Konfigurace řízení přístupu na úrovni 2 (AC) CMMC
Microsoft Entra ID vám může pomoct splnit požadavky na postupy související s identitou v každé úrovni certifikace modelu kybernetické bezpečnosti (CMMC). Aby byly splněny požadavky v CMMC V2.0 úrovně 2, je odpovědností společností provádějících práci s americkým oddělením obrany (DoD) a jménem oddělení obrany (DoD) k dokončení dalších konfigurací nebo procesů.
V řadiči pro správu základní desky na úrovni 2 existuje 13 domén, které mají jednu nebo více postupů souvisejících s identitou:
- Řízení přístupu (AC)
- Audit a odpovědnost (AU)
- Správa konfigurace (CM)
- Identifikace a ověřování (IA)
- Reakce na incidenty (IR)
- Údržba (MA)
- Ochrana médií (MP)
- Zabezpečení personálu (PS)
- Fyzická ochrana (PE)
- Posouzení rizik (RA)
- Posouzení zabezpečení (CA)
- System and Communications Protection (SC)
- Systém a integrita informací (SI)
Zbývající část tohoto článku obsahuje pokyny pro doménu řízení přístupu (AC). K dispozici je tabulka s odkazy na obsah, který obsahuje podrobné pokyny k provedení tohoto postupu.
Řízení přístupu (AC)
Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.
| Prohlášení o praktickém prohlášení a cíle CMMC | Microsoft Entra – pokyny a doporučení |
|---|---|
| Střídavý proud. L2-3.1.3 Praktické prohlášení: Řízení toku CUI v souladu se schválenými autorizací. Cíle: Určete, jestli: [a.] zásady řízení toku informací jsou definovány; [b.] jsou definovány metody a mechanismy vynucování pro řízení toku CUI; [c.] jsou identifikovány určené zdroje a cíle (například sítě, jednotlivci a zařízení) pro CUI v rámci systému a mezi systémy intercfeetonnected; [d.] jsou definovány autorizace pro řízení toku CUI; a [e.] Vynucují se schválená autorizace pro řízení toku CUI. |
Nakonfigurujte zásady podmíněného přístupu pro řízení toku CUI z důvěryhodných umístění, důvěryhodných zařízení, schválených aplikací a vyžadování zásad ochrany aplikací. Pro jemně odstupňovanou autorizaci pro CUI nakonfigurujte omezení vynucená aplikací (Exchange/SharePoint Online), Řízení aplikací (s Microsoft Defenderem pro cloudové aplikace), kontext ověřování. Nasaďte proxy aplikace Microsoft Entra pro zabezpečení přístupu k místním aplikacím. Podmínka umístění v podmíněném přístupu Microsoft Entra Uděleníovládacích Uděleníovládacích Udělení ovládacích prvků v zásadách podmíněného přístupu – Vyžadování schválené klientské aplikace Udělení ovládacích prvků v zásadách podmíněného přístupu – Vyžadování zásad ochrany aplikací Řízení relací v zásadách podmíněného přístupu – Omezení vynucená aplikací Ochrana pomocí Řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps Cloudové aplikace, akce a kontext ověřování v zásadách podmíněného přístupu Vzdálený přístup k místním aplikacím pomocí proxy aplikací Microsoft Entra Kontext ověřování Konfigurace kontextu ověřování a přiřazení k zásadám podmíněného přístupu Information Protection Znalost a ochrana vašich dat; pomáhá předejít ztrátě dat. Ochrana citlivých dat pomocí Microsoft Purview Podmíněný přístup Podmíněný přístup pro Azure Information Protection (AIP) Proxy soubor aplikace Vzdálený přístup k místním aplikacím pomocí proxy aplikací Microsoft Entra |
| Střídavý proud. L2-3.1.4 Praktické prohlášení: Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. Cíle: Určete, jestli: [a.] povinnosti jednotlivců vyžadujících oddělení jsou definovány; [b.] povinnosti, které vyžadují oddělení, jsou přiřazeny samostatným jednotlivcům; a [c.] přístupová oprávnění, která jednotlivcům umožňují vykonávat povinnosti, které vyžadují oddělení, jsou udělena samostatným jednotlivcům. |
