管理 Microsoft Entra ID 中的緊急存取帳戶

請務必避免意外鎖定 Microsoft Entra 組織，因為您無法以系統管理員身分登入或啟用其他使用者的帳戶。 您可以藉由在組織中建立兩個或多個緊急存取帳戶，來減輕不慎失去系統管理存取權的影響。

緊急存取帳戶具有高度特殊許可權，且不會指派給特定個人。 緊急存取帳戶僅限於無法使用一般系統管理帳戶的緊急或「緊急 (breal glass)」案例。 建議您維持將緊急帳戶限制為絕對必要時間的目標。

本文提供在 Microsoft Entra ID 中管理緊急存取帳戶的指導方針。

為什麼要使用緊急存取帳戶

在下列情況下，組織可能需要使用緊急存取帳戶:

• 使用者帳戶已同盟，且同盟目前因數據格網路中斷或身分識別提供者中斷而無法使用。 例如，如果環境中的識別提供者主機已關閉，則當 Microsoft Entra ID 重新導向至其識別提供者時，使用者可能無法登入。
• 系統管理員會透過 Microsoft Entra 多重要素驗證進行註冊，且其所有個別裝置都無法使用或服務無法使用。 使用者可能無法完成多重要素驗證來啟動角色。 例如，資料格網路中斷可防止他們接聽電話或接收簡訊，這是他們為裝置註冊的唯一兩個驗證機制。
• 具有最新全域系統管理員存取權的人員已離開組織。 Microsoft Entra ID 可防止最後一個全域管理員istrator 帳戶遭到刪除，但不會防止帳戶在內部部署遭到刪除或停用。 這兩種情況任一種都可能導致組織無法復原帳戶。
• 在意外情況期間 (例如自然災害緊急情況)，行動電話或其他網路可能無法使用。

建立緊急存取帳戶

建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 *.onmicrosoft.com 網域且不是從內部部署環境同盟或同步處理的僅限雲端帳戶。

如何建立緊急存取帳戶

1. 以全域管理員istrator 身分 登入 Microsoft Entra 系統管理中心 。

2. 流覽至 [ 身分 > 識別使用者 > 所有使用者]。

3. 選取 [ 新增使用者 ]。

4. 選取 [ 建立使用者 ]。

5. 為帳戶提供 使用者名稱 。

6. 提供帳戶 名稱 。

7. 為帳戶建立長而複雜的密碼。

8. 在 [ 角色] 下 ，指派全域管理員istrator 角色。

9. 在 [使用位置] 底下 ，選取適當的位置。

   

10. 選取 建立。

11. 安全地 儲存帳號憑證。

12. 監視登入和稽核記錄 。

13. 定期 驗證帳戶。

設定這些帳戶時，必須符合下列需求：

• 緊急存取帳戶不應與組織中的任何個別使用者相關聯。 請確定您的帳戶未與任何員工提供的行動電話、使用個別員工旅行的硬體權杖或其他員工特定認證連線。 此預防措施涵蓋需要認證時無法連線到個別員工的情況。 請務必確保任何已註冊的裝置都保留在已知且安全的位置，且具有多個與 Microsoft Entra ID 通訊的方法。
• 針對緊急存取帳戶使用增強式驗證，並確定它不會使用與其他系統管理帳戶相同的驗證方法。 例如，如果您的一般系統管理員帳戶使用 Microsoft Authenticator 應用程式進行增強式驗證，請使用 FIDO2 安全性金鑰作為緊急帳戶。 請考慮各種驗證方法 的相依性，以避免將外部需求新增至驗證程式。
• 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。
• 在 Microsoft Entra Privileged Identity Management 中，您應該讓全域管理員istrator 角色指派永久，而不是符合緊急存取帳戶的資格。

