管理 Microsoft Entra ID 中的緊急存取帳戶

避免因無法登入或啟用角色,而意外將自己鎖在 Microsoft Entra 組織之外,這點非常重要。 您可以透過在組織內建立兩個或以上 緊急存取帳號 ,來降低因意外缺乏管理權限的影響。

擁有全域管理員角色的使用者帳號在系統中擁有較高權限,此角色包括擁有全域管理員角色的緊急存取帳號。 僅在緊急情況或「緊急破窗」情境下,且正常的系統管理員帳戶無法使用時,才使用緊急存取帳戶。 限制緊急帳號只在絕對必要的時候使用。

本文提供在 Microsoft Entra ID 中管理緊急存取帳戶的指導方針。

為什麼要使用緊急存取帳戶

在下列情況下,組織可能需要使用緊急存取帳戶:

  • 使用者帳戶已聯合,且目前因行動網路或身份驗證提供者中斷而無法使用。 例如,若您環境中的身份提供者主機故障,當 Microsoft Entra ID 重新導向至其身份提供者時,使用者可能無法登入。
  • 管理員透過 Microsoft Entra 多重要素驗證進行註冊,而他們各自的所有裝置都無法使用,或者該服務無法使用。 使用者可能無法完成多重要素驗證來啟動角色。 例如,行動網路的中斷會讓使用者無法接聽來電或接收文字簡訊 (唯一為裝置註冊的兩種驗證機制)。
  • 擁有最新全域管理員權限的人將離開組織。 Microsoft Entra ID 可防止最後一個全域系統管理員帳戶被刪除,但不會防止在內部部署環境中刪除或停用該帳戶。 這兩種情況任一種都可能導致組織無法復原帳戶。
  • 在意外情況期間 (例如自然災害緊急情況),行動電話或其他網路可能無法使用。
  • 所有全域管理員與特權角色管理員的角色指派皆具資格(非有效),啟用需經核准,且未選取任何核准者(或所有已選定的核准者從目錄中移除)。 未選取任何核准者時,作用中全域管理員和特權角色管理員會成為預設核准者,但因為目前沒有任何這類管理員處於作用中狀態,因此無人可核准啟用,租用戶管理也因此實質上被鎖定。

建立緊急存取帳戶

建立兩個以上的緊急存取帳戶。 這些帳戶應該是使用 *.onmicrosoft.com 網域的雲端限定帳戶,而且未與內部部署環境同盟或同步。 概括而言,請遵循下列步驟。

  1. 找出你現有的緊急存取帳號,或 建立新的純雲端使用者 ,並指派他們全域管理員角色。

  2. 請選擇以下無密碼認證方式之一來保護你的緊急存取帳號。 這些方法符合 強制多重要素驗證需求

  3. 註冊你在前一步選擇的認證方式的憑證。

  4. 確認緊急存取帳號是否被排除在任何阻擋或限制登入的條件存取政策之外。 在上一個步驟中註冊的抗網路釣魚驗證方法可保護該帳戶;但強制執行的條件式存取原則,可能會在該帳戶正是為因應該緊急情況而設計時,反而阻止登入。 僅報告的政策不會封鎖存取,也不要求排除。 詳情請參見 條件存取的考量

  5. 安全地儲存帳戶認證

  6. 監視登入與稽核記錄

  7. 定期驗證帳戶

設定需求

在設定這些帳戶時,請確保符合以下要求:

  • 不要將緊急存取帳號與組織內任何個別使用者關聯。 將憑證存放在一個已知的安全位置,該位置對多位管理團隊成員開放。 不要將這些帳號與員工提供的裝置(如手機)連結。 此方法統一了緊急存取帳戶管理。 大多數組織不僅需要緊急存取帳號,不僅用於 Microsoft Cloud 基礎架構,也需要用於本地環境、聯邦 SaaS 應用及其他關鍵系統。

    或者,您可以選擇為系統管理員建立個別的緊急存取帳戶。 此解決方案可提升責任,並允許系統管理員從遠端位置使用緊急存取帳戶。

  • 針對緊急存取帳戶使用強身份驗證,並確定它不會使用與其他系統管理帳戶相同的驗證方法。 例如,如果您的一般系統管理員帳戶使用 Microsoft Authenticator 應用程式進行增強式驗證,請針對您的緊急帳戶使用 FIDO2 安全性金鑰。 為避免在認證過程中加入外部要求,請考慮 各種認證方法的依賴關係

  • 裝置或認證不得過期或處於因缺乏使用而自動清除的範圍內。

  • 在 Microsoft Entra Privileged Identity Management 中,請將緊急存取帳戶的全域管理員角色指派設為永久啟用,而不是符合資格。

  • 獲授權使用這些緊急存取帳戶的個人必須利用指定的安全工作站或類似的用戶端運算環境,例如特殊許可權存取工作站。 與緊急存取帳號互動時,請使用這些工作站。 如需設定有指定工作站的 Microsoft Entra 租用戶端的詳細資訊,請參閱 部署高權限存取解決方案