Zajištění přiměřeného oddělení povinností stanovením odpovídajícího přístupu. Nakonfigurujte balíčky přístupu pro správu nároků tak, aby se řídil přístup k aplikacím, skupinám, teams a sharepointovými weby. Nakonfigurujte kontroly oddělení povinností v rámci přístupových balíčků, abyste se vyhnuli uživateli, který získá nadměrný přístup. Ve správě nároků Microsoft Entra můžete nakonfigurovat více zásad s různými nastaveními pro každou komunitu uživatelů, která bude potřebovat přístup prostřednictvím přístupového balíčku. Tato konfigurace zahrnuje omezení tak, aby uživatel určité skupiny nebo již přiřazený jiný přístupový balíček nebyl přiřazen jinými přístupovými balíčky zásadami. Konfigurujte jednotky pro správu v Microsoft Entra ID tak, aby oprávnění správce s privilegovanými rolemi omezili pouze na omezenou sadu objektů adresáře (uživatelé, skupiny, zařízení). Co je správa nároků? Co jsou přístupové balíčky a jaké prostředky s nimi můžu spravovat? Konfigurace oddělení povinností pro přístupový balíček ve správě nároků Microsoft Entra Jednotky pro správu v MICROSOFT Entra ID |
| Střídavý proud. L2-3.1.5 Praktické prohlášení: Použití principu nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů. Cíle: Určete, jestli: [a.] jsou identifikovány privilegované účty; [b.] přístup k privilegovaným účtům je autorizovaný v souladu se zásadou nejnižších oprávnění; [c.] jsou identifikovány funkce zabezpečení; a [d.] přístup k funkcím zabezpečení je autorizovaný v souladu se zásadou nejnižších oprávnění. |
Zodpovídáte za implementaci a vynucování pravidla nejnižších oprávnění. Tuto akci lze provést pomocí Privileged Identity Management pro konfiguraci vynucení, monitorování a upozorňování. Nastavte požadavky a podmínky pro členství v rolích. Jakmile jsou privilegované účty identifikovány a spravovány, použijte správu životního cyklu nároků a kontroly přístupu k nastavení, údržbě a auditování odpovídajícího přístupu. Pomocí rozhraní MS Graph API můžete zjišťovat a monitorovat role adresáře. Přiřazení rolí Přiřazení rolí Microsoft Entra v PIM Přiřazení rolí prostředků Azure ve službě Privileged Identity Management Přiřazení oprávněných vlastníků a členů pro PIM pro skupiny Nastavení rolí Konfigurace nastavení role Microsoft Entra v PIM Konfigurace nastavení rolí prostředků Azure v PIM Konfigurace PIM pro nastavení skupin v PIM Nastavení upozornění Výstrahy zabezpečení pro role Microsoft Entra v PIM Konfigurace výstrah zabezpečení pro role prostředků Azure ve službě Privileged Identity Management |
| Střídavý proud. L2-3.1.6 Praktické prohlášení: Při přístupu k funkcím nesouviseícím se zabezpečením používejte neprivilegované účty nebo role. Cíle: Určete, jestli: [a.] jsou identifikovány funkce nesouvisejí se zabezpečením; a [b.] Uživatelé musí při přístupu k funkcím nesouvisejí se zabezpečením používat neprivilegované účty nebo role. Střídavý proud. L2-3.1.7 Praktické prohlášení: Zabránění neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachycení provádění těchto funkcí v protokolech auditu. Cíle: Určete, jestli: [a.] privilegované funkce jsou definovány; [b.] neprivilegovaní uživatelé jsou definováni; [c.] neprivilegovaným uživatelům se brání v provádění privilegovaných funkcí; a [d.] Provádění privilegovaných funkcí se zaznamenává v protokolech auditu. |
Požadavky v ac. L2-3.1.6 a AC. L2-3.1.7 se vzájemně doplňují. Vyžadovat samostatné účty pro oprávnění a neprivilegované použití. Nakonfigurujte Privileged Identity Management (PIM) tak, aby přinesl privilegovaný přístup za běhu (JIT) a odebral trvalý přístup. Nakonfigurujte zásady podmíněného přístupu na základě rolí tak, aby omezily přístup k aplikaci pro produktivitu pro privilegované uživatele. Pro vysoce privilegované uživatele zabezpečte zařízení jako součást scénáře privilegovaného přístupu. Všechny privilegované akce se zaznamenávají v protokolech auditu Microsoft Entra. Přehled zabezpečení privilegovaného přístupu Konfigurace nastavení role Microsoft Entra v PIM Uživatelé a skupiny v zásadách podmíněného přístupu Proč jsou důležitá zařízení s privilegovaným přístupem |
