É importante impedir que a sua organização do Azure Active Directory (Azure AD) seja bloqueada acidentalmente, pois não é possível entrar ou ativar a conta de outro usuário como um administrador. Você pode reduzir o impacto da falta acidental de acesso administrativo ao criar duas ou mais contas de acesso de emergência em sua organização.
Essas contas de acesso de emergência são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas à emergência ou cenários de urgência em que as contas administrativas normais não podem ser usadas. Recomendamos que você mantenha uma meta de restringir o uso da conta de emergência para somente esse momento durante o qual é absolutamente necessário.
Por que usar uma conta de acesso de emergência
Uma organização pode precisar usar uma conta de acesso de emergência nas seguintes situações:
- As contas de usuário são federadas e a federação está indisponível no momento devido a uma interrupção de rede celular ou uma interrupção do provedor de identidade. Por exemplo, se o host de provedor de identidade em seu ambiente foi desligado, os usuários podem não conseguir entrar quando o Azure AD redireciona para seu provedor de identidade.
- Os administradores são registrados por meio da Autenticação multifator do Azure AD, e todos os dispositivos individuais deles estão não disponíveis ou o serviço está não disponível. Os usuários podem não conseguir concluir a Autenticação Multifator para ativar uma função. Por exemplo, uma interrupção de rede celular está impedindo que eles atendam a chamadas telefônicas ou recebam mensagens de texto, os dois únicos dois mecanismos de autenticação registrados para os dispositivos.
- A pessoa com acesso administrativo global mais recente saiu da organização. O Microsoft Azure Active Directory impede que a conta do último Administrador Global seja excluída, mas não impede que a conta seja excluída ou desabilitada localmente. Qualquer situação pode fazer com que a organização não consiga recuperar a conta.
- Circunstâncias imprevisíveis, como uma emergência de desastre natural, em que um telefone celular ou outras redes podem não estar disponíveis.
Criar contas de acesso de emergência
Crie duas ou mais contas de acesso de emergência. Elas devem ser contas somente de nuvem que usam o domínio *.onmicrosoft.com e que não são federadas ou sincronizadas de um ambiente local.
Passo a passo
Antes de seguirmos com as configurações é necessário que o módulo Azure Active Directory PowerShel esteja instalado em seu computador.
Segue o link para instalação do módulo.
Install AzureAD PowerShell for Graph | Microsoft Learn
01 – No PowerShell execute os seguintes comandos para criar a conta de usuário.
# Conectar no Azure AD
Connect-AzureAD
## Criar usuário
$PasswordProfile=New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password=”Pa$$w0rd12″
New-AzureADUser -DisplayName “Conta de Emergência” -UserPrincipalName contadeemergencia@jadsonalves.com.br -UsageLocation BR -MailNickName contadeemergencia -PasswordProfile $PasswordProfile -AccountEnabled $true
02 – Faça login no portal do Azure.
03 – No portal pesquise por Azure Active Directory.
04 – No Azure Active Directory clique em Roles and administrators. 
05 – Na tela Roles and administrators | All roles pesquise por Global Administrator, em seguida clique em Global Administrator.
06 – Na tela Global Administrator | Assignments clique em + Add assignments.
07 – Na tela Add assignments em Select member(s) clique em No member selected, na tela Select a member selecione a Conta de Emergência e clique em Select, sem seguida clique em Next.
08 – Em settings clique em Active, forneça um justificativa e clique em Assign.
Essas configurações estão disponíveis porque temos o PIM configurado em nosso ambiente, já escrevi um artigo falando sobre PIM aqui no site, para saber mais acesse o link abaixo.
09 – Como podemos observar a conta de emergência foi adicionado a role do Global Administrator.
Configurando a expiração da senha da conta
10 – Defina sua senha de contas Break Glass para nunca expirar.
#Conectar no Azure AD
Connect-AzureAD
# Desativar expiração de senha
Set-AzureAdUser -ObjectID contadeemergencia@jadsonalves.com.br -PasswordPolicies DisablePasswordExpiration
11 – Verifique quais usuários do Azure AD têm suas senhas definidas para nunca expirar.
Get-AzureADUser -All $true | Select-Object UserPrincipalName, @{N=”PasswordNeverExpires”;E={$_.PasswordPolicies -contains “DisablePasswordExpiration”}}
Permissão na subscription
12 – No portal do Azure pesquise por Subscriptions.
13 – Na tela Subscriptions selecione a assinatura que deseja.
14 – Após selecionar a subscription clique em Acess control (IAM), em seguida clique em + Add e selecione Add role assignment.
15 – Na tela Add role assignment selecione Owner e clique em Next.
16 – Em Members clique em + Select members, selecione a conta de Emergência e clique em Select, em seguida clique em Next.
17 – Em Review + Create clique em Review + assign.
18 – Como podemos observar a conta de emergência agora é Owner na subscription.
Configurando exceções no Azure AD Conditional Access
O Acesso Condicional é uma medida de segurança de identidade importante no Azure AD, mas também representa um provável culpado pelo bloqueio de contas do Azure AD e um possível obstáculo para que uma conta de emergência obtenha acesso. Portanto, precisaremos criar exceções para essas contas.
É importantíssimo que seja adicionado as contas de emergências nas exceções das politicas de MFA e também nas politicas pertinentes ao risco de login do usuário.
19 – No portal pesquise por Azure AD Contional Access.
20 – Selecione a politica que deseja adicionar a exceção.
21 – Após selecionar a politica em Assignments clique em Specific users included, em seguida clique em Exclude e selecione Users and groups, selecione a conta “Conta de Emergência” e clique em Select.