從電話型多重要素驗證中排除至少一個帳戶

若要降低因密碼遭入侵而遭受攻擊的風險，Microsoft Entra ID 建議您為所有個別使用者要求多重要素驗證。 此群組包括系統管理員和所有其他人員（例如財務官員），其遭入侵的帳戶將產生重大影響。

不過，您的至少一個緊急存取帳戶不應該有與其他非緊急帳戶相同的多重要素驗證機制。 這包括協力廠商多重要素驗證解決方案。 如果您有條件式存取原則，需要 Microsoft Entra ID 和其他已連線軟體即服務 （SaaS） 應用程式的系統管理員 進行 多重要素驗證，您應該從這項需求中排除緊急存取帳戶，並改為設定不同的機制。 此外，您應該確定帳戶沒有每個使用者多重要素驗證原則。

從 [條件式存取] 原則中排除至少一個帳戶

在緊急情況下，您不希望原則封鎖存取以修正問題。 如果您使用條件式存取，至少必須從所有條件式存取原則中排除一個緊急存取帳戶。

同盟指導

某些組織會使用 AD Domain Services 和 AD FS 或類似的身分識別提供者來同盟至 Microsoft Entra ID。 內部部署系統的緊急存取和雲端服務的緊急存取應保持不同，彼此不相依。 針對具有其他系統之緊急存取許可權的帳戶進行主控和或來源驗證，會在發生這些系統中斷時，增加不必要的風險。

安全地儲存帳號憑證

組織必須確保緊急存取帳戶的認證會保持安全，且只有獲授權使用帳戶的人員才知道。 有些客戶使用適用于 Windows Server AD 的智慧卡、 Microsoft Entra ID 的 FIDO2 安全性金鑰 ，而另一些則使用密碼。 緊急存取帳戶的密碼通常會分成兩或三個部分，分別寫在個別的紙張上，並儲存在安全、防火的隔離器中，位於安全、不同的位置。

如果使用密碼，請確定帳戶具有未過期的強式密碼。 在理想情況下，密碼長度至少應為 16 個字元，並隨機產生。

監視登入和稽核記錄

組織應該從緊急帳戶監視登入和稽核記錄活動，並觸發通知給其他系統管理員。 當您監視中斷帳戶的活動時，您可以確認這些帳戶僅用於測試或實際緊急情況。 您可以使用 Azure Log Analytics 來監視登入記錄，並在每當中斷帳戶登入時觸發電子郵件和 SMS 警示給系統管理員。

必要條件

1. 將 Microsoft Entra 登入記錄 傳送至 Azure 監視器。

取得斷層帳戶的物件識別碼

1. 至少 以使用者管理員istrator 身分登入 Microsoft Entra 系統管理中心 。

2. 流覽至 [ 身分 > 識別使用者 > 所有使用者]。

3. 搜尋分鏡帳戶，然後選取使用者的名稱。

4. 複製並儲存物件識別碼屬性，以便稍後使用。

5. 針對第二個斷層帳戶重複先前的步驟。

建立警示規則

1. 至少以監視參與者 身 分登入 Azure 入口網站 。

2. 流覽至 [ 監視 > Log Analytics 工作區]。

3. 選取工作區。

4. 在您的工作區中，選取 [ 警示 > 新警示規則]。

   1. 在 [資源 ] 下 ，確認訂用帳戶是您要與警示規則產生關聯的訂用帳戶。

   2. 在 [條件] 底下 ，選取 [ 新增 ]。

   3. 選取 [ 訊號名稱 ] 下的 [自訂記錄搜尋 ]。

   4. 在 [搜尋查詢 ] 底 下，輸入下列查詢，並插入兩個中斷玻璃帳戶的物件識別碼。

      注意

      針對您想要包含的每個額外中斷帳戶，將另一個 「or UserId == 」ObjectGuid「 新增至查詢。

      範例查詢：

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "f66e7317-2ad4-41e9-8238-3acf413f7448" or UserId == "0383eb26-1cbc-4be7-97fd-e8a0d8f4e62b"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. 在 [警示邏輯 ] 底下 ，輸入下列專案：