| Střídavý proud. L2-3.1.8 Praktické prohlášení: Omezte neúspěšné pokusy o přihlášení. Cíle: Určete, jestli: [a.] jsou definovány prostředky omezení neúspěšných pokusů o přihlášení; a [b.] jsou implementovány definované prostředky omezení neúspěšných pokusů o přihlášení. |
Povolte vlastní nastavení inteligentního uzamčení. Nakonfigurujte prahovou hodnotu uzamčení a dobu uzamčení v sekundách pro implementaci těchto požadavků. Ochrana uživatelských účtů před útoky s využitím inteligentního uzamykání Microsoft Entra Správa hodnot inteligentního uzamčení Microsoft Entra |
| Střídavý proud. L2-3.1.9 Prohlášení o praxi: Poskytnutí oznámení o ochraně osobních údajů a zabezpečení v souladu s příslušnými pravidly CUI Cíle: Určete, jestli: [a.] prohlášení o ochraně osobních údajů a zabezpečení vyžadovaná pravidly určenými cuI jsou identifikována, konzistentní a přidružená ke konkrétní kategorii CUI; a [b.] Zobrazí se oznámení o ochraně osobních údajů a zabezpečení. |
S ID Microsoft Entra můžete doručit oznámení nebo bannerové zprávy pro všechny aplikace, které vyžadují potvrzení a potvrzení záznamu před udělením přístupu. Tyto podmínky použití můžete podrobněji cílit na konkrétní uživatele (člena nebo hosta). Můžete je také přizpůsobit pro každou aplikaci prostřednictvím zásad podmíněného přístupu. Podmíněný přístup Co je podmíněný přístup v Microsoft Entra ID? Podmínky použití Podmínky použití služby Microsoft Entra Zobrazení sestavy o tom, kdo přijal a odmítl |
| Střídavý proud. L2-3.1.10 Praktické tvrzení: Pomocí zámku relace se zobrazeními se vzorovým skrytím zabráníte přístupu a zobrazení dat po určité době nečinnosti. Cíle: Určete, jestli: [a.] období nečinnosti, po kterém systém zahájí uzamčení relace; [b.] přístup k systému a zobrazení dat je zabráněno zahájením uzamčení relace po definované době nečinnosti; a [c.] dříve viditelné informace jsou skryty prostřednictvím zobrazení se vzorem skrytí po definované době nečinnosti. |
Implementujte zámek zařízení pomocí zásad podmíněného přístupu, abyste omezili přístup na zařízení kompatibilní nebo hybridní zařízení připojená k Microsoftu Entra. Nakonfigurujte nastavení zásad v zařízení tak, aby vynucovali zámek zařízení na úrovni operačního systému pomocí řešení MDM, jako je Intune. Objekty zásad skupiny nebo Microsoft Intune, Configuration Manageru nebo zásad skupiny je možné zvážit také v hybridních nasazeních. U nespravovaných zařízení nakonfigurujte nastavení Frekvence přihlašování tak, aby uživatele vynutila opětovné ověření. Vyžadovat, aby zařízení bylo označeno jako vyhovující Uděleníovládacích Frekvence přihlašování uživatelů Nakonfigurujte zařízení na maximální počet minut nečinnosti, dokud se nezamkne obrazovka (Android, iOS, Windows 10). |
| Střídavý proud. L2-3.1.11 Practice statement: Terminate (automatically) a user session after a defined condition. Cíle: Určete, jestli: [a.] jsou definovány podmínky, které vyžadují ukončení uživatelské relace; a [b.] uživatelská relace se automaticky ukončí, jakmile dojde k některé z definovaných podmínek. |
Povolte pro všechny podporované aplikace funkci CaE (Continuous Access Evaluation). Pro aplikaci, která nepodporuje CAE nebo pro podmínky, které se nevztahují na CAE, implementujte zásady v Programu Microsoft Defender for Cloud Apps, které automaticky ukončí relace v případě, že dojde k podmínkám. Kromě toho nakonfigurujte Microsoft Entra ID Protection tak, aby vyhodnocoval riziko uživatelů a přihlašování. Podmíněný přístup s Microsoft Entra ID Protection umožňuje uživatelům automaticky napravit rizika. Průběžné vyhodnocování přístupu v Microsoft Entra ID Řízení využití cloudových aplikací vytvořením zásad Co je Microsoft Entra ID Protection |
