Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten

Microsoft empfiehlt daher, einen oder besser zwei Notfall-User (so genannte "Break Glass Accounts") einzurichten. Das Besondere an diesen Benutzern ist, dass es sich dabei um reine Cloud-User handelt, welche privilegierten Zugriff haben (Global Admin) und von allen Richtlinien ausgenommen sind.

Checkliste für das Anlegen eines Notfallbenutzers

Benutzer, welche die Rolle Global Admin innehaben, werden besonders gerne angegriffen, so dass man sie durch entsprechende Vorkehrungen absichern sollte:

• Vergeben Sie ein möglichst komplexes und langes Kennwort, welches nicht abläuft.
• Hinterlegen Sie das Passwort an einem sicheren Ort, zum Beispiel einem physischen Tresor, Bankschließfach, etc.
• Teilen Sie das Passwort in mehrere Teile auf, so dass eine Anmeldung mit diesen Benutzern immer nur nach dem 4-Augen-Prinzip erfolgen kann.
• Legen Sie fest, welche Personen Zugriff auf das Password bzw. Teile davon haben sollen.
• Vergeben sie Namen für diese Benutzer, welche nicht auf ihren Verwendungs­zweck schließen lässt.
• Legen Sie bei den Benutzer mit dem Domänenpräfix *.onmicrosoft.com an, um eventuelle Probleme mit der eigenen Domain zu umgehen.
• Schließen Sie die Benutzer von allen Richtlinien aus.
• Wenn Sie MFA verwenden möchten, dann nutzen Sie ein anderes Verfahren als alle anderen Benutzer. Wenn es zwei Notfallkonten sind, nutzen sie hier nochmals unterschiedliche Techniken. Wenn es jedoch grundsätzliche Probleme mit MFA geben sollte, dann kann man sich nicht mehr anmelden. Daher sollte man erwägen, zumindest einen der beiden Benutzer von der MFA auszunehmen.

Dokumentation und Überprüfung

Folgende Punkte sollten in regemäßigen Abständen überprüft werden:

• Die Überwachungs­protokolle des Azure Active Directory sollten regelmäßig angeschaut werden, um zu erkennen, ob sich jemand mit diesen Benutzern anmelden wollte.
• Die Anmeldung der beiden Benutzer sollte regelmäßig getestet werden. Dabei sollte man prüfen, ob die Berechtigungen weiterhin greifen.
• Das Kennwort der beiden Benutzer sollte in periodischen Abständen geändert werden.
• Zudem sollte man eine Notfallroutine entwickeln und dokumentieren. Dieses Notfall-Szenario kann sich von Monat zu Monat ändern, abhängig davon, wie das Unternehmen seine Cloud-Ressourcen organisiert.

Praxis: Break-Glass-Account anlegen

Zuerst meldet man sich im Admin-Portal an und führt dann unter Benutzer => Aktive Benutzer den Befehl Benutzer hinzufügen aus, um einen Cloud-Benutzer zu erstellen.

Wie oben beschrieben, wählt man einen Namen, der nicht auf den Notfall-User schließen lässt. Im nächsten Dialog braucht dieser User keine Produkt­lizenz, da er nur administrative Tätigkeiten übernimmt.

Im nächsten Schritt vergibt man die Admin-Rolle an das neue Konto.

Damit kann man den Vorgang bereits abschließen.

Danach sollte man den Benutzer so konfigurieren, dass sein Passwort nicht abläuft. Hierfür eignet sich PowerShell. Die aktuelle Einstellung kann man so anzeigen:

Get-MsolUser -UserPrincipalName (UPN) | Select PasswordNeverExpires

Das Ergebnis lautet hier False, also läuft das Passwort weiterhin ab. Mit dem folgendem Kommando setzt man diese Eigenschaft auf True:

Set-MsolUser -UserPrincipalName (UPN) -PasswordNeverExpires $true

Eine erneute Prüfung zeigt, dass der Wert gespeichert wurde.

Bei der Multifaktor-Authentifizierung kommt es darauf an, wo diese im Tenant aktiviert wurde. Sie könnte beim User selbst als auch bei den Einstellungen für Conditional Access zu finden sein. Davon sollte man den Notfall-User ausnehmen. Zum Thema MFA bietet Microsoft hier einen kleinen Leitfaden.