❗Wichtig: Es kann eine Weile gehen bis die Alarmierung funktioniert. Geben sie dem Azure einige Zeit.   Anschliessend können wir uns einfach bei einem der Break Glass Admins anmelden.   Sie sollten dann eine Mail auf die Mailadresse die sie bei der Einrichtung der Action Group angegeben haben, erhalten.   Öffnen sie ein Browserfenster und navigieren sie auf https://entra.microsoft.com   Fenster "Sign in to Microsoft Entra - Sign in" Eingabe Email, phone, or Skype breakglassad

Öffnen sie ein Browserfenster und navigieren sie ins Microsoft Azure Admin center https://azure.microsoft.com   Fenster "Home - Microsoft Azure" Klappen sie das Menü auf. Menü "Monitor" >     Fenster "Monitor - Microsoft Azure" Menüabschnitt "Insights" > Menü "Log Analytics workspaces" > Auswahl log-prod-swissnorth-001 >     Fenster "log-prod-swissnorth-001 - Microsoft Azure" Menüabschnitt "Monitoring" > Menü "Alerts" > + Create > Alert rule >     Fenster "Create an alert rul

Fenster "Create action group - Microsoft Azure" Register "Basics" Abschnitt "Project details" Auswahl Subscription Pay-As-You-Go > Auswahl Resource group Godangel > Auswahl Region Global >   Abschnitt "Instance details" Eingabe Action group name ag-prod-swissnorth-001 Eingabe Display name Notify GA Next: Notifications >     Fenster "Create action group - Microsoft Azure" Register "Notifications" Auswahl Notification type Email/SMS message/Push/ Voice > Eingabe Name Send to...

Öffnen sie ein Browserfenster und navigieren sie in das Microsoft Entra admin center https://entra.microsoft.com   Fenster "Microsoft Entra admin center" Menü "Entra ID" > Menü "Users" >   Fenster "Users - Microsoft Entra admin center" Menü "All users" > Break Glass Admin 01 >     Fenster "Break Glass Admin 01 - Microsoft Entra admin center" Register "Overview" > Kopieren sie die Object ID und speichern sie diese für den nächsten Abschnitt.     Führen sie diese Prozedur für b

Es ist wichtig, dass sie die Anmeldungen bzw. Anmeldeversuche über die Break Glass Admins überwachen und wenn möglich auch andere Administratoren informieren.   Hier in diesem Beispiel aktivieren wir die Überwachung der Break Glass Admins über Azure Monitor.   1.6.1 Erstellen eines Log Analytics workspace 1.6.2 Senden der Logs zum Azure Monitor 1.6.3 Objekt ID der Breaking Glass Admins herausfinden 1.6.4 Erstellen einer Action group 1.6.5 Erstellen einer Alert Regel 1.6.6 Tes

Öffnen sie ein Browserfenster und navigieren sie zu Microsoft Entra ID Admin center https://entra.microsoft.com   Fenster "Microsoft Entra - Microsoft Entra admin center" Menü "Entra ID" > Menü "Monitoring & health" > Menü "Diagnostic settings" >     Fenster "Diagnostic settings - Microsoft Entra admin center - General" + Add diagnostic setting >     Fenster "Diagnostic setting - Microsoft Entra admin center" Eingabe Diagnostic setting name log-prod-swissnorth-001 Abschnitt "

Ein Log Analytics workspace können sie sich als Datenspeicherort vorstellen in den die Log Dateien gespeichert werden können.   Öffnen sie ein Browserfenster und navigieren sie auf https://azure.microsoft.com   Fenster "Cloud Computing Services | Microsoft Azure" Sign in >     Fenster "Home - Microsoft Azure" Eingabe Suchfeld Log > Log Analytics workspaces >     Fenster "Log Analytics workspaces - Microsoft Azure" + Create >     Fenster "Create Log Analytics workspace - Micro

