónak többtényezős hitelesítést kelljen kérnie. Ebbe a csoportba tartoznak a rendszergazdák és az összes többi (például pénzügyi tisztviselő), akiknek a feltört fiókja jelentős hatással lenne a fiókra.

A vészhelyzeti hozzáférési fiókok legalább egyikének azonban nem szabad ugyanazzal a többtényezős hitelesítési mechanizmusával rendelkeznie, mint a többi nem vészhelyzeti fióknak. Ide tartoznak a külső féltől származó többtényezős hitelesítési megoldások. Ha feltételes hozzáférési szabályzattal rendelkezik, amely többtényezős hitelesítést követel meg minden rendszergazdától Azure AD és más csatlakoztatott szolgáltatott szoftveres (SaaS-) alkalmazásokhoz, zárja ki a vészhelyzeti hozzáférési fiókokat ebből a követelményből, és konfiguráljon helyette egy másik mechanizmust. Emellett győződjön meg arról, hogy a fiókok nem rendelkeznek felhasználónkénti többtényezős hitelesítési szabályzattal.

Legalább egy fiók kizárása a feltételes hozzáférési szabályzatokból

Vészhelyzet esetén nem szeretné, hogy egy szabályzat esetleg letiltsa a hozzáférést a probléma megoldásához. Ha feltételes hozzáférést használ, legalább egy vészhelyzeti hozzáférési fiókot ki kell zárni az összes feltételes hozzáférési szabályzatból.

Összevonási útmutató

Egyes szervezetek az AD tartományi szolgáltatásokat és az AD FS-t vagy hasonló identitásszolgáltatót használnak a Azure AD összevonásához. A helyszíni rendszerek vészhozzáférésének és a felhőszolgáltatások vészhelyzeti hozzáférésének külön-külön kell maradnia, és nem kell egymástól függenie. A más rendszerekből vészhelyzeti hozzáférési jogosultságokkal rendelkező fiókok hitelesítésének elsajátítása és beszerzése szükségtelen kockázatot jelent a rendszer(ek) leállása esetén.

Fiók hitelesítő adatainak biztonságos tárolása

A szervezeteknek gondoskodniuk kell arról, hogy a vészhelyzeti hozzáférési fiókok hitelesítő adatai biztonságban legyenek, és csak azoknak a személyeknek legyenek ismertek, akik jogosultak a használatukra. Egyes ügyfelek intelligens kártyát használnak Windows Server AD, egy FIDO2 biztonsági kulcsot Azure AD, míg mások jelszavakat. A vészhelyzeti hozzáférési fiókok jelszava általában két vagy három részre van osztva, külön papírra írva, és biztonságos, tűzálló széfekben vannak tárolva, amelyek biztonságos, különálló helyeken találhatók.

Jelszavak használata esetén győződjön meg arról, hogy a fiókok erős jelszóval rendelkeznek, amelyek nem járnak le. Ideális esetben a jelszavaknak legalább 16 karakter hosszúnak és véletlenszerűen generáltnak kell lenniük.

Bejelentkezési és auditnaplók monitorozása

A szervezeteknek figyelnie kell a bejelentkezési és auditnapló-tevékenységeket a vészhelyzeti fiókokból, és értesítéseket kell küldenie más rendszergazdáknak. Amikor monitorozza az üvegtörési fiókok tevékenységeit, ellenőrizheti, hogy ezeket a fiókokat csak teszteléshez vagy tényleges vészhelyzetekhez használják-e. Az Azure Log Analytics használatával figyelheti a bejelentkezési naplókat, és e-mail- és SMS-riasztásokat aktiválhat a rendszergazdáknak, amikor feltörik a fiókokat.

Előfeltételek

  1. Küldjön Azure AD bejelentkezési naplókat az Azure Monitornak.

Az üvegtörési fiókok objektumazonosítóinak beszerzése

  1. Jelentkezzen be a Azure Portal vagy Azure AD Felügyeleti központba egy felhasználói rendszergazdai szerepkörhöz rendelt fiókkal.

  2. Válassza az Azure ActiveDirectory-felhasználók> lehetőséget.

  3. Keresse meg a break-glass fiókot, és válassza ki a felhasználó nevét.

  4. Másolja és mentse az Objektumazonosító attribútumot, hogy később használni tudja.

  5. Ismételje meg az előző lépéseket a második üvegtörési fiók esetében.

Riasztási szabály létrehozása

  1. Jelentkezzen be a Azure Portal az Azure Monitor monitorozási közreműködői szerepköréhez rendelt fiókkal.
  2. Válassza az Összes szolgáltatás lehetőséget", írja be a "log analytics" kifejezést a Keresés mezőbe, majd válassza ki a Log Analytics-munkaterületeket.
  3. Jelöljön ki egy munkaterületet.
  4. A munkaterületen válassza azÚj riasztási szabályriasztásai> lehetőséget.
    1. Az Erőforrás területen ellenőrizze, hogy az előfizetéssel szeretné-e társítani a riasztási szabályt.

    2. A Feltétel területen válassza a Hozzáadás lehetőséget.

    3. Válassza az Egyéni naplókeresés lehetőséget a Jel neve területen.

    4. A Keresési lekérdezés területen adja meg a következő lekérdezést, és szúrja be a két break glass fiók objektumazonosítóit.

