Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È importante evitare di bloccare accidentalmente se stessi dall'organizzazione Microsoft Entra perché non è possibile accedere o attivare un ruolo. È possibile ridurre l'impatto della mancanza accidentale di accesso amministrativo creando due o più account di accesso di emergenza nell'organizzazione.
Gli account utente con il ruolo Amministratore globale hanno privilegi elevati nel sistema e questo ruolo include gli account di accesso di emergenza con il ruolo Amministratore globale. Usare gli account di accesso di emergenza solo in situazioni di emergenza o di tipo "break glass", quando non è possibile utilizzare i normali account amministrativi. Limitare l'uso dell'account di emergenza solo quando è assolutamente necessario.
Questo articolo fornisce linee guida per la gestione degli account di accesso di emergenza in Microsoft Entra ID.
Perché usare un account di accesso di emergenza
Per un'organizzazione può essere necessario usare un account di accesso di emergenza nelle situazioni seguenti:
- Gli account utente sono federati e la federazione non è attualmente disponibile a causa di un'interruzione del funzionamento della rete cellulare o di un problema tecnico del provider di identità. Ad esempio, se l'host del provider di identità nel proprio ambiente non è disponibile, gli utenti potrebbero non essere in grado di accedere quando Microsoft Entra ID li reindirizza al proprio provider di identità.
- Gli amministratori si registrano tramite Microsoft Entra l'autenticazione a più fattori e tutti i singoli dispositivi non sono disponibili o il servizio non è disponibile. Gli utenti potrebbero non essere in grado di completare l'autenticazione a più fattori per attivare un ruolo. Ad esempio, un'interruzione del funzionamento della rete cellulare può impedire di rispondere alle chiamate telefoniche o di ricevere SMS, gli unici due meccanismi di autenticazione registrati per il dispositivo.
- La persona con l'accesso di amministratore globale più recente lascia l'organizzazione. Microsoft Entra ID impedisce l'eliminazione dell'ultimo account di amministratore globale, ma non impedisce l'eliminazione o la disabilitazione dell'account a livello locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.
- Circostanze impreviste come una calamità naturale durante la quale la rete cellulare o altre reti potrebbero non essere disponibili.
- Tutte le assegnazioni dei ruoli Amministratore globale e Amministratore dei ruoli con privilegi sono idonee all'attivazione (non attive), l'attivazione richiede l'approvazione e non è selezionato alcun approvatore (oppure tutti gli approvatori selezionati sono stati rimossi dalla directory). Gli amministratori globali attivi e gli amministratori dei ruoli con privilegi sono gli approvatori predefiniti quando non ne viene selezionato alcuno, ma, poiché nessuno di essi è attivo, nessuno può approvare l'attivazione e l'amministrazione del tenant è di fatto bloccata.
Creare account di accesso di emergenza
Creare due o più account di accesso di emergenza. Devono essere account solo cloud che usano il dominio *.onmicrosoft.com e che non sono federati o sincronizzati da un ambiente locale. A livello generale, seguire questi passaggi.
Individuare gli account di accesso di emergenza esistenti oppure creare nuovi utenti solo nel cloud e assegnare loro il ruolo Global Administrator.
Scegliere uno di questi metodi di autenticazione senza password per gli account di accesso di emergenza. Questi metodi soddisfano i requisiti di autenticazione a più fattori obbligatori .
- Passkey (FIDO2) ( scelta consigliata)
- Autenticazione basata su certificati se l'organizzazione ha già una configurazione pki (Public Key Infrastructure)
Registrare le credenziali per il metodo di autenticazione scelto nel passaggio precedente.
- Passkey (FIDO2):abilitare passkey (FIDO2) per l'organizzazione, quindi registrare una passkey (FIDO2)
- Autenticazione basata su certificati: configurare l'autenticazione basata su certificato
Verificare che gli account di accesso di emergenza siano esclusi dai criteri di accesso condizionale che bloccano o limitano l'accesso. Il metodo di autenticazione resistente al phishing registrato nel passaggio precedente protegge l'account; un criterio di accesso condizionale applicato potrebbe impedire l'accesso durante l'esatta emergenza per cui l'account è progettato. I criteri in sola modalità report non bloccano l'accesso e non richiedono un'esclusione. Per informazioni dettagliate, vedere Considerazioni sull'accesso condizionale.
