Creare e gestire account di accesso di emergenza

  • 7 minuti

È importante evitare di essere accidentalmente bloccati da Microsoft Entra ID. Con Microsoft Entra ID non è possibile accedere o attivare l'account di un altro utente come amministratore. È possibile mitigare la possibilità di una accidentale mancanza di accesso amministrativo. Il segreto consiste nel creare due o più account di accesso di emergenza nell'organizzazione.

Gli account di accesso di emergenza hanno privilegi elevati e non sono assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi. È consigliabile limitare l'accesso all'account di emergenza. Usare gli account solo quando è necessario.

Questo articolo fornisce linee guida per la gestione degli account di accesso di emergenza in Microsoft Entra ID.

Perché usare un account di accesso di emergenza

Per un'organizzazione può essere necessario usare un account di accesso di emergenza nelle situazioni seguenti:

  • Gli account utente sono federati e la federazione non è attualmente disponibile a causa di un'interruzione del funzionamento della rete cellulare o di un problema tecnico del provider di identità. Ad esempio, se l'host del provider di identità nell'ambiente è inattivo, gli utenti potrebbero non essere in grado di accedere quando Microsoft Entra ID reindirizza al provider di identità.
  • Gli amministratori vengono registrati tramite Microsoft Entra Multifactor Authentication. Tutti i loro dispositivi non sono disponibili oppure il servizio non è disponibile. Gli utenti potrebbero non essere in grado di completare l'autenticazione a più fattori per attivare un ruolo. Ad esempio, un'interruzione del funzionamento della rete cellulare può impedire di rispondere alle chiamate telefoniche o di ricevere SMS, Soprattutto quando questi metodi di autenticazione sono gli unici due meccanismi di autenticazione registrati.
  • L'utente con l'accesso di amministratore globale più recente ha lasciato l'organizzazione. Microsoft Entra ID impedisce l'eliminazione dell'ultimo account di amministratore globale, ma non impedisce l'eliminazione o la disabilitazione dell'account a livello locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.
  • Circostanze impreviste come una calamità naturale durante la quale la rete cellulare o altre reti potrebbero non essere disponibili.

Creare account di accesso di emergenza

Creare due o più account di accesso di emergenza. Devono essere account solo cloud che usano il dominio .onmicrosoft.com e che non sono federati o sincronizzati da un ambiente locale.

Quando un amministratore configura gli account di emergenza, è necessario soddisfare i requisiti seguenti:

  • Gli account di accesso di emergenza non devono essere associati a un utente specifico dell'organizzazione. Assicurarsi che gli account non siano connessi a cellulari forniti ai dipendenti, token hardware che viaggiano con i singoli dipendenti o altre credenziali specifiche del dipendente. Questa precauzione consente di affrontare le situazioni in cui un singolo dipendente è irraggiungibile quando sono necessarie le credenziali. Tutti i dispositivi registrati devono essere conservati in una posizione sicura nota. Queste posizioni richiedono più mezzi per comunicare con Microsoft Entra ID.
  • Il meccanismo di autenticazione usato per un account di accesso di emergenza deve essere diverso. Tenerlo separato da quello usato dagli altri account amministrativi, inclusi altri account di accesso di emergenza. Se, ad esempio, il normale accesso come amministratore avviene tramite un'istanza locale di MFA, con l’autenticazione a più fattori il meccanismo è diverso. Tuttavia, se l'autenticazione a più fattori rappresenta la parte principale dell'autenticazione per gli account amministrativi, prendere in considerazione un approccio diverso per gli account di emergenza. Provare ad esempio a usare l'accesso condizionale con un provider di autenticazione a più fattori di terze parti tramite Controlli personalizzati.
  • Il dispositivo o le credenziali non devono scadere o trovarsi nell'ambito della pulizia automatica per mancanza di utilizzo.
  • È necessario rendere permanente l'assegnazione del ruolo di amministratore globale per gli account di accesso di emergenza.

Escludere almeno un account dall'autenticazione a più fattori basata sul telefono

Per ridurre il rischio di un attacco causato da una password compromessa, Microsoft Entra ID consiglia di richiedere l'autenticazione a più fattori per tutti i singoli utenti. Questo gruppo include gli amministratori e tutti gli altri utenti (ad esempio dirigenti del reparto finanziario) per cui un account compromesso avrebbe una significativa opportunità di causare danni.