同盟指導

某些組織會使用 Active Directory 網域服務和 Active Directory 同盟服務 (AD FS) 或類似的身分識別提供者來同盟至 Microsoft Entra ID。 保持本地系統的緊急存取與雲端服務的緊急存取區分,兩者不依賴彼此。 若從其他系統掌握或尋找擁有緊急存取權限的帳號認證,若系統發生故障,會增加不必要的風險。

安全地儲存帳戶認證

確保緊急存取帳號的憑證安全,且只有獲授權使用者才能知道。 例如,您可以使用 FIDO2 安全性密鑰 來搭配 Microsoft Entra ID,或使用智慧卡來搭配 Windows Server Active Directory。 將憑證存放在安全且防火的保險箱中,且這些保險箱位於安全且分開的地點。

條件存取的考量

將緊急存取帳號排除在阻擋或限制登入的條件存取政策之外。 僅舉報政策不會阻擋存取,也不需要排除緊急帳號。 如果緊急存取帳號受條件存取政策限制,要求多重驗證、合規裝置或其他控制措施,該帳號在設計的緊急情境下可能會無法使用。

在規劃條件存取部署時,請考慮以下幾點:

  • 為你的緊急存取帳號(如 EmergencyAccess)建立專屬的安全群組,並將此群組排除在阻擋或限制登入的條件存取政策之外。
  • 定期測試(例如每季)緊急存取帳號是否能成功登入你目前的條件存取設定。
  • 建立可在停電期間啟用的條件存取權應急政策,以恢復關鍵使用者的存取權限。 欲了解更多資訊,請參閱 建立具韌性的存取控制管理策略

欲了解更多關於規劃條件存取排除條款的資訊,請參閱 「規劃條件存取部署」。

安全護欄摘要

以下清單總結了緊急存取帳戶的安全要求:

  • 至少維持兩個緊急存取帳戶以備冗餘。
  • 使用僅限雲端的帳號(.onmicrosoft.com 網域),不依賴聯邦身份提供者。
  • 使用與您平常使用的管理員帳戶不同的抗網路釣魚驗證方法(FIDO2 安全金鑰或憑證式驗證)。
  • 確保憑證和裝置不會過期,也不會被自動清理。
  • 在 Privileged Identity Management 中,將全域管理員角色指定為緊急帳號的永久活躍(不符合資格)。
  • 使用緊急存取帳號時,要求使用指定的安全工作站或 特權存取工作站
  • 憑證存放於獨立、安全且防火的地點,授權人員可進入。
  • 將緊急存取帳號排除在阻擋或限制登入的條件存取政策之外。 僅報告原則不需要排除項目。
  • 監控所有登入及緊急存取帳號的日誌活動,並以警示偵測不必要或未經授權的使用。
  • 至少每90天驗證一次帳戶功能。

可稽核性與合規性

受監管產業的組織可能需要證明緊急存取帳戶的使用受到妥善規範。 本文所述的監控與驗證實務支持可稽核性:

  • 登入與審核日誌監控:為每次緊急存取帳號的使用設定警示。 擷取登入日誌與稽核日誌以便審查。 詳情請參閱本文中的 監控登入與稽核日誌
  • 事後檢討:在任何使用緊急存取帳號後,進行審查以判斷使用是否獲授權,以及所採取的行動是否適當。 詳情請參閱本文 中的「準備屍檢團隊 」。
  • 定期驗證:至少每90天進行一次帳戶驗證演練,包括審查授權使用者名單及測試登入與管理任務功能。 詳情請參閱本文中的 「定期驗證帳戶 」。
  • 合規映射:若貴組織必須遵守HIPAA規定,Microsoft提供緊急存取帳戶如何與HIPAA緊急存取程序要求對應的指引。 欲了解更多資訊,請參閱 HIPAA 存取控制

監視登入與稽核記錄

監控緊急帳號的登入和稽核記錄活動,並向其他管理員發出通知。 當您監視緊急存取帳戶的活動時,您可以確認這些帳戶僅用於測試或實際緊急情況。 您可以使用 Azure 監視器、Microsoft Sentinel 或其他工具來監視登入記錄,並在緊急存取帳戶登入時觸發電子郵件和 SMS 警示給系統管理員。 本節說明如何使用 Azure 監視器。

必要條件

取得緊急存取帳戶的物件標識碼

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 Entra ID>使用者

  3. 搜尋緊急存取帳戶,然後選取用戶的名稱。

  4. 複製並儲存物件識別碼屬性,讓您稍後可以使用。

  5. 針對第二個緊急存取帳戶重複上述步驟。

建立警示規則

  1. 以至少 監視參與者 的身份登入 Azure 入口網站

  2. 搜尋並開啟 Monitor

  3. 在左側選單中,選擇「警報」。

  4. 選取 [+ 建立]>[警示規則]。 [建立警示規則] 頁面隨即開啟。

  5. 範圍標籤上:

    1. 選擇資源面板中,找到並選擇你的Log Analytics工作區。
    2. 確認訂閱內容是否符合你在前置條件中設定的工作空間。
    3. 選取 ,然後套用

