Zurück zum Blog

Entra ID Security Split – Tag 2: Resiliency

Warum du dir ein digitales Sicherheitsnetz bauen musst, bevor du dich selbst aussperrst. Break Glass Accounts richtig einrichten.

EntraIDSecurity
Entra ID Security Split – Tag 2: Resiliency

Beim Bankdrücken gibt es diese Sicherheitsbolzen. Die, die du hoffentlich nie brauchst — aber wenn die Kraft nachlässt und die Stange runterkommt, retten sie dir im wahrsten Sinne des Wortes den Hals.

Break Glass Accounts sind genau das für deinen Tenant. Dein Sicherheitsnetz, wenn alles andere versagt.

Anatomie eines Break Glass Accounts

Ein Break Glass Account ist kein normaler Admin-Account. Er folgt eigenen Regeln:

  • Cloud-only — ausschließlich *.onmicrosoft.com, keine Sync-Abhängigkeit zu On-Premises
  • Permanenter Global Admin — ja, das ist die eine bewusste Ausnahme von der PIM-Regel
  • Nicht an eine Person gebunden — kein vorname.nachname@, sondern ein neutraler Name
  • Kein regulärer Einsatz — nur im absoluten Notfall

Warum permanent Global Admin? Weil in einem Notfall kein PIM-Approval-Prozess funktioniert, keine MFA-App erreichbar ist und kein Conditional Access greifen darf. Genau dafür existiert dieser Account.

FIDO2 als unzerstörbarer Schlüssel

Passwörter können geleakt werden. MFA-Apps können ausfallen. Aber ein FIDO2-Sicherheitsschlüssel ist:

  • Physisch — du musst ihn in der Hand halten
  • Unabhängig — braucht kein Telefon, keine App, kein Netzwerk
  • Phishing-resistent — funktioniert nur auf der echten Anmeldeseite

👉 Registriere mindestens zwei FIDO2-Keys pro Break Glass Account. Lagere sie an getrennten Orten — im Idealfall in feuerfesten Safes an zwei verschiedenen Standorten.

Die bewusste Lücke

Dein Break Glass Account muss aus allen Conditional Access Policies ausgeschlossen sein. Jede einzelne. Ohne Ausnahme.

Das klingt erstmal falsch. Aber denk zurück an die Sicherheitsbolzen: Die funktionieren auch nur, wenn sie nicht vom gleichen Mechanismus blockiert werden, der gerade versagt hat.

Wenn deine CA-Policies selbst das Problem sind — z. B. durch eine Fehlkonfiguration, die alle aussperrt — ist der Break Glass Account dein einziger Weg zurück.

Monitoring — dein Alarmsystem

Ein Break Glass Account ohne Monitoring ist wie ein Tresor ohne Alarmanlage. Jeder Login-Versuch — ob erfolgreich oder nicht — muss einen Severity 0 / Critical Alert auslösen.

  • E-Mail an das Security-Team
  • Eintrag im SIEM (z. B. Microsoft Sentinel)
  • Optional: SMS oder Anruf bei definierten Personen

Wenn dieser Alert kommt, ist entweder ein echter Notfall im Gange — oder jemand versucht etwas, das sofort untersucht werden muss.

Trainingsplan: Break Glass einrichten

Hier ist dein konkreter Plan:

  • Zwei Cloud-only Global Admin Accounts erstellen (breakglass01@tenant.onmicrosoft.com, breakglass02@tenant.onmicrosoft.com)
  • FIDO2-Sicherheitsschlüssel registrieren — jeweils zwei Keys pro Account
  • Physische Lagerung — Schlüssel und Zugangsdaten in feuerfesten Safes an zwei getrennten Standorten
  • CA-Ausschlüsse validieren — jeden einzelnen Conditional Access Policy auf den Ausschluss prüfen
  • Monitoring-Alertkette testen — Login simulieren und prüfen, ob der Alert bis zum richtigen Team durchkommt

Ich habe dazu auch einen ausführlichen Artikel auf meiner Homepage geschrieben, der das Einrichten Schritt für Schritt beschreibt. Schau gerne rein, wenn du tiefer einsteigen willst.

Gruß Micha