22 – Após adicionar a exclusão clique em Save.
Desativar MFA quando não tem Azure AD Conditional Access
Por padrão todas as contas que são Global Administrador terão o MFA habilitado, é necessário desativar o MFA para as contas de emergência.
23 – No portal do Azure pesquise por Multifactor authentication.
24 – Na tela Multifactor authentication clique em Additional cloud-based multifactor authentication settings.
25 – No portal Multifactor authentication clique em users.
26 – Selecione a conta e clique em Disable.
27 – Na tela Disable multi-factor authentication clique em yes, em seguida clique em Close.
28 – Como podemos observar o MFA foi desativado.
Criando alertas de login para suas contas Break-Glass
As organizações devem monitorar a atividade de entrada e log de auditoria das contas de emergência e disparar notificações para outros administradores. Ao monitorar a atividade em contas de interrupção, você poderá verificar se essas contas são usadas apenas para teste ou emergências reais. Você pode usar o Azure Log Analytics para monitorar os logs de entrada e disparar alertas de email e SMS para seus administradores sempre que as contas de interrupção entrarem.
Para consultar os logs de logon do Azure AD no Log Analytics, conforme detalhado abaixo, você precisará ter uma licença P1 ou P2 ativa atual.
29 – Execute o script para criar o Log Analytics workspace.
#login Microsoft Azure
Connect-AzAccount
# Criar Log Analytics Workspace
$rgName = ‘RG-aadlogs’
$location = ‘EastUS’
New-AzResourceGroup -Name $rgName -Location $location
New-AzOperationalInsightsWorkspace -ResourceGroupName $rgName -Name aadlogs -Location $location
30 – Como podemos observar o log analytics workspace foi criado.
31 – No portal pesquise por Azure Active Directoty.
32 – No Azure Active Directoty em Monitoring clique em Diagnostic settings.
32 – Na tela Diagnostic settings clique em + Add diagnostic settings.
33 – Na tela Diagnostic settings digite um nome, selecione SignInLogs e AuditLogs, em Destination details selecione Send to Log Analytics workspace, selecione a assinatura e Log Analytics workspace em seguida clique em Save.
34 – Como podemos observar o SignInLogs e AuditLogs estão sendo enviados para o Log Analytics Workspace “aadlogs”.
Monitoramento para login de conta Break-Glass
Enquanto estamos criando alertas para contas do Break Glass, devemos ir em frente e implementar alertas que nos notifiquem sobre outras ações potencialmente maliciosas no Azure AD, usando a ordem de operações acima.
35 – No portal do Azure pesquise por Log Analytics workspaces.
36 – Selecione o Log Analytics Workspace aadlogs.
37 – Após selecionar o Log Analytics workspace clique em Logs.
38 – Feche a tela Queries.
39 – Digite a query abaixo e clique em Run.
Essa query busca por logins da conta de emergência com base no Time range Last 24 hours, ou seja estamos buscando o login da conta contadeemergencia@jadsonalves.com.br nas ultimas 24 horas.
SigninLogs
| project UserPrincipalName
| where UserPrincipalName == “contadeemergencia@jadsonalves.com.br”
40 – Após executar a query em busca da conta de emergência, podemos criar uma alerta sempre que a conta fizer login no portal, clique em New alert rule.
41 – Na tela Create an alert rule em Condition na opção Alert logic em
46 – Em Actions não vamos realizar nenhuma configuração, clique em Next:Tags.
47 – Em Tags clique em Review + create.
48 – Em Review + create clique em Create.
49 – De volta a tela Actions clique em Next: Details.
50 – Em Details para a opção Severity selecione Critical, digite um nome para o alert “Uso da conta de emergência”, podemos adicionar uma observação na opção Alert rule description, selecione a região que deseja criar o recurso e clique em Next:Tags.
Acessando o portal do Azure com a conta de emergência
Validar contas regularmente
Ao treinar os membros da equipe para usar contas de acesso de emergência e validar as contas de acesso de emergência, no mínimo execute as seguintes etapas em intervalos regulares:
- Certifique-se de que a equipe de monitoramento de segurança esteja ciente de que a atividade de verificação de conta é contínua.
- Certifique-se de que o processo de emergency break glass para usar essas contas é documentado.
- Certifique-se de que os administradores e os agentes de segurança que talvez sejam necessários para executar essas etapas durante uma emergência recebam um treinamento sobre o processo.
- Atualize as credenciais da conta, em particular, todas as senhas para suas contas de acesso de emergência e, em seguida, confirme se as contas de acesso de emergência podem ser acessadas e as tarefas administrativas executadas.
- Certifique-se de que os usuários não tenham registrado a Autenticação Multifator ou o SSPR (redefinição de senha de autoatendimento) em nenhum dispositivo de usuário individual ou detalhes pessoais.
- Se as contas forem registradas para a Autenticação Multifator para um dispositivo, para uso durante as entradas ou a ativação de função, certifique-se de que o dispositivo esteja acessível a todos os administradores que podem precisar usá-lo durante uma emergência. Verifique também se o dispositivo pode se comunicar por meio de pelo menos dois caminhos de rede que não compartilham um modo de falha comum. Por exemplo, o dispositivo pode se comunicar com a Internet por meio de rede sem fio da instalação e por uma rede de provedor celular.
Essas etapas devem ser realizadas em intervalos regulares e para alterações de chave:
- Pelo menos a cada 90 dias
- Quando houve uma alteração recente na equipe de TI, como uma alteração de cargo, uma saída ou uma nova contratação
- Quando as assinaturas do Microsoft Azure Active Directory da organização foram alteradas
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.