Mengelola akun akses darurat di Microsoft Entra ID

Penting agar Anda tidak terkunci secara tidak sengaja dari organisasi Microsoft Entra Karena Anda tidak dapat masuk atau mengaktifkan peran. Anda dapat mengurangi dampak kurangnya akses administratif yang tidak disengaja dengan membuat dua akun akses darurat atau lebih di organisasi Anda.

Akun pengguna dengan peran Administrator Global memiliki hak istimewa tinggi dalam sistem, ini termasuk akun akses darurat dengan peran Administrator Global. Akun akses darurat terbatas pada skenario darurat atau "break glass" di mana akun administratif normal tidak dapat digunakan. Kami menyarankan agar Anda mempertahankan tujuan membatasi penggunaan akun darurat hanya untuk waktu ketika itu benar-benar diperlukan.

Artikel ini menyediakan panduan untuk mengelola akun akses darurat di ID Microsoft Entra.

Alasan menggunakan akun akses darurat

Organisasi mungkin perlu menggunakan akun akses darurat dalam situasi berikut:

• Akun pengguna difederasikan, dan federasi saat ini tidak tersedia karena gangguan jaringan sel atau pemadaman penyedia identitas. Misalnya, jika host penyedia identitas di lingkungan Anda mengalami gangguan, pengguna mungkin kesulitan untuk masuk saat ID Microsoft Entra dialihkan ke penyedia identitas mereka.
• Administrator terdaftar melalui autentikasi multifaktor Microsoft Entra, dan semua perangkat individual mereka tidak tersedia atau layanan tidak tersedia. Pengguna mungkin tidak dapat menyelesaikan autentikasi multifaktor untuk mengaktifkan peran. Misalnya, pemadaman jaringan sel mencegah mereka menjawab panggilan telepon atau menerima pesan teks, satu-satunya dua mekanisme autentikasi yang mereka daftarkan untuk perangkat mereka.
• Orang dengan akses Administrator Global terbaru telah meninggalkan organisasi. ID Microsoft Entra mencegah akun Administrator Global terakhir dihapus, tetapi tidak mencegah akun dihapus atau dinonaktifkan secara lokal. Situasi apa pun mungkin membuat organisasi tidak dapat memulihkan akun.
• Keadaan tak terduga seperti keadaan darurat bencana alam, di mana ponsel atau jaringan lain mungkin tidak tersedia.
• Jika penetapan peran untuk peran Administrator Global dan Administrator Peran Istimewa memenuhi syarat, persetujuan diperlukan untuk aktivasi, tetapi tidak ada pemberi persetujuan yang dipilih (atau semua pemberi persetujuan dihapus dari direktori). Administrator Global Aktif dan Administrator Peran Istimewa adalah pemberi persetujuan default. Tetapi tidak akan ada Administrator Global aktif dan Administrator Peran Istimewa dan administrasi penyewa akan secara efektif dikunci, kecuali akun akses darurat digunakan.

Membuat akun akses darurat

Buat dua atau beberapa akun akses darurat. Akun ini harus merupakan akun khusus cloud yang menggunakan domain *.onmicrosoft.com dan tidak digabungkan atau disinkronkan dari lingkungan lokal. Pada tingkat tinggi, ikuti langkah-langkah ini.

1. Temukan akun akses darurat yang sudah ada atau buat akun baru dengan peran Administrator Global.

   

2. Pilih salah satu metode autentikasi tanpa kata sandi ini untuk akun akses darurat Anda. Metode ini memenuhi persyaratan autentikasi multifaktor wajib .

