Zum Inhalt springen
SecureCloud Experts SecureCloud Experts
Error went wrong. Please try again.
| Von Valentin Keiling

Microsoft 365 Emergency Access

Warum sind Emergency Access Accounts wichtig für Ihre Microsoft 365 Umgebung? 

Emergency Access Accounts oder auch “BreakGlass Konten” genannt, stellen sicher, dass Sie auch im Notfall Zugang zu Ihrer Microsoft 365 Umgebung haben und handlungsfähig bleiben.

Diese speziellen Konten sind unverzichtbar, wenn etwa durch eine Fehlkonfiguration oder den Verlust des regulären Admin-Zugangs ein administrativer Login nicht mehr möglich ist.

Voraussetzungen

  • Entra Rolle: Globaler Administrator

  • Azure Subscription für Log Analytics

  • FIDO2-Keys

Erstellung der Accounts 

  • Link: https://entra.microsoft.com > Identity > Users 

  • Namensschema: Verwenden Sie ein einheitliches Namensschema, z.B. „EmergencyAccount_1“, um die Accounts klar zu identifizieren.

  • Permanente Zuweisung der Global Admin Rolle

  • Public Domain/UPN: Nutzen Sie die moera Domain (.onmicrosoft), um unabhängig von Ihrer öffentlichen Domain zu sein.

  • MFA-Methoden: Richten Sie FIDO-Schlüssel, Authenticator und E-Mail als Multi-Faktor-Authentifizierungsmethoden ein, um die Sicherheit zu maximieren. 

  • Conditional Access: Erstellen Sie eine Entra ID Sicherheitsgrupppe, z.B. “CA-Persona-BreakGlassAccounts” zur Vorbereitung der späteren Anwendung der Conditional Access Richtlinien. Erstellen Sie anschließend eine CA-Policy, die nur auf diese Sicherheitsgruppe angewendet wird und die Anmeldung mit phishing-sicherer Authentifizierungsmethoden erzwingt.

Hinweis: Erstellen Sie immer zwei Emergency Access Accounts und lagern Sie die FIDO Keys jeweils an unterschiedlichen, sicheren Orten. Selbstverständlich müssen die für die FIDO-Keys definierten PINs ebenfalls an unterschiedlichen, sicheren Orten verwahrt werden.

Screen Shot Emergency Account 1.
Screenshot Users.

Conditional Access Policy 

Link: https://intune.microsoft.com > Devices > Conditional Access > Policies 

Ziel: Die Emergency Access Accounts sollen sich ausschließlich über phishing-sichere MFA-Methoden authentifizieren können.

Empfohlene Richtlinieneinstellungen: 

  • Users: CA-Persona-BreakGlassAccounts (Gruppe für Emergency Access User) 

  • Target resources: Alle Ressourcen 

  • Grant: Zugang gewähren + Authentifizierungsstärke „Phishing-resistente MFA“ 

  • Session: Sign-in frequency – 1 Stunde & Persistent Browser Session: Never persistent

Hinweis: Stellen Sie sicher, dass die Emergency Access Accounts in allen anderen Conditional Access Policies ausgeschlossen sind, außer der speziellen Policy, die auf diese Accounts wirkt. 

Screenshot Emergency Account Conditional Access | Policies.
Screenshoot - Require authentication strength.
Screenshot Sign-in frequency.

Log Analytics Workspace 

Link: https://portal.azure.com 

Ziel: Anmeldeinformationen sollen in einem separaten Log Analytics Workspace gespeichert werden, um Zugriffe der Emergency Access Accounts gezielt zu filtern. 

  • Ressourcengruppe erstellen: Legen Sie eine Ressourcengruppe an (z.B. rg-signinlogs-prod-weu-01) 

  • Workspace erstellen: Erstellen Sie einen Log Analytics Workspace (z.B. log-signinlogs-prod-weu) 

  • Log-Retention: Standardmäßig werden die Logs nur 30 Tage aufbewahrt. Es wird dringend empfohlen, die Log-Aufbewahrungszeit auf mind. 180 Tage zu erhöhen. Forensische Untersuchungen nach einem Cyberangriff sind nur schwer möglich, wenn nur die Logs der letzten 30 Tage vorliegen, da Angreifer sehr häufig schon viel länger Zugang zum System haben.

  • Vorteil: Die Daten können nun über KQL (Kusto Query Language) abgefragt werden, um gezielt nach Logins der Emergency Access Accounts zu suchen 

Dieagnostic setting - SignInLogs.

Alert Rule 

Link: https://portal.azure.com | Ressourcengruppe | Alerts | Alert Rule 

Ziel: Die IT-Abteilung sollte benachrichtigt werden, sobald einer der Emergency Access Accounts genutzt wird, um im Falle eines Notfalls oder unautorisierter Zugriffe sofortige Maßnahmen einleiten zu können. 

SigninLogs 
| project UserId 
| where UserId == "User-ID“ 
Screenshot Alert rule.
Screenshot Logs Microsoft Azure.
Alert logic.
Microsoft Azure Create an alert rule.
Microsoft Azure Alerts.
Alert Rules.

Zusammenfassung 

Emergency Access Accounts sind essenziell für die Sicherheitsstrategie in Microsoft 365. Durch die gezielte Nutzung starker Authentifizierungsmethoden und einer Überwachung der Anmeldeaktivitäten über Log Analytics lassen sich diese Konten sehr gut schützen. Regelmäßiges Überprüfen der SignInLogs ermöglicht es, Risiken frühzeitig zu erkennen und frühzeitig zu handeln. 

Screenshot Emergency Access Account 2.