Una casistica (troppo) spesso sottovalutata dalle aziende è quella di rimanere, accidentalmente, bloccati fuori dal proprio tenant Microsoft e questo può accadere per tutta una serie di motivazioni, ad esempio:
- Problemi con i servizi di multifactor-authentication
- Errori di configurazione delle Conditional Access Policies
- Furto di account amministrativi
- Perdita del dispositivo di autenticazione
- Uscita dall’azienda di utenti amministratori
È possibile ridurre l’impatto di una mancanza di accesso amministrativo creando degli account di accesso d’emergenza, più comunemente definiti break-glass account. Il consiglio è che vengano creati almeno due di questi utenti e che non siano assegnati a una persona specifica, devono, quindi, essere generici.
I break-glass account hanno privilegi elevati e devono essere limitati a scenari di emergenza critici, in cui non è possibile usare i normali account amministrativi.
Le linee guida di Microsoft indicano che i suddetti account debbano autenticarsi tramite l’utilizzo di dispositivi compatibili FIDO2 o di autenticazione basata su certificati (CBA). Personalmente prediligo la prima soluzione, motivo per cui sarà quella che descriverò in questa guida.
Per un ulteriore approfondimento a riguardo suggerisco la lettura di questi due precedenti articoli:
- Phishing-resistant panoramica sulle soluzioni MFA
- Entra ID – Passwordless authentication con FIDO2 security key
Creazione degli utenti di emergenza
Come anticipato è bene che vi siano almeno due utenti di servizio che dovranno essere solo cloud (quindi non sincronizzati da un ambiente Active Directory) e che faranno capo al dominio .onmicrosoft.com.
È importante che questi account non sottostiano a policy di accesso condizionale perché, come detto in precedenza, in caso di misconfiguration potrebbero inibire gli accessi.
I passaggi necessari alla creazione sono i seguenti:
1. Accedere all’interfaccia di amministrazione di Microsoft Entra come Amministratore Globale
2. Prima di cominciare sarà necessario abilitare l’utilizzo di Passkey (FIDO2) negli Authentication Methods
3. Andare nella sezione Identity > Users > All users e selezionare la voce New user
4. Selezionare Create new user e procedere indicando il nome dell’utente, una password complessa e assegnando il ruolo Global Admininistrator
5. Eseguire l’accesso con il nuovo account per procedere all’aggiunta del metodo di autenticazione con un dispositivo FIDO2, tramite la sezione Security info
6. Cliccare su Add sign-in method e scegliere Security key (la finestra di inserimento del PIN può essere leggermente diversa in base al sistema in uso, nel mio caso un Mac)
7. Verrà richiesto di assegnare un nome al nuovo dispositivo, a fine processo la situazione dovrebbe essere la seguente
Come detto all’inizio è opportuno che vengano creati più account di emergenza e consiglio vivamente di avere a disposizione almeno due chiavette FIDO2 in caso di perdita o rottura del dispositivo.
Nei miei tenant di norma la situazione è questa:
Un ulteriore consiglio è quello di programmare delle verifiche periodiche di accesso con i Break-Glass account per essere sempre certi che tutto funzioni a dovere.