Sdílet prostřednictvím

Konfigurace řízení přístupu k identitám pro splnění vysoké úrovně dopadu FedRAMP

  • Článek

Řízení přístupu je hlavní součástí dosažení vysoké úrovně fedRAMP (Federal Risk and Authorization Management Program ) pro provoz.

Následující seznam ovládacíchprvkůch

Rodina řízení Popis
AC-2 Správa účtů
AC-6 Nejnižší možné oprávnění
AC-7 Neúspěšné pokusy o přihlášení
AC-8 Oznámení o použití systému
AC-10 Řízení souběžných relací
AC-11 Zámek relace
AC-12 Ukončení relace
AC-20 Použití externích informačních systémů

Každý řádek v následující tabulce obsahuje podrobné pokyny, které vám pomůžou vyvinout reakci vaší organizace na všechny sdílené odpovědnosti za řízení nebo vylepšení řízení.

Konfigurace

ID a popis ovládacího prvku FedRAMP Microsoft Entra – pokyny a doporučení
SPRÁVA ÚČTŮ AC-2

Organizace
(a.) Identifikuje a vybere následující typy účtů informačních systémů pro podporu organizačních misí a obchodních funkcí: [Přiřazení: typy účtů informačního systému definované organizací];

(b.) Přiřadí správce účtů pro účty informačního systému;

(c.) Stanoví podmínky pro členství ve skupinách a rolích;

(d.) Určuje oprávněné uživatele informačního systému, členství ve skupinách a rolích a autorizaci přístupu (tj. oprávnění) a další atributy (podle potřeby) pro každý účet;

(e.) Vyžaduje schválení uživatelem [Přiřazení: pracovníky nebo role definované organizací] pro žádosti o vytvoření účtů informačního systému;

(f.) Vytvoří, povolí, upraví, zakáže a odebere účty informačního systému v souladu s [Přiřazení: postupy nebo podmínky definované organizací];

(g.) Monitoruje používání účtů informačních systémů;

(h.) Upozorní správce účtů:
(1.) Pokud se účty už nevyžadují;
(2.) Pokud jsou uživatelé ukončeni nebo převedeni; a
(3.) Pokud se změní individuální využití informačního systému nebo je třeba znát;

(i.) Autorizuje přístup k informačnímu systému na základě:
(1.) Platná autorizace přístupu;
(2.) Zamýšlené využití systému; a
(3.) Jiné atributy vyžadované organizací nebo přidruženými misemi nebo obchodními funkcemi;

(j.) Kontroluje dodržování požadavků na správu účtů [Přiřazení FedRAMP: měsíčně pro privilegovaný přístup, každých šest (6) měsíců pro neprivilegovaný přístup]; a

(k.) Vytvoří proces opětovného nasazení přihlašovacích údajů sdíleného nebo skupinového účtu (pokud je nasazen) při odebrání jednotlivců ze skupiny.

 Implementujte správu životního cyklu účtů pro účty řízené zákazníky. Monitorujte použití účtů a upozorněte správce účtů na události životního cyklu účtu. Projděte si účty pro dodržování požadavků na správu účtů každý měsíc pro privilegovaný přístup a každých šest měsíců pro neprivilegovaný přístup.

Pomocí ID Microsoft Entra můžete zřizovat účty z externích systémů personálního oddělení, místní Active Directory nebo přímo v cloudu. Všechny operace životního cyklu účtů se auditují v protokolech auditu Microsoft Entra. Protokoly můžete shromažďovat a analyzovat pomocí řešení siEM (Security Information and Event Management), jako je Microsoft Sentinel. Případně můžete pomocí služby Azure Event Hubs integrovat protokoly s řešeními SIEM třetích stran a povolit monitorování a oznámení. Pomocí správy nároků Microsoft Entra s kontrolami přístupu zajistíte stav dodržování předpisů účtů.

Zřízení účtů

  • Plánování cloudové aplikace personálního oddělení pro zřizování uživatelů Microsoft Entra
  • Microsoft Entra Connect Sync: Principy a přizpůsobení synchronizace
  • Přidání nebo odstranění uživatelů pomocí Microsoft Entra ID

    Monitorování účtů

  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Připojení dat Microsoft Entra k Microsoft Sentinelu
  • Kurz: Streamování protokolů do centra událostí Azure

    Kontrola účtů

  • Co je správa nároků Microsoft Entra?
  • Vytvoření kontroly přístupu přístupového balíčku ve správě nároků Microsoft Entra
  • Kontrola přístupu k přístupového balíčku ve správě nároků Microsoft Entra

    Zdroje informací

  • Oprávnění role správce v Microsoft Entra ID
  • Dynamické skupiny v Microsoft Entra ID

                         

    		•
    AC-2(1)
    Organizace využívá automatizované mechanismy, které podporují správu účtů informačních systémů.    		 Používejte automatizované mechanismy pro podporu správy účtů řízených zákazníkem.

