分享方式:

管理 Microsoft Entra ID 中的緊急存取帳戶

  • 文章

請務必防止意外鎖定 Microsoft Entra 組織,因為您無法以系統管理員的身分,登入或啟動其他使用者的帳戶。 您可以藉由在組織中建立兩個或多個緊急存取帳戶,來減輕不慎失去系統管理存取權的影響。

緊急存取帳戶具有高度特殊權限,且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「緊急 (breal glass)」案例。 建議您限制只有在絕對必要時,才能使用緊急帳戶,並維護此限制目標。

本文提供在 Microsoft Entra ID 中管理緊急存取帳戶的指導方針。

為什麼要使用緊急存取帳戶

在下列情況下,組織可能需要使用緊急存取帳戶:

  • 使用者帳戶已同盟,且同盟目前因數據格網路中斷或身分識別提供者中斷而無法使用。 例如,如果環境中的識別提供者主機已關閉,則當 Microsoft Entra ID 重新導向至其識別提供者時,使用者可能無法登入。
  • 管理員已透過 Microsoft Entra Multi-Factor Authentication 進行註冊,但他們的所有個別裝置皆無法使用,或服務無法使用。 使用者可能無法完成多重要素驗證來啟動角色。 例如,行動網路的中斷會讓使用者無法接聽來電或接收文字簡訊 (唯一為裝置註冊的兩種驗證機制)。
  • 具有最新全域系統管理員存取權的人員已離開組織。 Microsoft Entra ID 可防止最後一個全域系統管理員帳戶遭到刪除,但不會防止帳戶刪除或停用內部部署。 這兩種情況任一種都可能導致組織無法復原帳戶。
  • 在意外情況期間 (例如自然災害緊急情況),行動電話或其他網路可能無法使用。

建立緊急存取帳戶

建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 *.onmicrosoft.com 網域的雲端限定帳戶,而且未與內部部署環境同盟或同步。

如何建立緊急存取帳戶

  1. 全域管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 選取 [新增使用者]

  4. 選取 [建立使用者]

  5. 為帳戶提供 [使用者名稱]

  6. 為帳戶提供 [名稱]

  7. 為帳戶建立夠長且複雜的密碼。

  8. 在 [角色] 下方,指派 [全域管理員] 角色。

  9. 在 [使用位置] 中,選取適當的位置。

    在 Microsoft Entra ID 中建立緊急存取帳戶

  10. 選取 建立

  11. 安全地儲存帳戶認證

  12. 監視登入與稽核記錄

  13. 定期驗證帳戶

設定這些帳戶時,必須符合下列需求:

  • 緊急存取帳戶不應與組織中的任何個別使用者相關聯。 請確定您的帳戶未與任何員工提供的行動電話、隨個別員工旅行的硬體權杖或其他員工特定認證連結。 此預防措施涵蓋需要認證時無法連線到個別員工的情況。 請務必確保任何已註冊的裝置可處於已知且安全的位置,並有多個方法可與 Microsoft Entra ID 通訊。
  • 對緊急存取帳戶使用增強式驗證,並確定它不會使用與其他系統管理帳戶相同的驗證方法。 例如,如果您的一般系統管理員帳戶使用 Microsoft Authenticator 應用程式進行增強式驗證,請針對您的緊急帳戶使用 FIDO2 安全性金鑰。 請考量各種驗證方法的相依性,以避免在驗證流程中加入外部需求。
  • 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。
  • 在 Microsoft Entra Privileged Identity Management 中,您應該將全域管理員角色指派設為永久,而不是符合緊急存取帳戶的資格。

從電話型多重要素驗證中排除至少一個帳戶

若要降低因密碼遭入侵而遭受攻擊的風險,Microsoft Entra ID 建議您為所有個別使用者要求多重要素驗證。 這個群組包含管理員和所有其他人員 (例如財務人員),其遭洩漏的帳戶會造成重大影響。

但是,至少有一個緊急存取帳戶不應該具有與其他非緊急帳戶相同的多重要素驗證機制。 這包括協力廠商多重要素驗證解決方案。 如果您具備條件式存取原則,要針對 Microsoft Entra ID 和其他連線的軟體即服務 (SaaS) 應用程式,要求每位管理員進行多重要素驗證,則應該將緊急存取帳戶從此要求中排除,並設定其他機制。 此外,您應該確定帳戶沒有每位使用者的多重要素驗證原則。

從 [條件式存取] 原則中排除至少一個帳戶

在緊急情況下,您不會希望有個可能阻止您進行存取以解決問題的原則。 如果您使用條件式存取,至少必須從所有條件式存取原則中排除一個緊急存取帳戶。

注意

從 2024 年 7 月開始,Azure 小組將開始推出額外的租用戶層級安全性措施,以要求所有使用者使用多重要素驗證 (MFA)。 如已記載,針對緊急存取帳戶使用強式驗證。 建議您更新這些帳戶以使用 FIDO2 或憑證型驗證(設定為 MFA 時),而不是只依賴長密碼。 這兩種方法都會滿足 MFA 需求。

同盟指導

某些組織會使用 AD 網域服務和 AD FS 或類似的身分識別提供者來與 Microsoft Entra ID 同盟。 內部部署系統的緊急存取和雲端服務的緊急存取應保持不同,彼此不相依。 當系統發生中斷時,對於具有其他系統緊急存取權限之帳戶的主控和或來源驗證,會增加不必要的風險。

