Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten


    Tags: , , ,

    Break-Glass-User (Notfallbenutzer)Wenn die Anmeldung am Microsoft-365-Tenant auf­grund eines Konfigu­rations­fehlers oder wegen eines ausge­fallenen Dienstes nicht mehr mög­lich ist, dann sind reguläre Konten ausge­sperrt. Für diesen Fall sollten Organi­sationen ein Notfall­konto bereit­halten, mit dem man sich auch unter diesen Bedin­gungen an­melden kann.

    Es gibt mehrere Gründe, warum eine Anmeldung am Tenant scheitern kann. In Frage kommen zum Beispiel eine missglückte Rechte­verwaltung oder der Ausfall von Diensten, der etwa im hybriden Betrieb passieren kann. Wurden alle Konten für Multifaktor-Authentifizierung konfiguriert, dann würde eine Störung des MFA-Diensten sämtliche Zugänge blockieren.

    Microsoft empfiehlt daher, einen oder besser zwei Notfall-User (so genannte "Break Glass Accounts") einzurichten. Das Besondere an diesen Benutzern ist, dass es sich dabei um reine Cloud-User handelt, welche privilegierten Zugriff haben (Global Admin) und von allen Richtlinien ausgenommen sind.

    Checkliste für das Anlegen eines Notfallbenutzers

    Benutzer, welche die Rolle Global Admin innehaben, werden besonders gerne angegriffen, so dass man sie durch entsprechende Vorkehrungen absichern sollte:

    • Vergeben Sie ein möglichst komplexes und langes Kennwort, welches nicht abläuft.
    • Hinterlegen Sie das Passwort an einem sicheren Ort, zum Beispiel einem physischen Tresor, Bankschließfach, etc.
    • Teilen Sie das Passwort in mehrere Teile auf, so dass eine Anmeldung mit diesen Benutzern immer nur nach dem 4-Augen-Prinzip erfolgen kann.
    • Legen Sie fest, welche Personen Zugriff auf das Password bzw. Teile davon haben sollen.
    • Vergeben sie Namen für diese Benutzer, welche nicht auf ihren Verwendungs­zweck schließen lässt.
    • Legen Sie bei den Benutzer mit dem Domänenpräfix *.onmicrosoft.com an, um eventuelle Probleme mit der eigenen Domain zu umgehen.
    • Schließen Sie die Benutzer von allen Richtlinien aus.
    • Wenn Sie MFA verwenden möchten, dann nutzen Sie ein anderes Verfahren als alle anderen Benutzer. Wenn es zwei Notfallkonten sind, nutzen sie hier nochmals unterschiedliche Techniken. Wenn es jedoch grundsätzliche Probleme mit MFA geben sollte, dann kann man sich nicht mehr anmelden. Daher sollte man erwägen, zumindest einen der beiden Benutzer von der MFA auszunehmen.

    Dokumentation und Überprüfung

    Folgende Punkte sollten in regemäßigen Abständen überprüft werden:

    • Die Überwachungs­protokolle des Azure Active Directory sollten regelmäßig angeschaut werden, um zu erkennen, ob sich jemand mit diesen Benutzern anmelden wollte.
    • Die Anmeldung der beiden Benutzer sollte regelmäßig getestet werden. Dabei sollte man prüfen, ob die Berechtigungen weiterhin greifen.
    • Das Kennwort der beiden Benutzer sollte in periodischen Abständen geändert werden.
    • Zudem sollte man eine Notfallroutine entwickeln und dokumentieren. Dieses Notfall-Szenario kann sich von Monat zu Monat ändern, abhängig davon, wie das Unternehmen seine Cloud-Ressourcen organisiert.

    Praxis: Break-Glass-Account anlegen

    Zuerst meldet man sich im Admin-Portal an und führt dann unter Benutzer => Aktive Benutzer den Befehl Benutzer hinzufügen aus, um einen Cloud-Benutzer zu erstellen.

    Neuen Benutzer im Admin-Portal anlegen

    Wie oben beschrieben, wählt man einen Namen, der nicht auf den Notfall-User schließen lässt. Im nächsten Dialog braucht dieser User keine Produkt­lizenz, da er nur administrative Tätigkeiten übernimmt.

    Der Break Glass Account benötigt keine Produktlizenz.

    Im nächsten Schritt vergibt man die Admin-Rolle an das neue Konto.

    Zuweisung der Rolle "Globaler Administrator" an das Notfallkonto

    Damit kann man den Vorgang bereits abschließen.

    Eigenschaften des neuen Benutzer prüfen und Konto anlegen

    Danach sollte man den Benutzer so konfigurieren, dass sein Passwort nicht abläuft. Hierfür eignet sich PowerShell. Die aktuelle Einstellung kann man so anzeigen:

    Get-MsolUser -UserPrincipalName (UPN) | Select PasswordNeverExpires

    Status der Kennwortrichtlinie für das Ablaufdatum in PowerShell abfragen.

    Das Ergebnis lautet hier False, also läuft das Passwort weiterhin ab. Mit dem folgendem Kommando setzt man diese Eigenschaft auf True:

    Set-MsolUser -UserPrincipalName (UPN) -PasswordNeverExpires $true

    Ablaufdatum des Kennworts für ein bestimmtes Konto in Office 365 deaktivieren

    Eine erneute Prüfung zeigt, dass der Wert gespeichert wurde.

    Bei der Multifaktor-Authentifizierung kommt es darauf an, wo diese im Tenant aktiviert wurde. Sie könnte beim User selbst als auch bei den Einstellungen für Conditional Access zu finden sein. Davon sollte man den Notfall-User ausnehmen. Zum Thema MFA bietet Microsoft hier einen kleinen Leitfaden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Ähnliche Beiträge

    Weitere Links