Gerenciar contas de acesso de emergência no Microsoft Entra ID
É importante impedir que a sua organização do Microsoft Entra seja bloqueada acidentalmente, pois não é possível entrar ou ativar a conta de outro usuário como um administrador. Você pode reduzir o impacto da falta acidental de acesso administrativo ao criar duas ou mais contas de acesso de emergência em sua organização.
Essas contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas. Recomendamos que você mantenha uma meta de restringir o uso da conta de emergência apenas aos momentos em que for absolutamente necessário.
Este artigo fornece diretrizes para gerenciar contas de acesso de emergência no Microsoft Entra ID.
Por que usar uma conta de acesso de emergência
Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:
- As contas de usuário são federadas e a federação está indisponível no momento devido a uma interrupção de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host de provedor de identidade em seu ambiente foi desligado, os usuários podem não conseguir entrar quando o Microsoft Entra ID redireciona para seu provedor de identidade.
- Os administradores são registrados por meio da autenticação multifator do Microsoft Entra e todos os seus dispositivos individuais não estão disponíveis ou o serviço não está disponível. Os usuários podem não conseguir concluir a autenticação multifator para ativar uma função. Por exemplo, uma interrupção de rede celular está impedindo que eles atendam a chamadas telefônicas ou recebam mensagens de texto, os dois únicos dois mecanismos de autenticação registrados para os dispositivos.
- A pessoa com acesso administrativo global mais recente saiu da organização. O Microsoft Entra ID impede que a última conta de Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada no local. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.
- Circunstâncias imprevisíveis, como uma emergência de desastre natural, em que um telefone celular ou outras redes podem não estar disponíveis.
Criar contas de acesso de emergência
Crie duas ou mais contas de acesso de emergência. Essas contas deverão ser contas somente na nuvem que usem o domínio *.onmicrosoft.com e que não sejam federadas ou sincronizadas de um ambiente local.
Como criar uma conta de acesso de emergência
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Novo usuário.
Selecione Criar usuário.
Dê um Nome de usuário à conta.
Dê um Nome à conta.
Crie uma senha longa e complexa para a conta.
Em Funções, atribua a função Administrador Global.
Em Local de uso, selecione o local apropriado.
Selecione Criar.
Ao configurar essas contas, os seguintes requisitos devem ser atendidos:
- As contas de acesso de emergência não devem ser associadas a nenhum usuário individual na organização. Garanta que suas contas não estejam conectadas a telefones celulares dos funcionários, tokens de hardware que esses funcionários levam consigo em viagens ou outras credenciais específicas vinculadas a esses funcionários. Essa precaução abrange instâncias em que um funcionário individual está inacessível quando a credencial é necessária. É importante garantir que todos os dispositivos registrados sejam mantidos em uma localização segura e conhecida que tenha vários meios de comunicação com o Microsoft Entra ID.
- Use a autenticação forte para suas contas de acesso de emergência e certifique-se de que ela não use os mesmos métodos de autenticação que suas outras contas administrativas. Por exemplo, se sua conta de administrador normal usar o aplicativo Microsoft Authenticator para autenticação forte, use uma chave de segurança FIDO2 para suas contas de emergência. Considere as dependências de vários métodos de autenticação, para evitar a adição de requisitos externos ao processo de autenticação.
- O dispositivo ou a credencial não deve expirar ou estar no escopo de limpeza automatizado devido à falta de uso.
- No Microsoft Entra Privileged Identity Management, você deve tornar a atribuição de função de administrador global permanente em vez de qualificada para suas contas de acesso de emergência.
Excluir pelo menos uma conta de autenticação de multifator baseada em telefone
Para reduzir o risco de um ataque resultante de uma senha comprometida, o Microsoft Entra ID recomenda que você exija a autenticação multifator para todos os usuários individuais. Este grupo deve incluir os administradores e todos os outros (por exemplo, gerentes financeiros) cuja conta comprometida teria um impacto significativo.