   • Passkey (FIDO2) (Disarankan)
   • Autentikasi berbasis sertifikat jika organisasi Anda sudah memiliki penyiapan Infrastruktur Kunci Umum (PKI)

3. Konfigurasikan akun akses darurat Anda untuk menggunakan autentikasi tanpa kata sandi.

   • Mengaktifkan kode akses (FIDO2) untuk organisasi Anda
   • Mendaftarkan kode akses (FIDO2)
   • Mengonfigurasi autentikasi berbasis sertifikat

4. Memerlukan autentikasi multifaktor tahan phishing untuk semua akun darurat Anda.

5. Simpan kredensial akun dengan aman.

6. Pantau log masuk dan audit.

7. Validasi akun secara teratur.

Persyaratan konfigurasi

Saat Anda mengonfigurasi akun-akun ini, persyaratan berikut harus dipenuhi:

• Di sebagian besar organisasi, akun akses darurat tidak terkait dengan pengguna individu mana pun di organisasi. Kredensial berada di lokasi aman yang diketahui tersedia untuk beberapa anggota tim administrasi dan tidak terhubung dengan perangkat yang disediakan karyawan seperti telepon. Pendekatan ini umumnya digunakan untuk menyatukan manajemen akun akses darurat: sebagian besar organisasi memerlukan akun akses darurat tidak hanya untuk infrastruktur Microsoft Cloud, tetapi juga lingkungan lokal, aplikasi SaaS federasi, dan sistem penting lainnya.

  Atau, Anda dapat memilih untuk membuat akun akses darurat individual untuk administrator. Solusi ini mempromosikan akuntabilitas dan memungkinkan administrator untuk menggunakan akun akses darurat dari lokasi jarak jauh.

• Gunakan autentikasi yang kuat untuk akun akses darurat Anda dan pastikan tidak menggunakan metode autentikasi yang sama dengan akun administratif Anda lainnya. Misalnya, jika akun administrator normal Anda menggunakan aplikasi Microsoft Authenticator untuk autentikasi yang kuat, gunakan kunci keamanan FIDO2 untuk akun darurat. Pertimbangkan dependensi berbagai metode autentikasi, untuk menghindari penambahan persyaratan eksternal ke dalam proses autentikasi.

• Perangkat atau kredensial tidak boleh kedaluwarsa atau berada dalam lingkup pembersihan otomatis karena kurangnya penggunaan.

• Dalam Microsoft Entra Privileged Identity Management, Anda harus menjadikan penugasan peran Administrator Global aktif secara permanen, bukan hanya memenuhi syarat sementara untuk akun akses darurat Anda.

• Individu yang berwenang untuk menggunakan akun akses darurat ini harus menggunakan stasiun kerja yang ditunjuk dan aman atau lingkungan komputasi klien serupa, seperti Stasiun Kerja Akses Istimewa. Stasiun kerja ini harus digunakan saat berinteraksi dengan akun akses darurat. Untuk informasi lebih lanjut tentang cara mengonfigurasi penyewa Microsoft Entra yang memiliki workstation yang ditetapkan, lihat menyebarkan solusi akses istimewa.

Panduan Federasi

Beberapa organisasi menggunakan Active Directory Domain Services dan Layanan Federasi Direktori Aktif (AD FS) atau penyedia identitas serupa untuk digabungkan ke ID Microsoft Entra. Akses darurat untuk sistem lokal dan akses darurat untuk layanan cloud harus tetap berbeda, tanpa dependensi satu sama lain. Menguasai dan atau mencari autentikasi untuk akun dengan hak istimewa akses darurat dari sistem lain menambahkan risiko yang tidak perlu jika terjadi pemadaman sistem tersebut.

Menyimpan info masuk akun dengan aman

Organisasi perlu memastikan bahwa info masuk untuk akun akses darurat tetap aman dan hanya diketahui oleh individu yang berwenang untuk menggunakannya. Misalnya, Anda dapat menggunakan kunci keamanan FIDO2 untuk ID Microsoft Entra atau kartu pintar untuk Direktori Aktif Windows Server. Kredensial harus disimpan dalam brankas yang aman dan tahan api yang berada di lokasi yang aman dan terpisah.

