Vészhelyzeti hozzáférési fiókok kezelése a Microsoft Entra ID-ban

Fontos, hogy megakadályozza, hogy véletlenül kizárják a Microsoft Entra-szervezetből, mert nem tud bejelentkezni vagy aktiválni egy szerepkört. Ha van esély rá, hogy véletlenül elveszíti a rendszergazdai hozzáférését, a helyzet súlyosságát enyhítheti azzal, ha létrehoz legalább két vészhelyzeti hozzáférési fiókot a szervezetben.

A globális rendszergazdai szerepkörrel rendelkező felhasználói fiókok magas jogosultságokkal rendelkeznek a rendszerben, beleértve a globális rendszergazdai szerepkörrel rendelkező segélyhívási hozzáférési fiókokat is. A vészhelyzeti hozzáférési fiókok csak vészhelyzeti vagy "sürgősségi" esetre korlátozódnak, amikor a normál rendszergazdai fiókok nem használhatók. Javasoljuk, hogy tartsa fenn azt a célt, hogy a vészhelyzeti fiókok használatát csak akkor korlátozza, amikor az feltétlenül szükséges.

Ez a cikk útmutatást nyújt a segélyhívási fiókok Microsoft Entra-azonosítóban való kezeléséhez.

Miért érdemes vészhelyzeti hozzáférési fiókot használni?

Előfordulhat, hogy egy szervezetnek vészhelyzeti hozzáférési fiókot kell használnia a következő helyzetekben:

• A felhasználói fiókok összevontak, és az összevonás jelenleg nem érhető el cella-hálózat megszakadása vagy identitásszolgáltatói kimaradás miatt. Ha például a környezet identitásszolgáltatója leállt, előfordulhat, hogy a felhasználók nem tudnak bejelentkezni, amikor a Microsoft Entra ID átirányítja az identitásszolgáltatójukat.
• A rendszergazdák többtényezős Microsoft Entra-hitelesítéssel vannak regisztrálva, és minden egyes eszközük nem érhető el, vagy a szolgáltatás nem érhető el. Előfordulhat, hogy a felhasználók nem tudnak többtényezős hitelesítést végrehajtani egy szerepkör aktiválásához. A cellahálózati kimaradás például megakadályozza őket abban, hogy telefonhívásokat fogadjanak vagy szöveges üzeneteket fogadjanak, ez az egyetlen két hitelesítési mechanizmus, amelyet regisztráltak az eszközükre.
• A legutóbbi globális rendszergazdai hozzáféréssel rendelkező személy elhagyta a szervezetet. A Microsoft Entra ID megakadályozza az utolsó globális rendszergazdai fiók törlését, de nem akadályozza meg a fiók helyszíni törlését vagy letiltását. Bármelyik helyzet miatt előfordulhat, hogy a szervezet nem tudja helyreállítani a fiókot.
• Előre nem látható körülmények, például természeti vészhelyzet, amely során egy mobiltelefon vagy más hálózat nem érhető el.
• Ha a globális rendszergazdai és a kiemelt szerepkör-rendszergazdai szerepkörök szerepkör-hozzárendelései jogosultak, jóváhagyásra van szükség az aktiváláshoz, de nincs kiválasztva jóváhagyó (vagy az összes jóváhagyó el lesz távolítva a címtárból). Az aktív globális rendszergazdák és a kiemelt szerepkör-rendszergazdák alapértelmezett jóváhagyók. De nem lesznek aktív globális adminisztrátorok és kiemelt szerepkör-adminisztrátorok, és a bérlő felügyelete ténylegesen zárolva lesz, kivéve, ha vészhelyzeti hozzáférési fiókokat használnak.

Vészhelyzeti hozzáférési fiókok létrehozása

Hozzon létre két vagy több vészhelyzeti hozzáférési fiókot. Ezeknek a fiókoknak csak felhőalapú fiókoknak kell lenniük, amelyek a *.onmicrosoft.com tartományt használják, és amelyek nincsenek összevontan vagy szinkronizálva helyszíni környezetből. Magas szinten kövesse az alábbi lépéseket.

1. Keresse meg meglévő segélyhívási fiókjait, vagy hozzon létre új fiókokat a globális rendszergazdai szerepkörrel.

   

2. Válasszon egyet ezek közül a jelszó nélküli hitelesítési módszerek közül a vészhelyzeti hozzáférési fiókokhoz. Ezek a metódusok megfelelnek a kötelező többtényezős hitelesítési követelményeknek.

