管理 Azure Active Directory B2C 中的緊急存取帳戶
請務必避免意外鎖定 Azure Active Directory B2C (Azure AD B2C) 組織,因為您無法以系統管理員身分登入或啟用其他用戶的帳戶。 您可以藉由在組織中建立兩個或多個緊急存取帳戶,來減輕不慎失去系統管理存取權的影響。
當您設定這些帳戶時,必須符合下列需求:
緊急存取帳戶不應與組織中的任何個別使用者相關聯。 請確定您的帳戶未與任何員工提供的行動電話、隨個別員工旅行的硬體權杖或其他員工特定認證連結。 此預防措施涵蓋需要認證時無法連線到個別員工的情況。 請務必確保任何已註冊的裝置都保留在已知且安全的位置,且具有多個與 Azure AD B2C 通訊的方法。
針對緊急存取帳戶使用強身份驗證,並確定它不會使用與其他系統管理帳戶相同的驗證方法。
裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。
必要條件
- 如果您尚未建立自己的 Azure AD B2C 租使用者,請立即建立一個。 您可以使用現有的 Azure AD B2C 租使用者。
- 瞭解 Azure AD B2C 中的用戶帳戶。
- 了解 使用者角色以控制資源存取。
- 了解 條件式存取
建立緊急存取帳戶
建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 .onmicrosoft.com 網域且未從內部部署環境同盟或同步處理的僅限雲端帳戶。
使用下列步驟建立緊急存取帳戶:
以現有的全域 管理員 istrator 身分登入 Azure 入口網站。 如果您使用 Microsoft Entra 帳戶,請確定您使用的是包含 Azure AD B2C 租使用者的目錄:
在入口網站工具列中選取 [ 目錄 + 訂用帳戶 ] 圖示。
在入口 網站設定 |[目錄 + 訂用帳戶 ] 頁面,在 [ 目錄名稱 ] 列表中尋找您的 Azure AD B2C 目錄,然後選取 [ 切換]。
在 [Azure 服務] 底下,選取 [Azure AD B2C]。 或在 Azure 入口網站 中,搜尋並選取 [Azure AD B2C]。
在左側功能表中的 [管理] 底下,選取 [使用者]。
選取 [+ 新增使用者]。
選取 [ 建立使用者]。
在 [身分識別] 底下:
針對 [ 用戶名稱],輸入唯一的用戶名稱,例如 緊急帳戶。
針對 [ 名稱],輸入緊急帳戶之類的 名稱
在 [密碼] 底下,輸入您的唯一密碼。
在 [群組和角色] 下
選取 [ 用戶]。
在顯示的窗格中,搜尋並選取 [全域管理員],然後選取 [選取] 按鈕。
在 [設定] 底下,選取適當的 [使用位置]。
選取 建立。
安全地儲存帳戶認證。
定期驗證帳戶。
建立緊急帳戶之後,您必須執行下列動作:
請確定您 至少從電話型多重要素驗證中排除一個帳戶
如果您使用 條件式存取,至少必須從所有條件式存取原則中排除一個緊急存取帳戶。