Memantau catatan masuk dan audit

Organisasi harus memantau aktivitas log masuk dan audit dari akun darurat dan mengirimkan notifikasi kepada administrator lainnya. Saat memantau aktivitas untuk akun akses darurat, Anda dapat memverifikasi akun-akun ini hanya digunakan untuk pengujian atau keadaan darurat aktual. Anda dapat menggunakan Azure Monitor, Microsoft Azure Sentinel, atau alat lain untuk memantau log masuk dan memicu pemberitahuan email dan SMS kepada administrator Anda setiap kali akun akses darurat masuk. Bagian ini mengilustrasikan menggunakan Azure Monitor.

Prasyarat

• Kirim log masuk Microsoft Entra ke Azure Monitor.

Dapatkan ID Objek dari akun akses darurat

1. Masuk ke pusat admin Microsoft Entra sebagai minimal seorang Administrator Pengguna.

2. Buka Entra ID>Pengguna.

3. Cari akun akses darurat dan pilih nama pengguna.

4. Salin dan simpan atribut Object ID sehingga Anda bisa menggunakannya nanti.

5. Ulangi langkah-langkah sebelumnya untuk akun akses darurat kedua.

Buat Aturan Pemberitahuan

1. Masuk ke portal Microsoft Azure setidaknya sebagai Kontributor Pemantauan.

2. Telusuri ke Memantau>ruang kerja Analitik Log.

3. Pilih ruang kerja.

4. Di ruang kerja Anda, pilihAturan pemberitahuan baru>.

   1. Di bawah Sumber Daya, verifikasi bahwa langganan adalah langganan yang ingin Anda kaitkan dengan aturan pemberitahuan.

   2. Di bawah Kondisi, pilih Tambahkan.

   3. Pilih Pencarian log kustom di bawah Nama sinyal.

   4. Di bawah Kueri pencarian, masukkan kueri berikut, menyisipkan ID objek dari dua akun akses darurat.

      Catatan

      Untuk setiap akun akses darurat tambahan yang ingin Anda sertakan, tambahkan or UserId == "ObjectGuid" yang lain ke kueri.

      Contoh kueri:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. Di bawah Logika pemberitahuan, masukkan yang berikut ini:

      • Berdasarkan: Jumlah hasil
      • Operator: Lebih besar dari
      • Nilai ambang batas: 0

   6. Di bawah Dievaluasi berdasarkan, pilih Periode (dalam menit) untuk berapa lama Anda ingin kueri dijalankan, dan Frekuensi (dalam menit) untuk seberapa sering Anda ingin kueri dijalankan. Frekuensi harus kurang dari atau sama dengan periode.

      

   7. Pilih Selesai. Anda sekarang dapat melihat perkiraan biaya bulanan pemberitahuan ini.

5. Pilih grup tindakan pengguna untuk diberi tahu oleh pemberitahuan. Jika Anda ingin membuatnya, lihat Membuat grup tindakan.

6. Untuk mengkustomisasi pemberitahuan email yang dikirim ke anggota grup tindakan, pilih tindakan di bawah Kustomisasi Tindakan.

7. Di bawah Detail Pemberitahuan, tentukan nama aturan pemberitahuan dan tambahkan deskripsi opsional.

8. Atur Tingkat keparahan peristiwa. Kami menyarankan agar Anda mengaturnya ke Critical(Sev 0).

9. Di bawah Aktifkan aturan saat pembuatan, biarkan ditetapkan sebagai ya.

10. Untuk menonaktifkan pemberitahuan untuk sementara waktu, pilih kotak centang Sembunyikan Pemberitahuan dan masukkan durasi tunggu sebelum pemberitahuan lagi, lalu pilih Simpan.

11. Pilih Buat aturan pemberitahuan.

Membuat grup tindakan

1. Pilih Buat grup tindakan.

   

2. Masukkan nama grup tindakan dan nama pendek.

3. Verifikasi langganan dan grup sumber daya.

4. Di bawah jenis tindakan, pilih Email/SMS/Push/Voice.

5. Masukkan nama tindakan seperti Beri Tahu Administrator Global.

6. Pilih Jenis Tindakan sebagai Email/SMS/Push/Voice.

7. Pilih Edit detail untuk memilih metode pemberitahuan yang ingin Anda konfigurasi dan masukkan informasi kontak yang diperlukan, lalu pilih Ok untuk menyimpan detailnya.