   • hozzáférési kulcs (FIDO2) (ajánlott)
   • tanúsítványalapú hitelesítés, ha a szervezet már rendelkezik nyilvános kulcsú infrastruktúra (PKI) beállítással

3. A vészhozzáférés-fiókok konfigurálása jelszó nélküli hitelesítés használatára.

   • Hozzáférési kulcsok (FIDO2) engedélyezése a szervezet számára
   • Hozzáférési kulcs (FIDO2) regisztrálása
   • Tanúsítványalapú hitelesítés konfigurálása

4. Az adathalászatnak ellenálló többtényezős hitelesítés megkövetelése az összes segélyhívási fiókhoz.

5. Biztonságosan tárolhatja a fiók hitelesítő adatait.

6. Bejelentkezési és auditnaplók figyelése.

7. Rendszeresen ellenőrizze a fiókokat.

Konfigurációs követelmények

A fiókok konfigurálásakor a következő követelményeknek kell teljesülniük:

• A legtöbb szervezetben a segélyhívási hozzáférési fiókok nincsenek társítva a szervezet egyetlen felhasználójával sem. A hitelesítő adatok egy ismert biztonságos helyen találhatók, amely a felügyeleti csapat több tagja számára érhető el, és nem csatlakozik az alkalmazottak által biztosított eszközökhöz, például telefonokhoz. Ezt a megközelítést gyakran használják a segélyhívási fiókok felügyeletének egységesítésére: a legtöbb szervezetnek nem csak a Microsoft Cloud-infrastruktúrához, hanem a helyszíni környezethez, az összevont SaaS-alkalmazásokhoz és más kritikus rendszerekhez is szükség van vészhelyzeti hozzáférési fiókokra.

  Azt is megteheti, hogy egyéni segélyhívási hozzáférési fiókokat hoz létre a rendszergazdák számára. Ez a megoldás elősegíti az elszámoltathatóságot, és lehetővé teszi a rendszergazdák számára a távoli helyekről származó segélyhívási fiókok használatát.

• Használjon erős hitelesítést a vészhelyzeti hozzáférési fiókokhoz, és győződjön meg arról, hogy nem ugyanazokat a hitelesítési módszereket használja, mint a többi rendszergazdai fiók. Ha például a normál rendszergazdai fiók a Microsoft Authenticator alkalmazást használja az erős hitelesítéshez, használjon FIDO2 biztonsági kulcsot a segélyhívási fiókokhoz. Vegye figyelembe a különböző hitelesítési módszerek függőségeit, hogy ne adjon hozzá külső követelményeket a hitelesítési folyamathoz.

• Az eszköz vagy a hitelesítő adatok nem járhatnak le, és nem kerülhetnek az automatikus törlés hatókörébe a használat hiánya miatt.

• A Microsoft Entra Privileged Identity Managementben a globális rendszergazdai szerepkört Ön állítsa be állandóra a vészhelyzeti hozzáférési fiókoknál, ahelyett, hogy csak jogosultként legyenek beállítva.

• A vészhelyzeti hozzáférési fiókok használatára jogosult személyeknek egy kijelölt, biztonságos munkaállomást vagy hasonló ügyfél-számítási környezetet kell használniuk, például egy Privileged Access-munkaállomást. Ezeket a munkaállomásokat a segélyhívási fiókok használatakor kell használni. További információkért a kijelölt munkaállomásokkal rendelkező Microsoft Entra-bérlők konfigurálásáról, lásd: emelt szintű hozzáférési megoldás üzembe helyezése.

Szövetségi útmutató

Egyes szervezetek az Active Directory Domain Servicest és az Active Directory összevonási szolgáltatást (AD FS) vagy hasonló identitásszolgáltatót használják a Microsoft Entra ID-hez való összevonáshoz. A helyszíni rendszerek vészhozzáférésének és a felhőszolgáltatásokhoz való vészhozzáférésnek külön kell maradnia, nem függ egymástól. A más rendszerekből vészhelyzeti hozzáférési jogosultságokkal rendelkező fiókok hitelesítésének elsajátítása és beszerzése szükségtelen kockázatot jelent ezen rendszerek kimaradása esetén.

Fiók hitelesítő adatainak biztonságos tárolása

A szervezeteknek gondoskodniuk kell arról, hogy a segélyhívási fiókok hitelesítő adatai biztonságban legyenek, és csak azoknak a személyeknek legyenek ismertek, akik jogosultak az adatok használatára. Használhat például FIDO2 biztonsági kulcsokat a Microsoft Entra-azonosítóhoz vagy a Windows Server Active Directoryhoz készült intelligens kártyákhoz. A hitelesítő adatokat biztonságos, tűzálló széfekben kell tárolni, amelyek biztonságos, különálló helyeken vannak.

