Warum sind Emergency Access Accounts wichtig für Ihre Microsoft 365 Umgebung?
Emergency Access Accounts oder auch “BreakGlass Konten” genannt, stellen sicher, dass Sie auch im Notfall Zugang zu Ihrer Microsoft 365 Umgebung haben und handlungsfähig bleiben.
Diese speziellen Konten sind unverzichtbar, wenn etwa durch eine Fehlkonfiguration oder den Verlust des regulären Admin-Zugangs ein administrativer Login nicht mehr möglich ist.
Voraussetzungen
Entra Rolle: Globaler Administrator
Azure Subscription für Log Analytics
FIDO2-Keys
Erstellung der Accounts
Link: https://entra.microsoft.com > Identity > Users
Namensschema: Verwenden Sie ein einheitliches Namensschema, z.B. „EmergencyAccount_1“, um die Accounts klar zu identifizieren.
Permanente Zuweisung der Global Admin Rolle
Public Domain/UPN: Nutzen Sie die moera Domain (.onmicrosoft), um unabhängig von Ihrer öffentlichen Domain zu sein.
MFA-Methoden: Richten Sie FIDO-Schlüssel, Authenticator und E-Mail als Multi-Faktor-Authentifizierungsmethoden ein, um die Sicherheit zu maximieren.
Conditional Access: Erstellen Sie eine Entra ID Sicherheitsgrupppe, z.B. “CA-Persona-BreakGlassAccounts” zur Vorbereitung der späteren Anwendung der Conditional Access Richtlinien. Erstellen Sie anschließend eine CA-Policy, die nur auf diese Sicherheitsgruppe angewendet wird und die Anmeldung mit phishing-sicherer Authentifizierungsmethoden erzwingt.
Hinweis: Erstellen Sie immer zwei Emergency Access Accounts und lagern Sie die FIDO Keys jeweils an unterschiedlichen, sicheren Orten. Selbstverständlich müssen die für die FIDO-Keys definierten PINs ebenfalls an unterschiedlichen, sicheren Orten verwahrt werden.
Conditional Access Policy
Link: https://intune.microsoft.com > Devices > Conditional Access > Policies
Ziel: Die Emergency Access Accounts sollen sich ausschließlich über phishing-sichere MFA-Methoden authentifizieren können.
Empfohlene Richtlinieneinstellungen:
Users: CA-Persona-BreakGlassAccounts (Gruppe für Emergency Access User)
Target resources: Alle Ressourcen
Grant: Zugang gewähren + Authentifizierungsstärke „Phishing-resistente MFA“
Session: Sign-in frequency – 1 Stunde & Persistent Browser Session: Never persistent
Hinweis: Stellen Sie sicher, dass die Emergency Access Accounts in allen anderen Conditional Access Policies ausgeschlossen sind, außer der speziellen Policy, die auf diese Accounts wirkt.
Log Analytics Workspace
Link: https://portal.azure.com
Ziel: Anmeldeinformationen sollen in einem separaten Log Analytics Workspace gespeichert werden, um Zugriffe der Emergency Access Accounts gezielt zu filtern.
Ressourcengruppe erstellen: Legen Sie eine Ressourcengruppe an (z.B. rg-signinlogs-prod-weu-01)
Workspace erstellen: Erstellen Sie einen Log Analytics Workspace (z.B. log-signinlogs-prod-weu)
Log-Weiterleitung: https://entra.microsoft.com > Monitoring & Health > Diagnostic Settings
Log-Retention: Standardmäßig werden die Logs nur 30 Tage aufbewahrt. Es wird dringend empfohlen, die Log-Aufbewahrungszeit auf mind. 180 Tage zu erhöhen. Forensische Untersuchungen nach einem Cyberangriff sind nur schwer möglich, wenn nur die Logs der letzten 30 Tage vorliegen, da Angreifer sehr häufig schon viel länger Zugang zum System haben.
Vorteil: Die Daten können nun über KQL (Kusto Query Language) abgefragt werden, um gezielt nach Logins der Emergency Access Accounts zu suchen
Alert Rule
Link: https://portal.azure.com | Ressourcengruppe | Alerts | Alert Rule
Ziel: Die IT-Abteilung sollte benachrichtigt werden, sobald einer der Emergency Access Accounts genutzt wird, um im Falle eines Notfalls oder unautorisierter Zugriffe sofortige Maßnahmen einleiten zu können.
SigninLogs
| project UserId
| where UserId == "User-ID“
Zusammenfassung
Emergency Access Accounts sind essenziell für die Sicherheitsstrategie in Microsoft 365. Durch die gezielte Nutzung starker Authentifizierungsmethoden und einer Überwachung der Anmeldeaktivitäten über Log Analytics lassen sich diese Konten sehr gut schützen. Regelmäßiges Überprüfen der SignInLogs ermöglicht es, Risiken frühzeitig zu erkennen und frühzeitig zu handeln.