8. Tambahkan tindakan tambahan yang ingin Anda picu.

9. Pilih OK.

Menyiapkan tim pasca-mortem untuk mengevaluasi setiap penggunaan kredensial akun akses darurat

Jika pemberitahuan dipicu, pertahankan log dari Microsoft Entra dan beban kerja lainnya. Lakukan peninjauan keadaan dan hasil penggunaan akun akses darurat. Tinjauan ini akan menentukan apakah akun digunakan:

• Untuk uji coba yang direncanakan guna memvalidasi kesesuaiannya
• Menanggapi keadaan darurat aktual di mana tidak ada administrator yang dapat menggunakan akun reguler mereka
• Atau sebagai akibat dari penyalahgunaan atau penggunaan akun yang tidak sah

Selanjutnya, periksa log untuk menentukan tindakan apa yang diambil oleh individu dengan akun akses darurat untuk memastikan bahwa tindakan tersebut selaras dengan penggunaan akun yang diotorisasi.

Memvalidasi akun secara teratur

Selain melatih anggota staf untuk menggunakan akun akses darurat, Anda juga harus memiliki proses berkelanjutan untuk memvalidasi akun akses darurat tetap dapat diakses oleh staf yang berwenang. Latihan reguler harus dilakukan untuk memvalidasi fungsionalitas akun dan untuk mengonfirmasi bahwa aturan pemantauan dan pemberitahuan dipicu jika akun kemudian disalahgunakan. Minimal, langkah-langkah berikut harus dilakukan secara berkala:

• Pastikan bahwa staf pemantauan keamanan menyadari bahwa aktivitas pemeriksaan akun sedang berlangsung.
• Tinjau dan perbarui daftar individu yang berwenang untuk menggunakan kredensial akun akses darurat.
• Pastikan bahwa proses "darurat break glass" untuk menggunakan akun-akun ini didokumentasikan dan diperbarui.
• Pastikan bahwa administrator dan petugas keamanan yang mungkin perlu melakukan langkah-langkah ini selama keadaan darurat sudah terlatih pada saat proses.
• Validasi bahwa akun akses darurat dapat masuk dan melakukan tugas administratif.
• Pastikan bahwa pengguna belum mendaftarkan autentikasi multifaktor atau pengaturan ulang kata sandi mandiri (SSPR) ke perangkat pengguna individu atau detail pribadi apa pun.
• Jika akun terdaftar untuk autentikasi multifaktor ke perangkat, untuk digunakan selama masuk atau aktivasi peran, pastikan bahwa perangkat dapat diakses oleh semua administrator yang mungkin perlu menggunakannya selama keadaan darurat. Verifikasi juga bahwa perangkat dapat berkomunikasi melalui setidaknya dua jalur jaringan yang tidak berbagi mode kegagalan yang sama. Misalnya, perangkat dapat berkomunikasi ke internet melalui jaringan nirkabel fasilitas dan jaringan penyedia sel.
• Ubah kombinasi pada brankas apa pun setelah seseorang dengan akses meninggalkan organisasi, serta secara berkala.

Langkah-langkah ini harus dilakukan secara berkala dan untuk perubahan kunci:

• Setidaknya setiap 90 hari
• Ketika ada perubahan baru-baru ini dalam staf IT, seperti setelah penghentian atau perubahan posisi
• Ketika langganan Microsoft Entra di organisasi telah berubah

Langkah berikutnya

• Cara memverifikasi bahwa pengguna disiapkan untuk MFA wajib
• Memerlukan autentikasi multifaktor tahan pengelabuan untuk administrator
• Mengamankan akses istimewa untuk penyebaran hibrid dan cloud di ID Microsoft Entra
• Mengonfigurasi perlindungan tambahan untuk peran istimewa di Microsoft 365, jika Anda menggunakan Microsoft 365
• Mulai tinjauan akses peran istimewa dan transisi penetapan peran istimewa yang ada ke peran administrator yang lebih spesifik