Mengelola akun akses darurat di Azure Active Directory

Penting bagi Anda untuk mencegah terkunci secara tidak sengaja dari organisasi Azure Active Directory (Microsoft Azure AD) karena Anda tidak dapat masuk atau mengaktifkan akun pengguna lain sebagai admin. Anda dapat mengurangi dampak kurangnya akses administratif yang tidak disengaja dengan membuat dua atau lebih akun akses darurat dalam organisasi Anda.

Akun akses darurat biasanya sangat istimewa dan tidak boleh ditugaskan untuk individu tertentu. Akun akses darurat terbatas pada skenario darurat atau "break glass" di mana akun administratif normal tidak dapat digunakan. Kami menyarankan agar Anda mempertahankan tujuan membatasi penggunaan akun darurat hanya untuk saat-saat ketika akun ini benar-benar diperlukan.

Artikel ini menyediakan panduan untuk mengelola akun akses darurat di Azure Active Directory.

Alasan menggunakan akun akses darurat

Organisasi mungkin perlu menggunakan akun akses darurat dalam situasi berikut:

  • Akun pengguna digabungkan, dan federasi saat ini tidak tersedia karena jeda jaringan sel atau pemadaman penyedia identitas. Misalnya, jika host penyedia identitas di lingkungan Anda telah turun, pengguna mungkin tidak dapat masuk saat Azure Active Directory mengalihkan ke IdP mereka.
  • Para admin terdaftar melalui Autentikasi Multi-Faktor Azure Active Directory, dan semua perangkat individual mereka tidak tersedia atau layanan tidak tersedia. Pengguna mungkin tidak dapat menyelesaikan Autentikasi Multifaktor untuk mengaktifkan peran. Misalnya, pemadaman jaringan sel mencegah mereka menjawab panggilan telepon atau menerima pesan teks, satu-satunya dua mekanisme autentikasi yang mereka daftarkan untuk perangkat mereka.
  • Orang dengan akses Administrator Global terbaru telah meninggalkan organisasi. Azure Active Directory mencegah penghapusan akun Administrator Global terakhir, tetapi tidak mencegah akun dihapus atau dinonaktifkan di lokal. Situasi apa pun mungkin membuat organisasi tidak dapat memulihkan akun.
  • Keadaan tak terduga seperti keadaan darurat bencana alam, di mana ponsel atau jaringan lain mungkin tidak tersedia.

Membuat akun akses darurat

Buat dua atau beberapa akun akses darurat. Akun ini harus akun cloud-saja yang menggunakan domain *.onmicrosoft.com dan yang tidak digabungkan atau disinkronkan dari lingkungan lokal.

Cara membuat akun akses darurat

  1. Masuk ke portal Microsoft Azure atau Pusat admin Microsoft Azure Active Directory sebagai Administrator Global.

  2. Pilih Azure Active Directory>Pengguna.

  3. Pilih Pengguna baru.

  4. Pilih Buat pengguna.

  5. Berikan Nama Pengguna akun.

  6. Beri Nama akun.

  7. Buat kata sandi yang panjang dan kompleks untuk akun.

  8. Di bagian Peran, tetapkan peran Administrator Global.

  9. Di bagianLokasi penggunaan, pilih lokasi yang sesuai.

    Membuat akun akses darurat di Azure AD.

  10. Pilih Buat.

  11. Simpan info masuk akun dengan aman.

  12. Pantau log kredensial masuk dan audit.

  13. Validasi akun secara teratur.

Saat mengonfigurasi akun-akun ini, persyaratan berikut harus dipenuhi:

  • Akun akses darurat tidak boleh dikaitkan dengan pengguna individu mana pun di organisasi. Pastikan akun Anda tidak terhubung dengan ponsel yang disediakan karyawan, token perangkat keras yang dibawa karyawan individual bepergian, atau info masuk khusus karyawan lainnya. Tindakan pencegahan ini mencakup contoh di mana karyawan individu tidak dapat dijangkau ketika info masuk diperlukan. Penting untuk memastikan bahwa perangkat yang terdaftar disimpan di lokasi yang diketahui dan aman yang memiliki beberapa cara berkomunikasi dengan Azure Active Directory.
  • Gunakan autentikasi yang kuat untuk akun akses darurat Anda dan pastikan autentikasi tidak menggunakan metode autentikasi yang sama seperti akun administratif yang lain. Misalnya, jika akun administrator normal Anda menggunakan aplikasi Microsoft Authenticator untuk autentikasi yang kuat, gunakan kunci keamanan FIDO2 untuk akun darurat. Pertimbangkan dependensi berbagai metode autentikasi, untuk menghindari penambahan persyaratan eksternal ke dalam proses autentikasi.
  • Perangkat atau kredensial tidak boleh kedaluwarsa atau berada dalam lingkup pembersihan otomatis karena kurangnya penggunaan.
  • Di Azure Active Directory Privileged Identity Management, Anda harus membuat penetapan peran Administrator Global menjadi permanen daripada memenuhi syarat untuk akun akses darurat.

