条件付きアクセスのような認証の条件を厳しくするケースにおいて、管理者ユーザーが締め出されてしまう事故の対策として、緊急アクセス用管理者アカウントを作成することがあります。Azure ADの場合は、こちらのDocsにガイドラインと手順があります。
緊急アクセス用管理者アカウントを管理する - Azure AD - Microsoft Entra | Microsoft Docs
今回はこちらを試してみました。
設定手順
手順は、先程のリンクの中のこちらに沿って実施していきます。
緊急アカウント用ユーザーの作成
まずは緊急用アカウントのユーザー作成です。こちらはMSさんのキャプチャの感じで作成します。fractureは骨折とかそういう意味みたいです。
さて、緊急用アカウントは人に紐付けず(みんなで共有)、ID/パスワードのみでの認証とするのが基本路線になると思います。ということで、次に緊急アクセス用ユーザーをMFAの対象外にします。
Azureポータル>条件付きアクセス>テンプレートからの新しいポリシー(プレビュー)を選択します。
IDを選択して次に進みます。
すべてのユーザーに多要素認証を要求するを選択します。
ルールはできました。
続いて、緊急アクセス用ユーザーをこのポリシーから除外して、MFAを求めないようにしましょう。先程作成したポリシーをクリックして、ユーザーの対象外に緊急アクセス用ポリシーを追加します。
今回はポリシーをここで有効化してしまっていますが、有効化の際は十分に注意しましょう。
アラートルールの作成
次に、Azureポータル>Log Analyticsワークスペースで、Log Analyticsワークスペースを作成します。こんな感じでしょうか。
その後、Azure ADの診断設定で、Azure ADのサインインログをAzureモニターに送信する設定を実施します。
Azure Active Directory のログを Azure Monitor ログにストリーミングする - Microsoft Entra | Microsoft Docs
サインインログの送信には、Azure AD Premium P1 または P2 ライセンスが必要な点が注意点です(Business Premiumであれば、Azure AD Premium P1が利用できます)
手順としては、Azureポータルで、Azure Active Directory>診断設定>診断設定を追加するをクリックして、サインインログをLog Analyticsワークスペースへ送信するように設定します。
私は、// Search for a single UserPrincipalName のサンプルクエリを貼り付けました。