Entretanto, pelo menos uma de suas contas de acesso de emergência não deve ter o mesmo mecanismo de autenticação multifator que suas outras contas não emergenciais. Isso inclui soluções de autenticação multifator de terceiros. Se você tiver uma política de acesso condicional para exigir a autenticação multifator para todos os administradores para o Microsoft Entra ID e outros aplicativos SaaS (Software como Serviço), é necessário excluir as contas de acesso de emergência desse requisito e configurar um diferente mecanismo no seu lugar. Além disso, você deve verificar se as contas não têm uma política de autenticação multifator por usuário.
Exclua pelo menos uma conta de políticas de Acesso Condicional
Durante uma emergência, não convém que uma política tenha o potencial de bloquear seu acesso para corrigir um problema. Se você usar o acesso condicional, pelo menos uma conta de acesso de emergência precisará ser excluída de todas as políticas de acesso condicional.
Diretrizes de federação
Algumas organizações usam o AD Domain Services e o AD FS ou um provedor de identidade semelhante para se federar ao Microsoft Entra ID. O acesso de emergência para sistemas locais e o acesso de emergência para serviços de nuvem devem ser mantidos distintos, sem qualquer dependência entre eles. O domínio e/ou a autenticação de fornecimento para contas com privilégios de acesso de emergência de outros sistemas adiciona risco desnecessário em caso de falha desses sistemas.
Armazenar com segurança as credenciais da conta
As organizações precisam garantir que as credenciais para essas contas de emergência sejam mantidas seguras e conhecidas apenas para os indivíduos que estão autorizados a usá-las. Alguns clientes usam um cartão inteligente para Windows Server AD, uma chave de segurança FIDO2 para Microsoft Entra ID e outros usam senhas. A senha para uma conta de acesso de emergência geralmente é separada em duas ou três partes, escrita em pedaços de papel separados e armazenada em cofres seguros à prova de incêndio que estão em locais separados e seguros.
Se usar senhas, verifique se as contas têm senhas fortes que não expirem. Idealmente, as senhas devem ter pelo menos 16 caracteres longos e gerados aleatoriamente.
Exibir entradas e logs de auditoria
As organizações devem monitorar a atividade de entrada e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade em contas de interrupção, você poderá verificar se essas contas são usadas apenas para teste ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de entrada e disparar alertas de email e SMS para seus administradores sempre que as contas de interrupção entrarem.
Pré-requisitos
- Enviar logs de entrada do Microsoft Entra ao Azure Monitor.
Obter IDs de objeto das contas de interrupção
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
Navegue até Identidade>Usuários>Todos os usuários.
Procure a conta de interrupção e selecione o nome do usuário.
Copie e salve o atributo ID de objeto para que você possa usá-lo mais tarde.
Repita as etapas anteriores para a segunda conta de interrupção.
Criar uma regra de alerta
Inscreva-se no portal do Azure como pelo menos um Colaborador de monitoramento.
Navegue até Monitorar>Workspaces do Log Analytics.
Selecione um workspace.
Em seu espaço de trabalho, selecione Alertas>Nova regra de alerta.
Em Recursos, verifique se a assinatura é aquela com a qual você deseja associar a regra de alerta.
Em Condição, selecione Adicionar.
Selecione Pesquisa de log personalizada em Nome do sinal.
Em Consulta de pesquisa, insira a consulta a seguir, inserindo as IDs de objeto das duas contas de interrupção.
Observação
Para cada conta de interrupção adicional que você deseja incluir, adicione outro "or UserId == "ObjectGuid"" à consulta.