| Střídavý proud. L2-3.1.12 Praktické prohlášení: Monitorování a řízení relací vzdáleného přístupu Cíle: Určete, jestli: [a.] relace vzdáleného přístupu jsou povoleny; [b.] jsou identifikovány typy povoleného vzdáleného přístupu; [c.] relace vzdáleného přístupu jsou řízeny; a [d.] Relace vzdáleného přístupu se monitorují. |
V dnešním světě uživatelé přistupují k cloudovým aplikacím téměř výhradně z neznámých nebo nedůvěryhodných sítí. Pro zabezpečení tohoto modelu přístupu je důležité přijmout objekty zabezpečení nulové důvěryhodnosti. Abychom splnili tyto požadavky na kontroly v moderním cloudovém světě, musíme ověřit každý požadavek na přístup explicitně, implementovat nejnižší oprávnění a předpokládat porušení zabezpečení. Nakonfigurujte pojmenovaná umístění pro vymezení interních a externích sítí. Nakonfigurujte řízení podmíněného přístupu pro směrování přístupu přes Microsoft Defender for Cloud Apps. Nakonfigurujte Defender for Cloud Apps pro řízení a monitorování všech relací. Průvodce nasazením nulová důvěra (Zero Trust) pro Microsoft Entra ID Podmínka umístění v podmíněném přístupu Microsoft Entra Nasazení řízení podmíněného přístupu ke cloudovým aplikacím App Security pro aplikace Microsoft Entra Co je Microsoft Defender for Cloud Apps? Monitorování výstrah vyvolaých v Programu Microsoft Defender for Cloud Apps |
| Střídavý proud. L2-3.1.13 Praktické prohlášení: Používejte kryptografické mechanismy k ochraně důvěrnosti relací vzdáleného přístupu. Cíle: Určete, jestli: [a.] jsou identifikovány kryptografické mechanismy pro ochranu důvěrnosti relací vzdáleného přístupu; a [b.] Implementují se kryptografické mechanismy pro ochranu důvěrnosti relací vzdáleného přístupu. |
Všechny webové služby Microsoft Entra pro zákazníky jsou zabezpečené pomocí protokolu TLS (Transport Layer Security) a implementují se pomocí kryptografie ověřené protokolem FIPS. Aspekty zabezpečení dat Microsoft Entra (microsoft.com) |
| Střídavý proud. L2-3.1.14 Praktické prohlášení: Směrování vzdáleného přístupu přes spravované body řízení přístupu Cíle: Určete, jestli: [a.] jsou identifikovány a implementovány spravované body řízení přístupu; a [b.] vzdálený přístup se směruje přes spravované body řízení přístupu k síti. |
Nakonfigurujte pojmenovaná umístění pro vymezení interních a externích sítí. Nakonfigurujte řízení podmíněného přístupu pro směrování přístupu přes Microsoft Defender for Cloud Apps. Nakonfigurujte Defender for Cloud Apps pro řízení a monitorování všech relací. Zabezpečení zařízení používaných privilegovanými účty v rámci scénáře privilegovaného přístupu Podmínka umístění v podmíněném přístupu Microsoft Entra Řízení relací v zásadách podmíněného přístupu Přehled zabezpečení privilegovaného přístupu |
| Střídavý proud. L2-3.1.15 Praktické prohlášení: Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím souvisejícím se zabezpečením Cíle: Určete, jestli: [a.] jsou identifikovány privilegované příkazy autorizované ke vzdálenému spuštění; [b.] jsou identifikovány informace související se zabezpečením, ke které mají přístup vzdáleně; [c.] provádění identifikovaných privilegovaných příkazů prostřednictvím vzdáleného přístupu je autorizované; a [d.] přístup k identifikovaným informacím souvisejícím se zabezpečením prostřednictvím vzdáleného přístupu je autorizovaný. |
