Darum können administrative Notfallkonten helfen
Wir haben kürzlich darauf hingewiesen, dass Multifaktorauthentifizierung neuer Standard wird und Microsoft diese Art der Anmeldung auch zunehmend forciert.
Benutzer mit privilegierten Rechten sollten Anmeldungen stets nur mit zweitem Faktor durchführen – so weit, so richtig. Was aber, wenn eine Störung des MFA-Dienstes vorliegt, das benötigte Mobiltelefon nicht verfügbar ist, oder die Conditional Access Policy aus Versehen falsch konfiguriert wurde?
Dann ist eine Anmeldung nicht möglich und wichtige administrative Aufgaben können nicht wahrgenommen werden – Sie sind jetzt von Ihrem eigenen Tenant ausgesperrt. Ein Versuch, dies über einen schnellen Support-Call bei Microsoft zu beheben gestaltet sich zurecht als schwieriges Unterfangen. Da könnte ja jeder kommen…
Daher empfiehlt Microsoft die Erstellung von administrativen Notfallkonten, sogenannte „Break Glass Accounts“.
Diese Accounts sollten folgende Merkmale aufweisen:
- Reine Cloud Konten (kein gesynctes AD-Konto aus dem lokalen AD)
- Rollenzuweisung: Globaler Admin (oder nach Bedarf)
- Sicheres Passwort vergeben, gerne sehr lang und komplex (>25 Zeichen)
- Keine Multifaktorauthentifizierung aktivieren (!)
- Ausschluss dieser Accounts von allen Conditional Access MFA-Regeln
- Keine Produktlizenzen erforderlich
- Nicht die eigene Domäne als Suffix nutzen, besser *.onmicrosoft.com
Es ist auch denkbar, dieses wichtige Passwort im 4-Augen-Prinzip zu verwalten. Wichtig ist nur, dass Sie eines zur Hand haben und handlungsfähig bleiben.
Die Erstellung von Notfallkonten ohne MFA ist grundsätzlich für alle Dienste adaptierbar, die das Risiko eines Aussperrens mit sich tragen. Handeln Sie – wir unterstützen Sie gerne!