Erstellen sie immer zwei Break Glass Admins bevor sie mit Conditional Access (Bedingter Zugriff) Richtlinien arbeiten. Dies hilft Ihnen im Falle, dass sie ein Konfigurationsfehler gemacht haben, dass sie sich nicht aus ihrem Tenant aussperren. Break Glass Admins haben… … keine Lizenzen zugewiesen… verwenden das Standard DNS-Suffix @xxxx.onmicrosoft.com… ein hochsicheres kryptisches Kennwort… als Authentifizierungsmethode ein FIDO2 Sicherheitsschlüssel konfiguriert ❗Wichtig: Verwenden sie ein Bre

Öffnen sie ein Browserfenster> Navigieren sie auf die folgende URL um das Microsoft Entra admin center zu öffnenhttps://entra.microsoft.com > Fenster "Microsoft Entra - Microsoft Entra admin center"Menü "Entra ID" >  Fenster "Microsoft Entra admin center"Menü "Users" >Menü "All users" >  Fenster "Microsoft Entra admin center"+ New user >Create new user >  Fenster "Create new user - Microsoft Entra admin center"Register "Basics" >Abschnitt "Identity"Eingabe User principal name breakglassadm01 @ A

Um direkt einen FIDO2 Security Key für einen zweiten Faktor bei den Break Glass Admins zu verwenden müssen wir den MFA Registrierungsprozess bei einer ersten Anmeldung mit der Aktivierung eines Temporären Zugriffspass überbrücken. Somit können sie auch ohne fixe MFA Einrichtung die passwortlose FIDO2 Einrichtung durchführen. 🔗Externe Links: Configure Temporary Access Pass to register passwordless authentication methods https://learn.microsoft.com/en-us/entra/identity/authentication/howto-authen

Damit ihre Benutzer sich mit Passkeys (FIDO2) Sicherheitsschlüssel authentifizieren können, müssen sie die Passkey-Authentifizierungsmethode in ihrem Tenant aktivieren. Öffnen sie dazu ein Browserfenster und navigieren sie aufhttps://entra.microsoft.com  Fenster "Microsoft Entra admin center"Menü "Entra ID" >Menü "Authentication methods" >  Fenster "Authentication methods - Microsoft Entra admin center"Menüabschnitt "Manage"Menü "Policies" >Passkey (FIDO2) >  Fenster "Passkey (FIDO2) settings -

Öffnen sie einen neuen privaten Browser. Navigieren sie auf https://myaccount.microsoft.com Fenster "Sign in to your account"Sign in >  Fenster "Sign in to your account - Sign in"Eingabe breakglassadm01@swissschmid.onmicrosoft.comNext >  Fenster "Sign in to your account - Enter Temporary Access Pass"Eingabe Temporary Access Pass *********Sign in > Fenster "Sign in to your account - Stay signed in?No >  Fenster "My Account"Menü "My Account"Menü "Security info" >  Fenster "My Sign-Ins | Security I

Um den Zugriff mit dem Break Glass Admin zu testen löschen sie den Temporären Zugriffspass oder warten sie ab bis dieser abgelaufen ist. Anschliessend öffnen sie ein Browserfenster und navigieren sie aufhttps://entra.microsoft.com Fenster "Sign in to Microsoft Entra - Sign in"Eingabe Benutzernamen des Break Glass Admin 01 breakglassadm01@swissschmid.onmicrosoft.com  Fenster "Sign in to Microsoft Entra - Enter password"Eingabe Password *********************************Sign in >  Fenster "Windows-

Es ist wichtig, dass sie die Anmeldungen bzw. Anmeldeversuche über die Break Glass Admins überwachen und wenn möglich auch andere Administratoren informieren. Hier in diesem Beispiel aktivieren wir die Überwachung der Break Glass Admins über Azure Monitor. 1.6.1 Erstellen eines Log Analytics workspacehttps://www.godangel.ch/single-post/microsoft-entra-id-1-6-1-erstellen-eines-log-analytics-workspace1.6.2 Senden der Logs zum Azure Monitorhttps://www.godangel.ch/single-post/microsoft-entra-id-1-6-

Ein Log Analytics workspace können sie sich als Datenspeicherort vorstellen in den die Log Dateien gespeichert werden können. Öffnen sie ein Browserfenster und navigieren sie aufhttps://azure.microsoft.com Fenster "Cloud Computing Services | Microsoft Azure"Sign in >  Fenster "Home - Microsoft Azure"Eingabe Suchfeld Log >Log Analytics workspaces >  Fenster "Log Analytics workspaces - Microsoft Azure"+ Create >  Fenster "Create Log Analytics workspace - Microsoft Azure"Register "Basics"Abschnitt

Öffnen sie ein Browserfenster und navigieren sie zu Microsoft Entra ID Admin centerhttps://entra.microsoft.com Fenster "Microsoft Entra - Microsoft Entra admin center"Menü "Entra ID" >Menü "Monitoring & health" >Menü "Diagnostic settings" >  Fenster "Diagnostic settings - Microsoft Entra admin center - General"+ Add diagnostic setting >  Fenster "Diagnostic setting - Microsoft Entra admin center"Eingabe Diagnostic setting name log-prod-swissnorth-001Abschnitt "Logs"Wählen sie alle Kategorien aus

Öffnen sie ein Browserfenster und navigieren sie in das Microsoft Entra admin centerhttps://entra.microsoft.com Fenster "Microsoft Entra admin center"Menü "Entra ID" >Menü "Users" > Fenster "Users - Microsoft Entra admin center"Menü "All users" >Break Glass Admin 01 >  Fenster "Break Glass Admin 01 - Microsoft Entra admin center"Register "Overview" >Kopieren sie die Object ID und speichern sie diese für den nächsten Abschnitt.  Führen sie diese Prozedur für beide Break Glass Admins durch, damit

Fenster "Create action group - Microsoft Azure"Register "Basics"Abschnitt "Project details"Auswahl Subscription Pay-As-You-Go >Auswahl Resource group Godangel >Auswahl Region Global > Abschnitt "Instance details"Eingabe Action group name ag-prod-swissnorth-001Eingabe Display name Notify GANext: Notifications >  Fenster "Create action group - Microsoft Azure"Register "Notifications"Auswahl Notification type Email/SMS message/Push/ Voice >Eingabe Name Send to thomas@swiss-schmid.ch Fenster "Email/

Öffnen sie ein Browserfenster und navigieren sie ins Microsoft Azure Admin centerhttps://azure.microsoft.com Fenster "Home - Microsoft Azure"Klappen sie das Menü auf.Menü "Monitor" >  Fenster "Monitor - Microsoft Azure"Menüabschnitt "Insights" >Menü "Log Analytics workspaces" >Auswahl log-prod-swissnorth-001 >  Fenster "log-prod-swissnorth-001 - Microsoft Azure"Menüabschnitt "Monitoring" >Menü "Alerts" >+ Create >Alert rule >  Fenster "Create an alert rule - Microsoft Azure"Register "Scope"Verge

❗Wichtig: Es kann eine Weile gehen bis die Alarmierung funktioniert. Geben sie dem Azure einige Zeit. Anschliessend können wir uns einfach bei einem der Break Glass Admins anmelden. Sie sollten dann eine Mail auf die Mailadresse die sie bei der Einrichtung der Action Group angegeben haben, erhalten. Öffnen sie ein Browserfenster und navigieren sie aufhttps://entra.microsoft.com Fenster "Sign in to Microsoft Entra - Sign in"Eingabe Email, phone, or Skype breakglassadm02@swissschmid.onmicrosoft.co