Requisiti di configurazione
Quando si configurano questi account, assicurarsi che siano soddisfatti i requisiti seguenti:
Non associare gli account di accesso di emergenza a un singolo utente dell'organizzazione. Archiviare le credenziali in una posizione sicura nota disponibile per più membri del team di amministrazione. Non connettere questi account con dispositivi forniti dai dipendenti, ad esempio telefoni. Questo approccio unifica la gestione degli account di accesso di emergenza. La maggior parte delle organizzazioni necessita di account di accesso di emergenza non solo per l'infrastruttura di Microsoft Cloud, ma anche per ambienti locali, applicazioni SaaS federate e altri sistemi critici.
In alternativa, è possibile scegliere di creare singoli account di accesso di emergenza per gli amministratori. Questa soluzione promuove la responsabilità e consente agli amministratori di usare gli account di accesso di emergenza da posizioni remote.
Usare l'autenticazione avanzata per gli account di accesso di emergenza e assicurarsi che non usi gli stessi metodi di autenticazione degli altri account amministrativi. Ad esempio, se l'account amministratore normale usa l'app Microsoft Authenticator per l'autenticazione avanzata, usare una chiave di sicurezza FIDO2 per gli account di emergenza. Per evitare di aggiungere requisiti esterni nel processo di autenticazione, prendere in considerazione le dipendenze di vari metodi di autenticazione.
Il dispositivo o le credenziali non devono scadere o trovarsi nell'ambito della pulizia automatica per mancanza di utilizzo.
In Microsoft Entra Privileged Identity Management, rendere permanente e attiva l'assegnazione del ruolo di Amministratore globale anziché idonea per gli account di accesso di emergenza.
Gli utenti autorizzati a usare questi account di accesso di emergenza devono usare una workstation designata, sicura o un ambiente di elaborazione client simile, ad esempio una workstation con accesso con privilegi. Usare queste workstation quando si interagisce con gli account di accesso di emergenza. Per altre informazioni sulla configurazione di un tenant di Microsoft Entra in cui sono presenti workstation designate, vedere Distribuzione di una soluzione di accesso con privilegi.
Linee guida per la federazione
Alcune organizzazioni usano Active Directory Domain Services e Active Directory Federation Service (AD FS) o un provider di identità simile per la federazione con Microsoft Entra ID. Mantenere distinto l'accesso di emergenza per i sistemi locali e l'accesso di emergenza per i servizi cloud, senza alcuna dipendenza da uno dall'altro. Gestire o far dipendere da altri sistemi l'autenticazione degli account con privilegi di accesso di emergenza aggiunge rischi non necessari se si verifica un guasto in tali sistemi.
Archiviare le credenziali dell'account in sicurezza
Assicurarsi che le credenziali per gli account di accesso di emergenza siano mantenute sicure e note solo agli utenti autorizzati a usarle. Ad esempio, è possibile usare chiavi di sicurezza FIDO2 per Microsoft Entra ID o smart card per Windows Server Active Directory. Conservare le credenziali in casseforti ignifughe e sicure situate in luoghi sicuri e separati.
Considerazioni sull'accesso condizionale
Escludere gli account di accesso di emergenza dai criteri di accesso condizionale che bloccano o limitano l'accesso. I criteri in modalità solo report non bloccano l'accesso e non è necessario che escludano gli account di emergenza. Se un account di accesso di emergenza è soggetto a criteri di accesso condizionale che richiedono l'autenticazione a più fattori, un dispositivo conforme o un altro controllo, l'account potrebbe non essere utilizzabile durante gli scenari di emergenza esatti per cui è progettato.