  6. 條件標籤上:

    1. 訊號名稱 下拉式選單中,選取 自訂日誌搜尋

    2. 查詢類型 設為 彙總日誌

    3. 搜尋查詢中,輸入以下其中一項查詢,並插入兩個緊急存取帳號的物件 ID。

      注意

      如需新增每個額外的緊急存取帳戶,請將另一個 or UserId == "ObjectGuid" 加入至查詢。

      範例查詢:

      // Search for a single Object ID (UserID)
SigninLogs
| where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
| project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription

      // Search for multiple Object IDs (UserIds)
SigninLogs
| where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
| project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription

      // Search for a single UserPrincipalName
SigninLogs
| where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
| project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription

    4. 「測量」中,設定如何總結查詢結果:

      1. 選取 度量
      2. 選擇聚 合類型
      3. 選擇聚 合的粒度

    5. 「按維度分割」中,選擇 資源識別欄位

    6. 警示邏輯下:

      1. 閾值類型 設為 靜態
      2. 運算子 設為 大於
      3. 閾值 設為 0
      4. 評估頻率 設定為你希望查詢執行的頻率。

      警示邏輯設定截圖,附有閾值類型、運算子、閾值及評估頻率的範例值。

    7. 選取 [下一步] 繼續進行。

  7. 「動作 」標籤中,選擇一個動作群組,將由警示通知。 如果您想要建立一個群組,請參閱建立動作群組

  8. 詳細資料分頁中:

    1. 選擇事件的 嚴重程度 。 使用 0 - 關鍵
    2. 輸入 警報規則名稱 ,並新增可選的描述。
    3. 選取 [區域]
    4. 執行日誌查詢時,選擇要使用的 身份
    5. 進階選項 下,選取 建立時啟用
    6. 選取 [下一步] 繼續進行。

  9. 標籤 標籤頁,加入你想與警報規則關聯的任何標籤。

  10. 選取 [檢閱 + 建立],然後選取 [建立]。

建立動作群組

  1. 選取 [建立動作群組]

    在基礎標籤開啟的「建立行動群組」畫面截圖。

  2. 基本標籤上,輸入下列資訊:

    • 訂閱資源群組:選擇要存放動作群組的位置。
    • 區域:選擇行動群組的區域。
    • 行動小組名稱:輸入描述性名稱。
    • 顯示名稱:輸入一個短名稱(最多 12 個字元),該名稱會出現在通知中。

  3. 選取 [下一步: 通知]

  4. 通知類型中,選擇 電子郵件/簡訊/推播/語音

  5. 輸入通知名稱,例如 通知全域管理員

  6. 選擇 編輯細節,設定通知方式和聯絡資訊,然後選擇 確定

  7. 新增任何你想觸發的其他通知。

  8. 選擇 「下一步:動作 」來設定任何額外的自動化動作,或選擇 「檢視+建立 」以完成。

準備事後檢討小組以評估每個緊急存取帳戶憑證的使用情況

如果觸發警示,請保留來自 Microsoft Entra 和其他工作負載的記錄。 對情況和緊急存取帳戶使用結果進行檢閱。 本審查決定該帳戶是否被使用:

  • 計畫性的演練以確認其適用性
  • 在實際緊急情況下,當管理員無法使用常用帳戶時
  • 由於帳戶被濫用或未經授權使用

接著,檢視日誌,判斷持有緊急存取帳戶的個人採取了哪些行動,以確保這些行動符合帳戶的授權使用範圍。

定期驗證帳戶

除了訓練員工使用緊急存取帳號外,還要持續進行驗證授權人員是否能存取這些緊急存取帳號。 定期進行演練以驗證帳戶功能,並確認監控與警示規則在帳戶被濫用時已啟動。 至少,請以規律間隔執行以下步驟:

  • 確保安全監控人員知道帳戶檢查活動仍在進行中。
  • 檢閱並更新獲授權使用緊急存取帳戶認證的個人清單。
  • 確保緊急使用這些帳戶的程序已被文件紀錄,並且保持最新。
  • 請確定可能需要在緊急情況下執行這些步驟的系統管理員和安全性人員,都已針對此程序進行訓練。
  • 確認緊急存取帳號能登入並執行行政工作。
  • 確保使用者未對任何個人裝置或個人資料註冊多重驗證或自助密碼重設(SSPR)。
  • 如果帳戶已在裝置上註冊以使用多重要素驗證 (在登入或啟用角色時使用),請確定在發生緊急狀況時可能需要使用裝置的所有管理員皆可存取該裝置。 另外也請確認裝置可以透過至少兩條具有不同故障模式的網路路徑進行通訊。 例如,裝置可以透過設施的無線網路和行動網路來連接到網際網路。
  • 定期更換保險箱的密碼,並在有權限的人離開組織後。

請定期執行這些步驟,並在發生重大變更時執行:

  • 至少每 90 天
  • 當 IT 人員近期有變動,例如離職或職位變動後
  • 當組織內的 Microsoft Entra 訂閱變更時

下一步

相關內容

  • Last updated on