Um den Zugriff mit dem Break Glass Admin zu testen löschen sie den Temporären Zugriffspass oder warten sie ab bis dieser abgelaufen ist.   Anschliessend öffnen sie ein Browserfenster und navigieren sie auf https://entra.microsoft.com   Fenster "Sign in to Microsoft Entra - Sign in" Eingabe Benutzernamen des Break Glass Admin 01 breakglassadm01@swissschmid.onmicrosoft.com     Fenster "Sign in to Microsoft Entra - Enter password" Eingabe Password *******************************

Öffnen sie einen neuen privaten Browser.   Navigieren sie auf https://myaccount.microsoft.com   Fenster "Sign in to your account" Sign in >     Fenster "Sign in to your account - Sign in" Eingabe breakglassadm01@swissschmid.onmicrosoft.com Next >     Fenster "Sign in to your account - Enter Temporary Access Pass" Eingabe Temporary Access Pass ********* Sign in >   Fenster "Sign in to your account - Stay signed in? No >     Fenster "My Account" Menü "My Account" Menü "Security

Damit ihre Benutzer sich mit Passkeys (FIDO2) Sicherheitsschlüssel authentifizieren können, müssen sie die Passkey-Authentifizierungsmethode in ihrem Tenant aktivieren.   Öffnen sie dazu ein Browserfenster und navigieren sie auf https://entra.microsoft.com     Fenster "Microsoft Entra admin center" Menü "Entra ID" > Menü "Authentication methods" >     Fenster "Authentication methods - Microsoft Entra admin center" Menüabschnitt "Manage" Menü "Policies" > Passkey (FIDO2) >    

Um direkt einen FIDO2 Security Key für einen zweiten Faktor bei den Break Glass Admins zu verwenden müssen wir den MFA Registrierungsprozess bei einer ersten Anmeldung mit der Aktivierung eines Temporären Zugriffspass überbrücken. Somit können sie auch ohne fixe MFA Einrichtung die passwortlose FIDO2 Einrichtung durchführen.   🔗Externe Links: Configure Temporary Access Pass to register passwordless authentication methods https://learn.microsoft.com/en-us/entra/identity/authe

Öffnen sie ein Browserfenster>   Navigieren sie auf die folgende URL um das Microsoft Entra admin center zu öffnen https://entra.microsoft.com  >   Fenster "Microsoft Entra - Microsoft Entra admin center" Menü "Entra ID" >     Fenster "Microsoft Entra admin center" Menü "Users" > Menü "All users" >     Fenster "Microsoft Entra admin center" + New user > Create new user >     Fenster "Create new user - Microsoft Entra admin center" Register "Basics" > Abschnitt "Identity" Eing

💡 Warum ist ein Break Glass Admin wichtig? Erstellen sie immer zwei Break Glass Admins bevor sie mit Conditional Access (Bedingter Zugriff) Richtlinien arbeiten. Dies hilft Ihnen im Falle, dass sie ein Konfigurationsfehler gemacht haben, dass sie sich nicht aus ihrem Tenant aussperren.   Break Glass Admins haben…   … keine Lizenzen zugewiesen … verwenden das Standard DNS-Suffi x @ xxxx.onmicrosoft.com … ein hochsicheres kryptisches Kennwort … als Authentifizierungsmethode ei

1. Informationen Break Glass Admins 1.1 Breaking Glass Admin erstellen 1.2 Temporären Zugriffs Pass für Break Glass Admin aktivieren 1.3 Aktivieren Passkey-Authentifizierungsmethode (FIDO2) für Ihren Tenant 1.4 Verwenden eines FIDO2 Security Key (YubiKey 5C NFC) für die 2FA bei den Break Glass Admins 1.5 Zugriffstest Break Glass Admin Anmeldung mit FIDO2 1.6 Überwachen der Anmeldungen der Break Glass Administratoren (Azure Monitor) 1.6.1 Erstellen eines Log Analytics workspac