      Megjegyzés

      Minden további beszűkíteni kívánt fiókhoz adjon hozzá egy másik "vagy UserId == "ObjectGuid" azonosítót a lekérdezéshez.

      Minta lekérdezések:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      A break glass fiókok objektumazonosítóinak hozzáadása egy riasztási szabályhoz

    5. A Riasztási logika területen adja meg a következőket:

      • A következő alapján: Találatok száma
      • Operátor: Nagyobb, mint
      • Küszöbérték: 0
    6. A Kiértékelés alapja területen válassza ki azt az időtartamot (percben), ameddig futtatni szeretné a lekérdezést, és a gyakoriságot (percben kifejezve), hogy milyen gyakran szeretné futtatni a lekérdezést. A gyakoriságnak az időszaknál kisebbnek vagy egyenlőnek kell lennie.

      riasztási logika

    7. Válassza a Kész lehetőséget. Most már megtekintheti a riasztás becsült havi költségét.

  5. Válassza ki a felhasználók egy műveletcsoportját, amelyről értesítést szeretne kapni a riasztás. Ha létre szeretne hozni egyet, olvassa el a Műveletcsoport létrehozása című témakört.
  6. A műveletcsoport tagjainak küldött e-mail-értesítés testreszabásához válassza a Műveletek testreszabása területen található műveleteket.
  7. A Riasztás részletei területen adja meg a riasztási szabály nevét, és adjon meg egy opcionális leírást.
  8. Állítsa be az esemény súlyossági szintjét . Javasoljuk, hogy állítsa Kritikus (Sev 0) értékre.
  9. A létrehozáskor az Engedélyezés szabály alatt hagyja meg az igen beállítást.
  10. Ha egy ideig ki szeretné kapcsolni a riasztásokat, jelölje be a Riasztások mellőzése jelölőnégyzetet, adja meg a várakozási időtartamot a riasztás ismételt beállítása előtt, majd válassza a Mentés lehetőséget.
  11. Kattintson a Riasztási szabály létrehozása lehetőségre.

Műveletcsoport létrehozása

  1. Válassza a Műveletcsoport létrehozása lehetőséget.

    műveletcsoport létrehozása értesítési műveletekhez

  2. Adja meg a műveletcsoport nevét és rövid nevét.

  3. Ellenőrizze az előfizetést és az erőforráscsoportot.

  4. A művelettípus alatt válassza a Email/SMS/Leküldés/Hang lehetőséget.

  5. Adjon meg egy műveletnevet, például értesítse a globális rendszergazdát.

  6. Válassza ki a művelettípustEmail/SMS/Push/Voice típusként.

  7. Válassza a Részletek szerkesztése lehetőséget a konfigurálni kívánt értesítési módszerek kiválasztásához, és adja meg a szükséges kapcsolattartási adatokat, majd az OK gombra kattintva mentse a részleteket.

  8. Adjon hozzá minden további aktiválni kívánt műveletet.

  9. Válassza az OK lehetőséget.

Fiókok rendszeres ellenőrzése

Ha a személyzet tagjait arra tanítja be, hogy vészhelyzeti hozzáférési fiókokat használjanak, és érvényesítik a vészhelyzeti hozzáférési fiókokat, legalább rendszeres időközönként végezze el az alábbi lépéseket:

  • Győződjön meg arról, hogy a biztonsági monitorozási munkatársak tisztában vannak azzal, hogy a fiókellenőrzési tevékenység folyamatban van.
  • Győződjön meg arról, hogy a fiókok használatához szükséges vészhelyzeti törési folyamat dokumentálva van és naprakész.
  • Győződjön meg arról, hogy a rendszergazdáknak és a biztonsági tisztviselőknek, akiknek vészhelyzet esetén esetleg el kell végezniük ezeket a lépéseket, betanítást kell végezniük a folyamaton.
  • Frissítse a segélyhívási fiókokhoz tartozó fiók hitelesítő adatait, különösen a jelszavakat, majd ellenőrizze, hogy a vészhelyzeti hozzáférési fiókok be tudnak-e jelentkezni, és elvégezhetik-e a felügyeleti feladatokat.
  • Győződjön meg arról, hogy a felhasználók nem regisztráltak többtényezős hitelesítést vagy önkiszolgáló jelszóátállítást (SSPR) egyetlen felhasználó eszközére vagy személyes adataira sem.
  • Ha a fiókok regisztrálva vannak a többtényezős hitelesítéshez egy eszközön, és a bejelentkezés vagy a szerepkör aktiválása során használják, győződjön meg arról, hogy az eszköz minden olyan rendszergazda számára elérhető, akinek vészhelyzet esetén szüksége lehet rá. Azt is ellenőrizze, hogy az eszköz képes-e legalább két olyan hálózati útvonalon keresztül kommunikálni, amelyek nem osztoznak közös hibamódban. Az eszköz például egy létesítmény vezeték nélküli hálózatán és egy cellaszolgáltató hálózaton keresztül is kommunikálhat az internetre.

Ezeket a lépéseket rendszeres időközönként és a legfontosabb módosítások esetén kell végrehajtani:

  • Legalább 90 naponta
  • Amikor nemrég változott az informatikai személyzet, például munkahelyváltás, távozás vagy új alkalmazott
  • Ha a szervezet Azure AD előfizetései megváltoztak

Következő lépések