Bejelentkezési és naplózási naplók figyelése

A szervezeteknek figyelniük kell a bejelentkezési és naplózási tevékenységeket a vészhelyzeti fiókokból, és értesítéseket kell küldeniük más rendszergazdáknak. Amikor a segélyhívási fiókok tevékenységeit figyeli, ellenőrizheti, hogy ezek a fiókok csak teszteléshez vagy tényleges vészhelyzetekhez vannak-e használva. Az Azure Monitor, a Microsoft Sentinel vagy más eszközök használatával figyelheti a bejelentkezési naplókat, és e-mail- és SMS-riasztásokat aktiválhat a rendszergazdáknak, amikor vészhelyzeti hozzáférési fiókok jelentkeznek be. Ez a szakasz az Azure Monitor használatát mutatja be.

Előfeltételek

• A Microsoft Entra bejelentkezési naplóinak elküldése az Azure Monitorba.

A segélyhívási hozzáférési fiókok objektumazonosítóinak beszerzése

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.

2. Nyissa meg az Identitás>Felhasználók>Összes felhasználó menüpontot.

3. Keresse meg a segélyhívási hozzáférési fiókot, és válassza ki a felhasználó nevét.

4. Másolja és mentse az Objektumazonosító attribútumot, hogy később használhassa.

5. Ismételje meg az előző lépéseket a második vészhelyzeti hozzáférési fiók esetében.

Riasztási szabály létrehozása

1. Jelentkezzen be legalább monitorozási közreműködőként az Azure Portalra.

2. Böngésszen a Monitor>Log Analytics-munkaterületek között.

3. Jelöljön ki egy munkaterületet.

4. A munkaterületen válassza a Riasztások>Új riasztási szabály parancsot.

   1. Az Erőforrás területen győződjön meg arról, hogy az előfizetés az, amelyhez társítani szeretné a riasztási szabályt.

   2. A Feltétel csoportban válassza a Hozzáadás lehetőséget.

   3. Válassza az Egyéni naplókeresés lehetőséget a Jelnév alatt.

   4. A Keresési lekérdezésmezőbe írja be a következő lekérdezést, és illessze be a két vészelérési fiók objektumazonosítóit.

      Feljegyzés

      Minden további hozzáadni kívánt vészhelyzeti hozzáférési fiókhoz adjon hozzá még egy or UserId == "ObjectGuid"-t a lekérdezéshez.

      Minta lekérdezések:

      // Search for a single Object ID (UserID)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
      

      // Search for multiple Object IDs (UserIds)
      SigninLogs
      | project UserId 
      | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
      

      // Search for a single UserPrincipalName
      SigninLogs
      | project UserPrincipalName 
      | where UserPrincipalName == "user@yourdomain.onmicrosoft.com"
      

      

   5. A Riasztási logika alatt adja meg a következőket:

      • Az eredmények száma alapján
      • Operátor: Nagyobb, mint
      • Küszöbérték: 0

   6. "'A Kiértékelés alapján válassza ki a periódust (percben), amely megadja, hogy mennyi ideig fusson a lekérdezés, és a gyakoriságot (percben), amely meghatározza, milyen gyakran fusson a lekérdezés.'" A gyakoriságnak kisebbnek vagy egyenlőnek kell lennie az időszaknál.

      

   7. Válassza a Kész lehetőséget. Most már megtekintheti a riasztás becsült havi költségét.

5. Válassza ki a riasztás által értesítendő felhasználók egyik műveletcsoportját. Ha létre szeretne hozni egyet, olvassa el a Műveletcsoport létrehozása című témakört.

6. A műveletcsoport tagjainak küldött e-mail-értesítés testreszabásához válassza a Műveletek testreszabása csoportban található műveleteket.

7. A Riasztás részletei területen adja meg a riasztási szabály nevét, és adjon hozzá egy opcionális leírást.

8. Állítsa be az esemény súlyossági szintjét . Javasoljuk, hogy állítsa a Kritikus (Sev 0) értékre.

9. A létrehozáskor az Engedélyezés szabály területen hagyja meg az igen értéket.

10. Ha egy ideig ki szeretné kapcsolni a riasztásokat, jelölje be a Riasztások mellőzése jelölőnégyzetet, és adja meg a várakozási időtartamot, mielőtt ismét riasztást kap, majd válassza a Mentés lehetőséget.

11. Válassza Riasztási szabály létrehozásalehetőséget.

Műveletcsoport létrehozása

1. Válassza a Műveletcsoport létrehozása lehetőséget.

   

2. Adja meg a műveletcsoport nevét és egy rövid nevet.

3. Ellenőrizze az előfizetést és az erőforráscsoportot.

4. A művelettípus alatt válassza az E-mail/SMS/Leküldés/Hang lehetőséget.

5. Adjon meg egy olyan műveletnevet, mint például a Globális rendszergazda értesítése.

6. Válassza ki a művelettípust e-mail/SMS/leküldés/hang típusként.

7. Válassza a Részletek szerkesztése lehetőséget a konfigurálni kívánt értesítési módszerek kiválasztásához, majd adja meg a szükséges kapcsolattartási adatokat, majd az Ok gombra kattintva mentse a részleteket.