Mengecualikan setidaknya satu akun dari autentikasi multifaktor berbasis telepon

Untuk mengurangi risiko serangan yang dihasilkan dari kata sandi yang disusupi, Azure Active Directory menyarankan agar Anda mengharuskan autentikasi multifaktor untuk semua pengguna individual. Grup ini mencakup administrator dan semua lainnya (misalnya, pegawai keuangan) yang apabila akunnya disusupi akan berdampak signifikan.

Namun, setidaknya salah satu akun akses darurat Anda tidak boleh memiliki mekanisme autentikasi multifaktor yang sama dengan akun non-darurat Anda lainnya. Ini termasuk solusi autentikasi multifaktor pihak ketiga. Jika Anda memiliki kebijakan Akses Bersyarat untuk mengharuskan autentikasi multifaktor untuk setiap administrator untuk Azure Active Directory dan perangkat lunak terhubung lainnya sebagai aplikasi layanan (SaaS), Anda harus mengecualikan akun akses darurat dari persyaratan ini, dan mengonfigurasi mekanisme yang berbeda sebagai gantinya. Selain itu, Anda harus memastikan akun tidak memiliki kebijakan autentikasi multifaktor per pengguna.

Mengecualikan setidaknya satu akun dari kebijakan Akses Bersyarat

Selama keadaan darurat, Anda tidak ingin kebijakan berpotensi memblokir akses Anda untuk memperbaiki masalah. Jika Anda menggunakan Akses Bersyarat, setidaknya satu akun akses darurat harus dikecualikan dari semua kebijakan Akses Bersyarat.

Panduan federasi

Beberapa organisasi menggunakan Layanan Domain AD dan Layanan Federasi Direktori Aktif atau penyedia identitas serupa untuk menggabungkan ke Azure Active Directory. Akses darurat untuk sistem lokal dan akses darurat untuk layanan cloud harus tetap berbeda, tanpa dependensi satu sama lain. Menguasai dan atau mencari sumber autentikasi untuk akun dengan hak istimewa akses darurat dari sistem lain menambah risiko yang tidak perlu jika terjadi pemadaman pada sistem tersebut.

Menyimpan info masuk akun dengan aman

Organisasi perlu memastikan bahwa info masuk untuk akun akses darurat tetap aman dan hanya diketahui oleh individu yang berwenang untuk menggunakannya. Beberapa pelanggan menggunakan kartu pintar untuk Windows Server AD, kunci keamanan FIDO2 untuk Azure AD, dan lainnya menggunakan kata sandi. Kata sandi untuk akun akses darurat biasanya dipisahkan menjadi dua atau tiga bagian, ditulis pada potongan kertas terpisah, dan disimpan dalam brankas yang aman dan tahan api yang berada di lokasi yang aman dan terpisah.

Jika menggunakan kata sandi, pastikan akun memiliki kata sandi yang kuat yang tidak mengakhiri kata sandinya. Idealnya, kata sandi harus setidaknya sepanjang 16 karakter dan dihasilkan secara acak.

Memantau log rincian masuk dan audit

Organisasi harus memantau aktivitas log rincian masuk dan audit dari akun darurat dan memicu pemberitahuan kepada admin lain. Saat memantau aktivitas di akun break glass, Anda dapat memverifikasi akun ini hanya digunakan untuk pengujian atau keadaan darurat aktual. Anda dapat menggunakan Azure Log Analytics untuk memantau log rincian masuk dan memicu pemberitahuan email dan SMS kepada admin Anda setiap kali memecahkan akun break glass masuk.

Prasyarat

  1. Kirim log masuk Azure Active Directory ke Azure Monitor.

Dapatkan Object ID dari akun break glass

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure AD dengan akun yang ditetapkan ke peran Administrator Pengguna.

  2. Pilih Azure Active Directory>Pengguna.

  3. Cari akun break-glass dan pilih nama pengguna.

  4. Salin dan simpan atribut Object ID sehingga Anda bisa menggunakannya nanti.

  5. Ulangi langkah sebelumnya untuk akun break-glass kedua.

Buat Aturan Pemberitahuan

  1. Masuk ke portal Microsoft Azure dengan akun yang ditetapkan ke peran Kontributor Pemantauan di Azure Monitor.
  2. Pilih Semua layanan", masukkan "analitik log" di Penelusuran lalu pilih ruang kerja Analitik Log.
  3. Pilih ruang kerja.
  4. Di ruang kerja Anda, pilih Pemberitahuan>Aturan pemberitahuan baru.
    1. Di bagian Sumber Daya, verifikasi bahwa langganan adalah langganan yang ingin Anda kaitkan dengan aturan pemberitahuan.