Podmíněný přístup je řídicí rovina nulová důvěra (Zero Trust) cílit zásady pro přístup k vašim aplikacím v kombinaci s kontextem ověřování. V těchto aplikacích můžete použít různé zásady. Zabezpečení zařízení používaných privilegovanými účty v rámci scénáře privilegovaného přístupu Nakonfigurujte zásady podmíněného přístupu tak, aby při provádění privilegovaných příkazů vyžadovaly použití těchto zabezpečených zařízení privilegovanými uživateli. Cloudové aplikace, akce a kontext ověřování v zásadách podmíněného přístupu Přehled zabezpečení privilegovaného přístupu Filtrování zařízení jako podmínky v zásadách podmíněného přístupu |
| Střídavý proud. L2-3.1.18 Praktické prohlášení: Řízení připojení mobilních zařízení. Cíle: Určete, jestli: [a.] jsou identifikována mobilní zařízení, která zpracovávají, ukládají nebo přenášejí CUI; [b.] připojení mobilních zařízení jsou autorizovaná; a [c.] Připojení mobilních zařízení se monitorují a protokolují. |
Nakonfigurujte zásady správy zařízení prostřednictvím MDM (například Microsoft Intune), Configuration Manageru nebo objektů zásad skupiny (GPO) a vynucujte konfiguraci mobilních zařízení a profil připojení. Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovali dodržování předpisů zařízením. Podmíněný přístup Vyžadovat, aby zařízení bylo označeno jako vyhovující Vyžadování zařízení připojeného k hybridnímu připojení Microsoft Entra Intune Zásady dodržování předpisů u zařízení v Microsoft Intune Co je správa aplikací v Microsoft Intune? |
| Střídavý proud. L2-3.1.19 Praktické prohlášení: Šifrování CUI na mobilních zařízeních a mobilních výpočetních platformách Cíle: Určete, jestli: [a.] jsou identifikovány mobilní zařízení a mobilní výpočetní platformy, které zpracovávají, ukládají nebo přenášejí CUI; a [b.] šifrování se používá k ochraně CUI na identifikovaných mobilních zařízeních a mobilních výpočetních platformách. |
Spravované zařízení Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovaly kompatibilní zařízení nebo hybridní zařízení připojené k Microsoft Entra a aby se zajistilo, že spravovaná zařízení jsou správně nakonfigurovaná prostřednictvím řešení pro správu zařízení za účelem šifrování CUI. Nespravované zařízení Nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly zásady ochrany aplikací. Uděleníovládacích Uděleníovládacích Udělení ovládacích prvků v zásadách podmíněného přístupu – Vyžadování zásad ochrany aplikací |
| Střídavý proud. L2-3.1.21 Praktické prohlášení: Omezte používání přenosných úložných zařízení na externích systémech. Cíle: Určete, jestli: [a.] použití přenosných úložných zařízení obsahujících CUI na externích systémech je identifikováno a zdokumentováno; [b.] jsou definována omezení používání přenosných úložných zařízení obsahujících CUI na externích systémech; a [c.] používání přenosných úložných zařízení obsahujících CUI na externích systémech je omezené podle definice. |
Nakonfigurujte zásady správy zařízení prostřednictvím MDM (například Microsoft Intune), Configuration Manageru nebo objektů zásad skupiny (GPO) pro řízení používání přenosných úložných zařízení v systémech. Nakonfigurujte nastavení zásad na zařízení s Windows tak, aby na úrovni operačního systému úplně zakázalo nebo omezilo použití přenosného úložiště. Pro všechna ostatní zařízení, ve kterých možná nebudete moct detailně řídit přístup ke stažení přenosného bloku úložiště, zcela pomocí Programu Microsoft Defender for Cloud Apps. Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovali dodržování předpisů zařízením. Podmíněný přístup Vyžadovat, aby zařízení bylo označeno jako vyhovující Vyžadování zařízení připojeného k hybridnímu připojení Microsoft Entra Konfigurace správy relací ověřování Intune Zásady dodržování předpisů u zařízení v Microsoft Intune Omezení zařízení USB pomocí šablon pro správu v Microsoft Intune Microsoft Defender for Cloud Apps Vytváření zásad relací v Defenderu pro Cloud Apps |