Quando si pianifica la distribuzione dell'accesso condizionale, considerare i punti seguenti:
- Creare un gruppo di sicurezza dedicato per gli account di accesso di emergenza, ad esempio EmergencyAccess, ed escludere questo gruppo dai criteri di accesso condizionale che bloccano o limitano l'accesso.
- Testare regolarmente (ad esempio, ogni trimestre) che gli account di accesso di emergenza possono accedere correttamente con la configurazione corrente dell'accesso condizionale.
- Creare criteri di accesso condizionale di emergenza che è possibile abilitare durante un'interruzione del servizio per ripristinare l'accesso per gli utenti critici. Per altre informazioni, vedere Creare una strategia di gestione resiliente del controllo di accesso.
Per altre informazioni sulla pianificazione delle esclusioni di accesso condizionale, vedere Pianificare una distribuzione dell'accesso condizionale.
Riepilogo delle protezioni di sicurezza
L'elenco di controllo seguente riepiloga i requisiti di sicurezza per gli account di accesso di emergenza:
- Mantenere almeno due account di accesso di emergenza per garantire la ridondanza.
- Usare account esclusivamente cloud (del dominio
.onmicrosoft.com) senza dipendere da provider di identità federata. - Usare metodi di autenticazione resistenti al phishing (chiavi di sicurezza FIDO2 o autenticazione basata su certificati) diversi dagli account amministratore normali.
- Assicurarsi che le credenziali e i dispositivi non scadano e non siano soggetti alla pulizia automatica.
- In Privileged Identity Management, assegnare il ruolo Global Administrator come permanentemente attivo (non idoneo) agli account di emergenza.
- Richiedere l'uso di una workstation protetta designata o di una workstation con accesso con privilegi quando si usano account di accesso di emergenza.
- Archiviare le credenziali in posizioni separate, sicure e a prova di fuoco accessibili alle persone autorizzate.
- Escludere gli account di accesso di emergenza dai criteri di accesso condizionale che bloccano o limitano l'accesso. I criteri in modalità solo report non richiedono un'esclusione.
- Monitorare tutte le attività di accesso e log di controllo per gli account di accesso di emergenza con avvisi per rilevare usi non necessari o non autorizzati.
- Convalidare la funzionalità dell'account almeno ogni 90 giorni.
Verificabilità e conformità
Le organizzazioni nei settori regolamentati potrebbero dover dimostrare che l'uso degli account di accesso di emergenza è regolato correttamente. Le procedure di monitoraggio e convalida descritte in questo articolo supportano la verificabilità:
- Monitoraggio degli accessi e dei log di controllo: configurare avvisi per ogni utilizzo di un account per l'accesso di emergenza. Acquisire i log di accesso e i log di controllo per la revisione. Per informazioni dettagliate, vedere Monitorare i log di accesso e di controllo in questo articolo.
- Revisione post-mortem: dopo qualsiasi uso di un account di accesso di emergenza, eseguire una verifica per determinare se l'utilizzo è stato autorizzato e se le azioni intraprese sono state appropriate. Per ulteriori dettagli, vedere Preparare un team per il post-mortem in questo articolo.
- Convalida regolare: eseguire esercitazioni di convalida dell'account almeno ogni 90 giorni, inclusa la revisione dell'elenco degli utenti autorizzati e il test delle funzionalità di accesso e attività amministrative. Per informazioni dettagliate, vedere Convalidare regolarmente gli account in questo articolo.
- Mappatura della conformità: Se l'organizzazione deve rispettare le normative HIPAA, Microsoft fornisce indicazioni su come gli account di accesso di emergenza si mappano ai requisiti HIPAA relativi alle procedure di accesso di emergenza. Per altre informazioni, vedere Controlli di accesso HIPAA.
Monitorare i log di accesso e di controllo
Monitorare l'attività di accesso e dei registri di controllo degli account di emergenza e attivare notifiche per altri amministratori. Quando si monitora l'attività per gli account di accesso di emergenza, è possibile verificare che questi account vengano usati solo per i test o le emergenze effettive. È possibile usare Monitoraggio di Azure, Microsoft Sentinel o altri strumenti per monitorare i log di accesso e attivare avvisi tramite posta elettronica e SMS agli amministratori ogni volta che gli account di accesso di emergenza accedono. Questa sezione illustra l'uso di Monitoraggio di Azure.