    2. Dalam Kondisi, pilih Tambahkan.

    3. Pilih Pencarian log kustom di bawah Nama sinyal.

    4. Di bagian Kueri pencarian, masukkan kueri berikut ini, menyisipkan ID objek dari dua akun break glass.

      Catatan

      Untuk setiap akun break glass tambahan yang ingin Anda sertakan, tambahkan "or UserId == "ObjectGuid"" ke kueri.

      Kueri sampel:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      
      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      
      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      Menambahkan ID objek akun break glass ke aturan peringatan

    5. Di bawah Logika pemberitahuan, masukkan:

      • Berdasarkan: Jumlah hasil
      • Operator: Lebih besar dari
      • Nilai ambang batas: 0
    6. Di bagian Dievaluasi berdasarkan, pilih Periode (dalam menit) untuk berapa lama Anda ingin kuerinya berjalan, dan Frekuensi (dalam menit) untuk seberapa sering Anda ingin kueri berjalan. Frekuensi harus kurang dari atau sama dengan periode pencarian.

      logika pemberitahuan

    7. Pilih Selesai. Anda sekarang dapat melihat perkiraan biaya bulanan pemberitahuan ini.

  5. Pilih grup tindakan pengguna untuk diberi tahu oleh pemberitahuan. Jika Anda ingin membuatnya, lihat Membuat grup tindakan.
  6. Untuk mengkustomisasi pemberitahuan email yang dikirim ke anggota grup tindakan, pilih tindakan di bawah Kustomisasi Tindakan.
  7. Di bawah Detail Pemberitahuan, tentukan nama aturan pemberitahuan dan tambahkan deskripsi opsional.
  8. Atur tingkat Keparahan kejadian. Kami sarankan Anda mengesetnya ke Critical(Sev 0) .
  9. Di bawah Aktifkan aturan saat pembuatan, biarkan diset sebagai ya.
  10. Untuk menonaktifkan pemberitahuan untuk sementara waktu, pilih kotak centang Tekan Pemberitahuan dan masukkan durasi tunggu sebelum memberi tahu lagi, lalu pilih Simpan.
  11. Klik Buat aturan pemberitahuan.

Membuat grup tindakan

  1. Pilih Buat grup tindakan.

    membuat grup tindakan untuk tindakan pemberitahuan

  2. Masukkan nama grup tindakan dan nama pendek.

  3. Masukkan langganan dan grup sumber daya.

  4. Di bawah jenis tindakan, pilih Surel/SMS/Pendorongan/Voice.

  5. Masukkan nama tindakan seperti Beri tahu admin global.

  6. Pilih Jenis Tindakan sebagai Surel/SMS/Pendorongan/Voice.

  7. Pilih Edit detail untuk memilih metode pemberitahuan yang ingin Anda konfigurasi dan masukkan informasi kontak yang diperlukan, lalu pilih Ok untuk menyimpan detail.

  8. Tambahkan tindakan tambahan yang ingin Anda picu.

  9. PilihOK.

Memvalidasi akun secara teratur

Saat Anda melatih anggota staf untuk menggunakan akun akses darurat dan memvalidasi akun akses darurat, setidaknya lakukan langkah-langkah berikut secara berkala:

  • Pastikan bahwa staf pemantau keamanan menyadari bahwa aktivitas pemeriksaan akun sedang berlangsung.
  • Pastikan bahwa proses break glass darurat untuk menggunakan akun-akun ini didokumentasikan dan terkini.
  • Pastikan bahwa administrator dan petugas keamanan yang mungkin perlu melakukan langkah-langkah ini selama keadaan darurat sudah terlatih pada saat proses.
  • Perbarui info masuk akun, khususnya kata sandi apa pun, untuk akun akses darurat Anda, lalu validasi bahwa akun akses darurat dapat masuk dan melakukan tugas administratif.
  • Pastikan pengguna belum mendaftarkan Autentikasi Multifaktor atau reset kata sandi layanan mandiri (SSPR) ke perangkat atau detail pribadi masing-masing pengguna.
  • Jika akun terdaftar untuk Autentikasi Multifaktor ke perangkat, untuk digunakan selama masuk atau aktivasi peran, pastikan bahwa perangkat dapat diakses oleh semua administrator yang mungkin perlu menggunakannya selama keadaan darurat. Verifikasi juga bahwa perangkat dapat berkomunikasi melalui setidaknya dua jalur jaringan yang tidak berbagi mode kegagalan umum. Misalnya, perangkat dapat berkomunikasi ke internet melalui jaringan nirkabel fasilitas dan jaringan penyedia sel.

Langkah-langkah ini harus dilakukan secara berkala dan untuk perubahan kunci:

  • Setidaknya setiap 90 hari
  • Ketika ada perubahan baru-baru ini dalam staf IT, seperti perubahan pekerjaan, kepergian, atau karyawan baru
  • Saat langganan Azure Active Directory di organisasi telah berubah

Langkah berikutnya