Tuttavia, almeno uno degli account di accesso di emergenza deve avere lo stesso meccanismo di autenticazione a più fattori degli altri account non di emergenza. Sono incluse le soluzioni di autenticazione a più fattori di terze parti. Se si dispone di un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per ogni amministratore per Microsoft Entra ID e altre app SaaS (Connected Software as a Service), è consigliabile escludere gli account di accesso di emergenza da questo requisito e configurare un meccanismo diverso. Inoltre, è necessario assicurarsi che gli account non dispongano di criteri di autenticazione a più fattori per utente.

Escludere almeno un account dai criteri di Accesso condizionale

Durante un'emergenza non è auspicabile che un criterio possa potenzialmente bloccare l'accesso necessario per risolvere un problema. Almeno un account di accesso di emergenza deve essere escluso da tutti i criteri di Accesso condizionale.

Linee guida per la federazione

Un'altra opzione per le organizzazioni che usano AD Domain Services e ADFS o provider di identità simili per la federazione con Microsoft Entra ID, consiste nel configurare un account di accesso di emergenza la cui attestazione MFA potrebbe essere fornita da tale provider di identità. Ad esempio, l'account di accesso di emergenza potrebbe essere supportato da una coppia di certificato e chiave archiviata su una smart card. Quando l'utente è autenticato in AD, ADFS può fornire un'attestazione a Microsoft Entra ID che indica che l'utente ha soddisfatto i requisiti di autenticazione a più fattori. Anche con questo approccio, le organizzazioni devono comunque disporre di account di accesso di emergenza basati sul cloud nel caso in cui non sia possibile stabilire la federazione.

Monitorare i log di accesso e di controllo

Le organizzazioni devono monitorare l'attività del log di accesso e controllo dagli account di emergenza e attivare le notifiche ad altri amministratori. Quando si monitora l'attività sugli account critici, è possibile verificare che questi account vengano usati solo per i test o per le emergenze effettive. È possibile usare Azure Log Analytics per monitorare i log di accesso e attivare gli avvisi di posta elettronica e SMS agli amministratori ogni volta che gli account critici effettuano l'accesso.

Convalidare gli account regolarmente

Quando si formano i membri del personale per l'uso degli account di accesso di emergenza e convalidare gli account di accesso di emergenza, eseguire almeno i passaggi seguenti a intervalli regolari:

  • Assicurarsi che il personale che monitora la sicurezza sia informato che l'attività di verifica degli account è in corso.
  • Assicurarsi che il processo per gli scenari di emergenza per usare questi account sia documentato e corrente.
  • Assicurarsi che gli amministratori e i responsabili della sicurezza che potrebbero dover eseguire queste procedure durante un'emergenza siano formati sul processo.
  • Aggiornare le credenziali dell'account, in particolare le password, per gli account di accesso di emergenza e quindi verificare che gli account di accesso di emergenza possano accedere ed eseguire attività amministrative.
  • Assicurarsi che gli utenti non abbiano eseguito la registrazione con l'autenticazione a più fattori o la reimpostazione della password self-service (SSPR) per qualsiasi dispositivo utente o per le informazioni personali.
  • Se gli account sono registrati per l'autenticazione a più fattori per un dispositivo da usare durante l'accesso o l'attivazione del ruolo, assicurarsi che il dispositivo sia accessibile a tutti gli amministratori che potrebbero aver bisogno di usarlo durante un'emergenza. Verificare inoltre che il dispositivo possa comunicare tramite almeno due percorsi di rete che non condividono una modalità di errore comune. Ad esempio, il dispositivo può comunicare con Internet tramite la rete wireless di una struttura e una rete cellulare.

Questi passaggi devono essere eseguiti a intervalli regolari e per le modifiche chiave:

  • Almeno ogni 90 giorni
  • In caso di modifica recente del personale IT, ad esempio per un cambio di mansione, una partenza o una nuova assunzione
  • Quando gli abbonamenti di Microsoft Entra nell'organizzazione sono cambiati