Prerequisiti
- Inviare i log di accesso di Microsoft Entra ad Monitoraggio di Azure.
Ottenere gli ID degli oggetti degli account di accesso di emergenza
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore utente.
Passare a Entra ID>Utenti.
Cercare l'account di accesso di emergenza e selezionare il nome dell'utente.
Copiare e salvare l'attributo ID oggetto in modo da poterlo usare in un secondo momento.
Ripetere i passaggi precedenti per il secondo account di accesso di emergenza.
Creare una regola di avviso
Accedere al portale di Azure come almeno collaboratore al monitoraggio.
Cerca e apri Monitor.
Nel menu a sinistra selezionare Avvisi.
Selezionare + Crea>Regola di avviso. È visualizzata la pagina Creare una regola di avviso.
Nella scheda Ambito :
- Nel riquadro Selezionare una risorsa trovare e selezionare l'area di lavoro Log Analytics.
- Verificare che la sottoscrizione corrisponda all'area di lavoro configurata nei prerequisiti.
- Selezionare Applica.
Nella scheda Condizione :
Nel menu a discesa Nome segnale, seleziona Ricerca log personalizzata.
Impostare Tipo di query su Log aggregati.
In Query di ricerca, immetti una delle query seguenti, inserendo gli ID oggetto dei due account di accesso di emergenza.
Nota
Per ogni account di accesso di emergenza aggiuntivo da includere, aggiungere un altro
or UserId == "ObjectGuid"alla query.Query di esempio:
// Search for a single Object ID (UserID) SigninLogs | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription// Search for multiple Object IDs (UserIds) SigninLogs | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription// Search for a single UserPrincipalName SigninLogs | where UserPrincipalName == "user@yourdomain.onmicrosoft.com" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescriptionIn Misurazione impostare come riepilogare i risultati della query:
- Selezionare la misura.
- Selezionare il tipo di aggregazione.
- Selezionare granularità aggregazione.
In Divisione per dimensioni selezionare la colonna ID risorsa.
In Logica di avviso:
- Impostare Tipo soglia su Statico.
- Impostare Operatore su Maggiore di.
- Impostare il valore Soglia su 0.
- Impostare la Frequenza di valutazione in base alla frequenza con cui si desidera eseguire la query.
Selezionare Avanti per continuare.
Nella scheda Azioni selezionare un gruppo di azioni per ricevere una notifica dall'avviso. Per crearne uno, vedere Creare un gruppo di azioni.
Nella scheda Dettagli:
- Selezionare la gravità dell'evento. Utilizzare 0 - Critico.
- Immettere il nome della regola di avviso e aggiungere una descrizione facoltativa.
- Selezionare l’Area.
- Selezionare l'identità da usare durante l'esecuzione della query di log.
- In Opzioni avanzate selezionare Abilita al momento della creazione.
- Selezionare Avanti per continuare.
Nella scheda Tag aggiungere eventuali tag da associare alla regola di avviso.
Selezionare Rivedi e crea e quindi Crea.
Creare un gruppo di azioni
Selezionare Crea un gruppo di azioni.
Nella scheda Informazioni di base immettere le informazioni seguenti:
- Sottoscrizione e gruppo di risorse: selezionare la posizione in cui archiviare il gruppo di azioni.
- Area: selezionare l'area per il gruppo di azioni.
- Nome gruppo di azioni: immettere un nome descrittivo.
- Nome visualizzato: immettere un nome breve (massimo 12 caratteri) visualizzato nelle notifiche.
Selezionare Avanti: Notifiche.
In Tipo di notifica selezionare Messaggio di posta elettronica/SMS/Push/Voce.
Immettere un nome di notifica, ad esempio Notifica amministratore globale.