8. Adjon hozzá minden további aktiválni kívánt műveletet.

9. Kattintson az OK gombra.

Visszatekintő csapat előkészítése a vészhelyzeti hozzáférési fiók hitelesítő adatainak minden egyes felhasználásának kiértékeléséhez

Ha a riasztás aktiválódik, őrizze meg a Microsoft Entra és más számítási feladatok naplóit. Tekintse át a vészhelyzeti hozzáférési fiók használatának körülményeit és eredményeit. Ez az áttekintés meghatározza, hogy a fiókot használták-e:

• Tervezett gyakorlat a megfelelőség ellenőrzésére
• Egy tényleges vészhelyzetre reagálva, amikor egyetlen rendszergazda sem használhatja a szokásos fiókját
• Vagy a fiók helytelen használata vagy jogosulatlan használata miatt

Ezután vizsgálja meg a naplókat, és állapítsa meg, hogy az adott személy milyen műveleteket hajtott végre a vészhelyzeti hozzáférési fiókkal annak biztosítása érdekében, hogy ezek a műveletek összhangban legyenek a fiók engedélyezett használatával.

Fiókok rendszeres ellenőrzése

Amellett, hogy a személyzet tagjait ki kell képezni a vészhelyzeti hozzáférési fiókok használatára, biztosítania kell egy folyamatos folyamatot is annak ellenőrzésére, hogy a vészhelyzeti hozzáférési fiókok továbbra is elérhetők maradnak-e az arra jogosult személyzet számára. Rendszeres próbákat kell végezni a fiókok működésének ellenőrzésére, valamint annak ellenőrzésére, hogy a figyelési és riasztási szabályok aktiválódnak-e a fiók későbbi visszaélése esetén. Legalább a következő lépéseket kell végrehajtani rendszeres időközönként:

• Győződjön meg arról, hogy a biztonsági figyelési személyzet tisztában van azzal, hogy a fiókellenőrzési tevékenység folyamatban van.
• Tekintse át és frissítse a segélyhívási hozzáférési fiók hitelesítő adatainak használatára jogosult személyek listáját.
• Győződjön meg arról, hogy a fiókok használatához szükséges vészkijárati eljárás dokumentálva és naprakész.
• Győződjön meg arról, hogy azok a rendszergazdák és biztonsági tisztviselők, akiknek vészhelyzet esetén esetleg el kell végezniük ezeket a lépéseket, betanítást végeznek a folyamatba.
• Ellenőrizze, hogy a vészhelyzeti hozzáférési fiókok bejelentkezhetnek-e, és adminisztratív feladatokat hajthatnak-e végre.
• Győződjön meg arról, hogy a felhasználók nem regisztráltak többtényezős hitelesítést vagy önkiszolgáló jelszó-visszaállítást (SSPR) egyetlen felhasználó eszközére vagy személyes adataira sem.
• Ha a fiókok többtényezős hitelesítésre vannak regisztrálva egy eszközön, a bejelentkezés vagy a szerepkör aktiválása során, győződjön meg arról, hogy az eszköz elérhető minden olyan rendszergazda számára, akinek vészhelyzet esetén szüksége lehet rá. Azt is ellenőrizze, hogy az eszköz legalább két olyan hálózati útvonalon keresztül tud-e kommunikálni, amelyek nem közös meghibásodási módot használnak. Az eszköz például egy létesítmény vezeték nélküli hálózatán és egy cellaszolgáltatói hálózaton keresztül is képes kommunikálni az internetre.
• Cserélje le a széfek kombinációit, amikor valaki, aki hozzáfért a szervezethez, elhagyja azt, valamint rendszeres időközönként is.

Ezeket a lépéseket rendszeres időközönként és a legfontosabb módosítások esetén kell végrehajtani:

• Legalább 90 naponta
• Amikor nemrégiben változás történt az informatikai személyzetben, például a leállás vagy a beosztás módosítása után
• Amikor a szervezet Microsoft Entra-előfizetései megváltoztak

Következő lépések

• Annak ellenőrzése, hogy a felhasználók rendelkeznek-e a kötelező MFA-val
• Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdáknak
• Kiemelt hozzáférés biztosítása hibrid és felhőbeli környezetekhez a Microsoft Entra ID-ban
• További védelem konfigurálása a kiemelt szerepkörökhöz a Microsoft 365-ben, ha Microsoft 365-öt használ
• A kiemelt szerepkörök hozzáférési felülvizsgálatának megkezdése és a meglévő kiemelt szerepkör-hozzárendelések áttűnése konkrétabb rendszergazdai szerepkörökre