Consultas de exemplo:
// Search for a single Object ID (UserID) SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
// Search for multiple Object IDs (UserIds) SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
// Search for a single UserPrincipalName SigninLogs | project UserPrincipalName | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
Em Lógica de alerta, insira o seguinte:
- Baseado em: Número de resultados
- Operador: Maior que
- Valor do limite: 0
Em Avaliado com base em, selecione o Período (em minutos) para informar quanto tempo você deseja que a consulta seja executada e a Frequência (em minutos) para a frequência de execução da consulta. A frequência deve ser inferior ou igual ao período.
Selecione Concluído. Agora, você pode exibir o custo mensal estimado deste alerta.
Selecione um grupo de ações de usuários a ser notificado pelo alerta. Se você quiser criar um, confira Criar um grupo de ação.
Para personalizar a notificação por email enviada aos membros do grupo de ações, selecione ações em Personalizar ações.
Em Detalhes do alerta, especifique o nome da regra de alerta e adicione uma descrição opcional.
Defina o Nível de severidade do evento. É recomendável defini-lo como Crítico (Sev 0) .
Em Habilitar regra ao criar, deixe-a definida como Sim.
Para desativar os alertas por um tempo, marque a caixa de seleção Suprimir alertas e insira a duração da espera antes de alertar novamente e, em seguida, selecione Salvar.
Clique em Criar regra de alerta.
Criar um grupo de ações
Selecione Criar um grupo de ações.
Inserir o nome do grupo de ações e um nome curto.
Verifique uma assinatura e um grupo de recursos.
Em Tipo de ação, selecione Email/SMS/Push/Voz.
Insira um nome de ação, como Notificar Administrador Global.
Selecione o Tipo de Ação como Email/SMS/Push/Voz.
Selecione Editar detalhes para selecionar os métodos de notificação que você deseja configurar e insira as informações de contato necessárias e, em seguida, selecione Ok para salvar os detalhes.
Adicione as ações adicionais que você deseja disparar.
Selecione OK.
Validar contas regularmente
Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo execute as seguintes etapas em intervalos regulares:
- Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta é contínua.
- Certifique-se de que o processo de quebra de vidro de emergência para usar essas contas é documentado e atual.
- Certifique-se de que os administradores e os agentes de segurança que talvez sejam necessários para executar essas etapas durante uma emergência recebam um treinamento sobre o processo.
- Atualize as credenciais da conta, em particular, todas as senhas para suas contas de acesso de emergência e, em seguida, confirme se as contas de acesso de emergência podem ser acessadas e as tarefas administrativas executadas.
- Certifique-se de que os usuários não tenham registrado a autenticação multifator ou a redefinição de senha self-service (SSPR) no dispositivo ou nos detalhes pessoais de qualquer usuário individual.
- Se as contas forem registradas para a autenticação multifator para um dispositivo, para uso durante as entradas ou a ativação de função, certifique-se de que o dispositivo esteja acessível a todos os administradores que podem precisar usá-lo durante uma emergência. Verifique também se o dispositivo pode se comunicar por meio de, pelo menos, dois caminhos de rede que não compartilhem um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a Internet por meio de rede sem fio da instalação e por uma rede de provedor celular.
Essas etapas devem ser realizadas em intervalos regulares e para alterações de chave:
- Pelo menos a cada 90 dias
- Quando houve uma alteração recente na equipe de TI, como uma alteração de cargo, uma saída ou uma nova contratação
- Quando as assinaturas do Microsoft Entra da organização foram alteradas
Próximas etapas
- Protegendo o acesso privilegiado para implantações de nuvem e híbridos no Microsoft Entra ID
- Adicionar usuários usando o Microsoft Entra ID e atribuir funções ao novo usuário
- Inscreva-se para uma licença do Microsoft Entra ID P1 ou P2, se ainda não se inscreveu
- Como exigir a verificação em duas etapas para um usuário
- Configurar proteções adicionais para funções com privilégios no Microsoft 365, se você estiver usando o Microsoft 365
- Iniciar uma revisão de acesso de funções com privilégios e fazer a transição de atuais atribuições de função com privilégios para funções Administrador mais específicas