Selezionare Modifica dettagli, configurare i metodi di notifica e le informazioni di contatto e quindi selezionare OK.
Aggiungere eventuali altre notifiche da attivare.
Selezionare Avanti: Azioni per configurare eventuali azioni automatiche aggiuntive oppure selezionare Rivedi e crea per completare.
Preparare un team post-mortem per valutare l'uso di ciascuna credenziale di accesso d'emergenza.
Se l'avviso viene attivato, mantenere i log di Microsoft Entra e di altri carichi di lavoro. Eseguire una verifica delle circostanze e dei risultati dell'utilizzo dell'account di accesso di emergenza. Questa verifica determina se l'account è stato usato:
- Per un'esercitazione pianificata al fine di convalidarne l'idoneità
- In risposta a un'emergenza effettiva in cui nessun amministratore potrebbe usare i propri account regolari
- A causa di uso improprio o non autorizzato dell'account
Esaminare quindi i log per determinare le azioni eseguite dall'utente con l'account di accesso di emergenza per assicurarsi che tali azioni siano allineate all'uso autorizzato dell'account.
Convalidare gli account regolarmente
Oltre a formare i membri del personale all'uso degli account di accesso di emergenza, predisponi un processo continuo per convalidare che il personale autorizzato possa accedere agli account di accesso di emergenza. Eseguire regolarmente esercitazioni per convalidare la funzionalità degli account e per verificare che le regole di monitoraggio e avviso vengano attivate nel caso in cui un account venga usato in modo improprio. Eseguire almeno i passaggi seguenti a intervalli regolari:
- Assicurarsi che il personale addetto al monitoraggio della sicurezza sia consapevole che l'attività di controllo dell'account è in corso.
- Esaminare e aggiornare l'elenco di utenti autorizzati a usare le credenziali dell'account di accesso di emergenza.
- Assicurarsi che il processo di emergenza "break glass" per utilizzare questi account sia documentato e aggiornato.
- Assicurarsi che gli amministratori e i responsabili della sicurezza che potrebbero dover eseguire queste procedure durante un'emergenza siano formati sul processo.
- Verificare che gli account di accesso di emergenza possano accedere ed eseguire attività amministrative.
- Assicurarsi che gli utenti non registrino l'autenticazione a più fattori o la reimpostazione della password self-service (SSPR) in qualsiasi dispositivo o dettagli personali dell'utente.
- Se gli account sono registrati per l'autenticazione a più fattori per un dispositivo da usare durante l'accesso o l'attivazione del ruolo, assicurarsi che il dispositivo sia accessibile a tutti gli amministratori che potrebbero aver bisogno di usarlo durante un'emergenza. Verificare inoltre che il dispositivo possa comunicare tramite almeno due percorsi di rete che non condividono una modalità di errore comune. Ad esempio, il dispositivo può comunicare con Internet tramite la rete wireless di una struttura e una rete cellulare.
- Modificare regolarmente le combinazioni in qualsiasi cassaforte e dopo che un utente con accesso lascia l'organizzazione.
Eseguire questi passaggi a intervalli regolari e per le modifiche chiave:
- Almeno ogni 90 giorni
- Quando si verifica una modifica recente del personale IT, ad esempio dopo la chiusura o la modifica della posizione
- Quando le sottoscrizioni Microsoft Entra nell'organizzazione cambiano
Passaggi successivi
- Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria
- Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori
- Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID
- Configurare protezioni aggiuntive per i ruoli con privilegi in Microsoft 365, se si usa Microsoft 365
- Avviare una verifica di accesso dei ruoli con privilegi e passare le assegnazioni di ruolo con privilegi esistenti a ruoli di amministratore più specifici
Contenuti correlati
- Creare una strategia di gestione resiliente del controllo di accesso
- Operazioni per la sicurezza per gli account con privilegi
- Pianificare una distribuzione di Privileged Identity Management
- Pianificare una distribuzione dell'accesso condizionale
- Controlli di accesso HIPAA
- Microsoft Entra: considerazioni per i clienti ai sensi di DORA