安全地儲存帳戶認證

組織需要確保緊急存取帳戶的認證保持在安全狀態,且僅有獲得授權使用的個人知道該認證內容。 有些客戶會將智慧卡用於 Windows Server AD、將 FIDO2 安全性金鑰用於 Microsoft Entra ID,而其他則會使用密碼。 緊急存取帳戶的密碼通常會分成兩個或三個部分、記錄在不同的紙上,以及儲存在不同安全地點的安全防火保險箱中。

如果使用密碼,請確定帳戶具有不會過期的強式密碼。 理想情況下,密碼長度應該至少為 16 個字元,並隨機產生。

監視登入與稽核記錄

組織應該監視來自緊急帳戶的登入和稽核記錄活動,並且對其他系統管理員觸發通知。 當您監視急用帳戶的活動時,您可以確認這些帳戶僅用於測試或實際的緊急事件。 您可以使用 Azure Log Analytics 來監視登入記錄,並在每次急用帳戶登入時,對您的系統管理員觸發電子郵件和 SMS 警示。

必要條件

  1. 傳送 Microsoft Entra 登入記錄 至 Azure 監視器。

取得急用帳戶的物件識別碼

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 搜尋急用帳戶,然後選取使用者的名稱。

  4. 複製並儲存物件識別碼屬性,讓您稍後可以使用。

  5. 針對第二個急用帳戶重複上述步驟。

建立警示規則

  1. 監視參與者身分登入 Azure 入口網站

  2. 瀏覽至 [監視]>[Log Analytics 工作區]

  3. 選取工作區。

  4. 在您的工作區中,選取 [警示]> [新增警示規則]

    1. 在 [資源] 底下,確認訂用帳戶是您要與警示規則產生關聯的訂用帳戶。

    2. 在 [條件] 底下,選取 [新增]

    3. 選取 [訊號名稱] 底下的 [自訂記錄搜尋]

    4. 在 [搜尋查詢] 下,輸入下列查詢,插入兩個急用帳戶的物件識別碼。

      注意

      針對您想要包含的每個額外急用帳戶,將其他 "or UserId == "ObjectGuid"" 新增至查詢。

      範例查詢:

      // Search for a single Object ID (UserID)
SigninLogs
| project UserId 
| where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"

      // Search for multiple Object IDs (UserIds)
SigninLogs
| project UserId 
| where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"

      // Search for a single UserPrincipalName
SigninLogs
| project UserPrincipalName 
| where UserPrincipalName == "user@yourdomain.onmicrosoft.com"

      將急用帳戶的物件識別碼新增至警示規則

    5. 在 [警示邏輯] 底下輸入下列項目:

      • 依據:結果數目
      • 運算子:大於
      • 閾值:0

    6. 在 [評估根據] 底下,針對要執行查詢多久時間選取 [期間 (以分鐘為單位)],以及針對執行查詢的頻率選取 [頻率 (以分鐘為單位)]。 頻率應小於或等於期間。

      警示邏輯

    7. 選取完成。 您現在可以看到此警示的每月預估成本。

  5. 選取要由警示通知的使用者動作群組。 如果您想要建立一個群組,請參閱建立動作群組

  6. 若要自訂傳送至動作群組成員的電子郵件通知,請選取 [自訂動作] 底下的動作。

  7. 在 [警示詳細資料] 底下,指定警示規則名稱並新增選擇性的描述。

  8. 設定事件的嚴重性層級。 我們建議您將其設定為 [重大 (嚴重性 0)]

  9. 於 [在建立時啟用規則] 底下,保留其設定為 [是]

  10. 若要將警示關閉一段時間,請選取 [隱藏警示] 核取方塊,輸入再次警示之前的等候持續時間,然後選取 [儲存]

  11. 按一下 [建立警示規則]

建立動作群組

  1. 選取 [建立動作群組]

    建立通知動作的動作群組

  2. 指定動作群組名稱和簡短名稱。

  3. 確認訂用帳戶和資源群組。

  4. 在動作類型底下,選取 [電子郵件/簡訊/推播/語音]

  5. 輸入動作名稱,例如通知全域管理員

  6. 針對 [動作類型],選取 [電子郵件/簡訊/推播/語音]

  7. 選取 [編輯詳細資料] 以選取您要設定的通知方法,並輸入必要的連絡人資訊,然後選取 [確定] 以儲存詳細資料。

  8. 新增您想要觸發的任何其他動作。

  9. 選取 [確定]。

定期驗證帳戶

當您訓練員工使用緊急存取帳戶並驗證緊急存取帳戶時,請至少定期執行下列步驟:

  • 確定安全性監控人員了解帳戶檢查活動須持續進行。
  • 確定要使用這些帳戶的緊急急用程序已記錄下來,而且是最新的。
  • 請確定可能需要在緊急情況下執行這些步驟的系統管理員和安全性人員,都已針對此程序進行訓練。
  • 為緊急存取帳戶更新帳戶認證,尤其是任何密碼,然後驗證緊急存取帳戶是否可以登入並執行管理工作。
  • 確定使用者尚未將多重要素驗證或自助式密碼重設 (SSPR) 註冊至任何個別使用者的裝置或個人詳細資料。
  • 如果帳戶已在裝置上註冊以使用多重要素驗證 (在登入或啟用角色時使用),請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取該裝置。 另外也請確認裝置已透過至少兩個失敗模式不同的網路路徑進行通訊。 例如,裝置可以透過設施的無線網路和資料格提供者網路來與網際網路通訊。

這些步驟應該定期執行,並針對金鑰變更執行:

  • 至少每 90 天
  • 當 IT 人員最近發生變更時,例如工作變更、離職或新進員工
  • 當組織中的 Microsoft Entra 訂用帳戶變更時

下一步