Управление учетными записями аварийного доступа в Azure Active Directory B2C

Важно избегать случайной блокировки в своем каталоге Azure Active Directory B2C (Azure AD B2C), так как в этом случае вы не сможете войти или активировать учетную запись другого пользователя в качестве администратора. Уменьшить ущерб от случайного блокирования административного доступа можно, создав в организации две или более учетных записи для аварийного доступа.

При настройке этих учетных записей необходимо выполнить следующие требования:

• Учетные записи аварийного доступа не должны быть связаны с конкретным пользователем в организации. Следите за тем, чтобы учетные записи организации не были привязаны к личным мобильным телефонам сотрудников, находящимся в распоряжении сотрудников аппаратным маркерам или другим учетным данным, зависящим от конкретного сотрудника. Эта мера безопасности распространяется на случаи, когда учетные данные нужны, а отдельный сотрудник недоступен. Важно обеспечить, чтобы любые зарегистрированные устройства хранились в известном безопасном месте с несколькими средствами связи с Azure AD B2C.

• Используйте строгую проверку подлинности для учетных записей аварийного доступа и убедитесь, что не используется тот же способ проверки подлинности, что и для других учетных записей администратора.

• Устройство или учетные данные должны быть действительными, либо они не должны входить в планы по автоматической очистке из-за недостаточного использования.

Необходимые компоненты

• Если вы еще не создали собственный клиент Azure AD B2C, создайте его сейчас. Вы можете использовать имеющийся клиент Azure Active Directory B2C.
• Общие сведения об учетных записях пользователей в Azure AD B2C.
• Общие сведения о ролях пользователей для управления доступом к ресурсам.
• Общие сведения об условном доступе

Создание учетной записи аварийного доступа

Создайте две или больше учетных записей для аварийного доступа. Эти учетные записи должны быть облачными учетными записями, которые используют домен .onmicrosoft.com и не федеративные или синхронизированные из локальной среды.

Чтобы создать учетную запись аварийного доступа, выполните следующие действия:

1. Войдите на портал Azure в качестве существующего глобального администратора. Если вы используете учетную запись Microsoft Entra, убедитесь, что вы используете каталог, содержащий клиент Azure AD B2C:

   1. На панели инструментов портала выберите значок Каталоги и подписки.

   2. В настройках портала на странице Каталоги и подписки найдите свой каталог Azure AD B2C в списке Имя каталога и выберите Переключить.

2. В разделе Службы Azure выберите Azure AD B2C. Если такого нет, то на портале Azure найдите и выберите Azure AD B2C.

3. В меню слева в разделе Управление выберите Пользователи.

4. Щелкните + Новый пользователь.

5. Щелкните Create user (Создать пользователя).

6. В области "Идентификация":

   1. В поле "Имя пользователя" введите уникальное имя пользователя, например, учетную запись аварийного доступа.

   2. В поле "Имя" введите уникальное имя, например, Учетная запись аварийного доступа

7. В поле "Пароль" введите уникальный пароль.

8. В области "Группы и роли"

   1. Выберите Пользователь.

   2. На открывшейся панели найдите и выберите раздел "Глобальный администратор", а затем нажмите кнопку "Выбрать".

9. В разделе "Параметры" выберите соответствующее расположение использования.

10. Нажмите кнопку создания.

11. Безопасное хранение данных учетной записи.

12. Мониторинг журналов входа и аудита.

13. Регулярная проверка учетных записей.

После создания учетных записей аварийного доступа необходимо выполнить следующие действия:

• Убедитесь, что вы исключите хотя бы одну учетную запись из многофакторной проверки подлинности на основе телефона

• При использовании условного доступа необходимо исключить по крайней мере одну учетную запись аварийного доступа из всех политик условного доступа.

Следующие шаги

• Чтение имени клиента и идентификатора
• Очистка ресурсов и удаление клиента