      • 根據：結果數目
      • 運算子：大於
      • 臨界值：0

   6. 在 [評估依據] 底 下，選取 [期間]（以分鐘為單位）， 以取得您想要查詢執行的時間長度，以及 [頻率] （以分鐘為單位） 表示您希望查詢執行的頻率。 頻率應小於或等於句點。

      

   7. 選取完成。 您現在可以檢視此警示的預估每月成本。

5. 選取警示要通知的使用者動作群組。 如果您想要建立一個，請參閱 建立動作群組 。

6. 若要自訂傳送給動作群組成員的電子郵件通知，請選取 [自訂動作 ] 底下的 動作。

7. 在 [警示詳細資料] 底 下 ，指定警示規則名稱並新增選擇性描述。

8. 設定事件的嚴重性層級 。 我們建議您將它設定為 Critical（Sev 0） 。

9. 在 [建立 時啟用規則] 底 下，將它設定為 [是 ]。

10. 若要關閉警示一段時間，請選取 [ 隱藏警示 ] 核取方塊，然後再次輸入警示之前的等候持續時間，然後選取 [ 儲存 ]。

11. 按一下 [建立警示規則]。

建立動作群組

1. 選取 [ 建立動作群組 ]。

   

2. 輸入動作組名和簡短名稱。

3. 確認訂用帳戶和資源群組。

4. 在 [動作類型] 底下，選取 [ 電子郵件/SMS/推播/語音 ]。

5. 輸入動作名稱，例如 通知全域管理員istrator 。

6. 選取 [ 動作類型 ] 作為 [電子郵件/SMS/推播/語音 ]。

7. 選取 [編輯詳細資料 ] 以選取您想要設定的通知方法，並輸入必要的連絡資訊，然後選取 [ 確定 ] 以儲存詳細資料。

8. 新增您想要觸發的任何其他動作。

9. 選取 [確定]。

定期驗證帳戶

當您訓練員工使用緊急存取帳戶並驗證緊急存取帳戶時，請至少定期執行下列步驟:

• 請確定安全性監視人員知道帳戶檢查活動正在進行中。
• 請確定已記載及目前記錄使用這些帳戶的緊急中斷玻璃程式。
• 請確定可能需要在緊急情況下執行這些步驟的系統管理員和安全性人員，都已針對此程序進行訓練。
• 更新緊急存取帳戶的帳號憑證，特別是任何密碼，然後驗證緊急存取帳戶是否可以登入和執行系統管理工作。
• 請確定使用者尚未向任何個別使用者的裝置或個人詳細資料註冊多重要素驗證或自助式密碼重設（SSPR）。
• 如果帳戶已在裝置上註冊以使用多重要素驗證 (在登入或啟用角色時使用)，請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取該裝置。 此外，請確認裝置可以透過至少兩個未共用常見失敗模式的網路路徑進行通訊。 例如，裝置可以透過設施的無線網路和資料格提供者網路來與網際網路通訊。

這些步驟應該定期執行，並針對金鑰變更執行:

• 至少每 90 天
• 當 IT 人員最近發生變更時，例如工作變更、離職或新進員工
• 當組織中的 Microsoft Entra 訂用帳戶變更時

下一步

• 在 Microsoft Entra ID 中保護混合式和雲端部署的特殊許可權存取
• 使用 Microsoft Entra 識別碼 新增使用者，並將 新使用者指派給 Global 管理員istrator 角色
• 如果您尚未註冊 Microsoft Entra ID P1 或 P2 ，請註冊
• 如何要求使用者的雙步驟驗證
• 如果您使用 Microsoft 365，請為 Microsoft 365 中的全域管理員istrators 設定其他保護
• 開始全域 管理員istrator 的存取權檢閱，並將 現有的 Global 管理員istrators 轉換為更特定的系統管理員角色