Zmiany dotyczące MFA dla kont awaryjnych w Microsoft Entra ID

W dzisiejszym dynamicznie zmieniającym się środowisku IT, zapewnienie ciągłości działania i bezpieczeństwa organizacji jest kluczowe. 

Jednym z elementów tego procesu są konta awaryjne, znane również jako konta breaking glass. Microsoft Entra ID wprowadza istotne zmiany dotyczące wieloskładnikowego uwierzytelniania (MFA) dla tych kont, które mają na celu zwiększenie bezpieczeństwa i dostępności w sytuacjach kryzysowych.

Dlaczego konta awaryjne są ważne?

Konta awaryjne są przeznaczone do użycia w sytuacjach, gdy normalne konta administracyjne nie są dostępne. Mogą to być sytuacje takie jak:

• Awaria sieci komórkowej lub dostawcy tożsamości, co uniemożliwia uwierzytelnienie użytkowników.
• Niedostępność urządzeń używanych do MFA przez administratorów.
• Odejście ostatniego administratora globalnego z organizacji.
• Niespodziewane zdarzenia, takie jak klęski żywiołowe, które mogą uniemożliwić korzystanie z urządzeń mobilnych.

Tworzenie kont awaryjnych

Microsoft zaleca utworzenie co najmniej dwóch kont awaryjnych, które powinny być kontami chmurowymi, niepowiązanymi z lokalnymi środowiskami. Proces tworzenia konta awaryjnego obejmuje:

1. Zalogowanie się do centrum administracyjnego Microsoft Entra jako administrator globalny.
2. Przejście do sekcji Identity > Users > All users.
3. Wybranie opcji New user i Create user.
4. Uzupełnienie danych konta, takich jak nazwa użytkownika i hasło.
5. Przypisanie roli Global Administrator.
6. Wybranie odpowiedniej lokalizacji użytkowania i utworzenie konta.

Wykluczenie kont awaryjnych z polityk dostępu warunkowego

Aby zapewnić dostępność kont awaryjnych w sytuacjach kryzysowych, co najmniej jedno konto awaryjne powinno być wykluczone z polityk dostępu warunkowego. Oznacza to, że konta te nie powinny być objęte wymaganiami MFA, które obowiązują inne konta administracyjne. Zamiast tego, dla kont awaryjnych należy skonfigurować alternatywne metody uwierzytelniania, takie jak klucze bezpieczeństwa FIDO2 lub uwierzytelnianie oparte na certyfikatach.

Monitorowanie i audytowanie kont awaryjnych

Regularne monitorowanie i audytowanie aktywności kont awaryjnych jest kluczowe dla zapewnienia ich bezpieczeństwa. Organizacje powinny:

• Monitorować logi logowania i audytu dla kont awaryjnych.
• Konfigurować alerty, które powiadomią administratorów o każdej próbie logowania na konto awaryjne.
• Regularnie weryfikować, czy konta awaryjne są używane tylko do testów lub rzeczywistych sytuacji awaryjnych.

Regularna walidacja kont

Aby upewnić się, że konta awaryjne są zawsze gotowe do użycia, organizacje powinny regularnie przeprowadzać walidację tych kont. Obejmuje to:

• Aktualizację poświadczeń kont, w tym haseł.
• Weryfikację, że urządzenia używane do MFA są dostępne dla wszystkich administratorów.
• Przeprowadzanie testów logowania i wykonywania zadań administracyjnych przy użyciu kont awaryjnych.

Nowe wymogi MFA dla użytkowników Azure

Od lipca 2024 roku Microsoft wprowadza obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich użytkowników Azure. Ta zmiana ma na celu zwiększenie bezpieczeństwa i ochronę przed nieautoryzowanym dostępem. Wymóg ten obejmie wszystkich użytkowników logujących się do portalu Azure, Azure CLI, PowerShell lub Terraform w celu zarządzania zasobami Azure.

Kluczowe aspekty zmian:

1. Zakres: Wymóg dotyczy tylko użytkowników zarządzających zasobami Azure, nie wpływa na zwykłych użytkowników aplikacji hostowanych w Azure.
2. Metody MFA: Dozwolone będą wszystkie wspierane metody MFA, w tym Microsoft Authenticator, klucze bezpieczeństwa FIDO2, SMS, połączenia głosowe oraz rozwiązania zewnętrzne.
3. Konta usługowe i tożsamości zarządzane: Nie będą objęte tym wymogiem.
4. Konta awaryjne (break glass): Microsoft zaleca aktualizację tych kont do uwierzytelniania FIDO2 lub opartego na certyfikatach, które spełnią wymogi MFA.
5. Implementacja: Wymóg będzie egzekwowany przez Azure, niezależnie od istniejących polityk dostępu warunkowego w Microsoft Entra ID.

Zalecenia dla kont awaryjnych:

Mimo planowanego wymogu MFA, Microsoft nadal zaleca, aby co najmniej jedno konto awaryjne było wyłączone z polityk dostępu warunkowego, w tym z wymogu MFA. Dla tych kont należy:

• Stosować silne, złożone hasła.
• Regularnie monitorować i audytować ich aktywność.
• Rozważyć użycie alternatywnych metod uwierzytelniania, takich jak klucze FIDO2 lub certyfikaty.
• Dokumentować i regularnie testować procedury użycia tych kont w sytuacjach awaryjnych.

Podsumowanie

Wprowadzenie obowiązkowego MFA dla użytkowników Azure jest znaczącym krokiem w kierunku zwiększenia bezpieczeństwa. Jednocześnie stawia przed administratorami nowe wyzwania, szczególnie w zakresie zarządzania kontami awaryjnymi i automatyzacji. Kluczowe będzie staranne planowanie i dostosowanie procesów, aby zachować równowagę między bezpieczeństwem a dostępnością krytycznych zasobów.Zmiany w politykach MFA dla kont awaryjnych w Microsoft Entra ID mają na celu zwiększenie bezpieczeństwa i dostępności tych kont w sytuacjach kryzysowych. Organizacje powinny dostosować swoje procedury zarządzania kontami awaryjnymi, aby zapewnić ich skuteczność i gotowość do użycia w każdej chwili. Regularne monitorowanie, audytowanie i walidacja kont awaryjnych są kluczowe dla utrzymania ciągłości działania i zabezpieczenia przed nieprzewidzianymi zdarzeniami. Zachęcamy do śledzenia oficjalnych komunikatów Microsoft, które będą zawierać szczegółowe informacje o harmonogramie wdrożenia i ewentualnych wyjątkach od tej polityki.