    Konfigurace automatizovaného zřizování účtů řízených zákazníkem z externích systémů personálního oddělení nebo místní Active Directory U aplikací, které podporují zřizování aplikací, nakonfigurujte ID Microsoft Entra tak, aby automaticky vytvářelo identity a role uživatelů v cloudových aplikacích jako řešení (SaaS), ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Abyste usnadnili monitorování využití účtu, můžete streamovat protokoly microsoft Entra ID Protection, které zobrazují rizikové uživatele, rizikové přihlašování a detekce rizik a protokoly auditu přímo do služby Microsoft Sentinel nebo Event Hubs.

    Zřízení

  • Plánování cloudové aplikace personálního oddělení pro zřizování uživatelů Microsoft Entra
  • Microsoft Entra Connect Sync: Principy a přizpůsobení synchronizace
  • Co je automatizované zřizování uživatelů aplikací SaaS v Microsoft Entra ID?
  • Kurzy integrace aplikací SaaS pro použití s ID Microsoft Entra

    Monitorování a audit

  • Prozkoumání rizika
  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Co je Microsoft Sentinel?
  • Microsoft Sentinel: Připojení dat z Microsoft Entra ID
  • Kurz: Streamování protokolů Microsoft Entra do centra událostí Azure
    		•
    AC-2(2)
    Informační systém automaticky [Výběr FedRAMP: zakáže] dočasné a nouzové účty po [Přiřazení FedRAMP: 24 hodin od posledního použití].

    AC-02(3)
    Informační systém automaticky zakáže neaktivní účty po [Přiřazení FedRAMP: třicet pět (35) dnů pro uživatelské účty].

    AC-2 (3) Další požadavky a pokyny FedRAMP:
    Požadavek: Poskytovatel služeb definuje časové období pro účty, které nejsou uživateli (například účty přidružené k zařízením). Časová období jsou schválena a přijata JAB/AO. Pokud je správa uživatelů funkcí služby, zpřístupní se sestavy činnosti uživatelů uživatelů.

    		 Využijte automatizované mechanismy, které podporují automatické odebrání nebo zakázání dočasných a nouzových účtů po 24 hodinách od posledního použití a všech účtů kontrolovaných zákazníkem po 35 dnech nečinnosti.

    Implementujte automatizaci správy účtů pomocí Microsoft Graphu a Microsoft Graph PowerShellu. Pomocí Microsoft Graphu můžete monitorovat přihlašovací aktivitu a Prostředí Microsoft Graph PowerShell a provádět akce s účty v požadovaném časovém rámci.

    Určení nečinnosti

  • Správa neaktivních uživatelských účtů v Microsoft Entra ID
  • Správa zastaralých zařízení v Microsoft Entra ID

    Odebrání nebo zakázání účtů

  • Práce s uživateli v Microsoft Graphu
  • Získání uživatele
  • Aktualizace uživatele
  • Odstranění uživatele

    Práce se zařízeními v Microsoft Graphu

  • Získání zařízení
  • Aktualizace zařízení
  • Odstranění zařízení

    Viz dokumentace k Prostředí Microsoft Graph PowerShell

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
    		•
    AC-2(4)
    Informační systém automaticky audituje vytváření, úpravy, povolování, zakázání a odebírání akcí a upozorní [Přiřazení FedRAMP: organizace nebo vlastník systému poskytovatele služeb].    		 Implementujte automatizovaný systém auditu a oznámení pro životní cyklus správy účtů kontrolovaných zákazníkem.

    Všechny operace životního cyklu účtu, jako je vytvoření účtu, úprava, povolení, zakázání a akce odebrání, se auditují v protokolech auditu Azure. Protokoly můžete streamovat přímo do služby Microsoft Sentinel nebo Event Hubs, které vám pomůžou s oznámením.

    Audit

  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Microsoft Sentinel: Připojení dat z Microsoft Entra ID

    Notification

  • Co je Microsoft Sentinel?
  • Kurz: Streamování protokolů Microsoft Entra do centra událostí Azure
    		•
    AC-2(5)
    Organizace vyžaduje, aby se uživatelé odhlasili, když [Přiřazení FedRAMP: neaktivita by měla překročit patnáct (15) minut].

    AC-2 (5) Další požadavky a pokyny FedRAMP:
    Pokyny: Měli byste použít kratší časový rámec než AC-12.

    		 Implementujte odhlášení zařízení po 15minutové době nečinnosti.

    Implementujte zámek zařízení pomocí zásad podmíněného přístupu, které omezují přístup k zařízením vyhovujícím předpisům. Nakonfigurujte nastavení zásad v zařízení tak, aby vynucovali zámek zařízení na úrovni operačního systému pomocí řešení správy mobilních zařízení (MDM), jako je Intune. Objekty zásad skupiny nebo Endpoint Manageru je také možné zvážit v hybridních nasazeních. U nespravovaných zařízení nakonfigurujte nastavení Frekvence přihlašování tak, aby uživatele vynutila opětovné ověření.

    Podmíněný přístup

  • Vyžadovat, aby zařízení bylo označeno jako vyhovující
  • Frekvence přihlašování uživatelů

    Zásady MDM

  • Nakonfigurujte zařízení na maximální počet minut nečinnosti, dokud se nezamkne obrazovka a nevyžaduje heslo k odemknutí (Android, iOS, Windows 10).
    		•
    AC-2(7)

    Organizace:
    (a.) Vytváří a spravuje privilegované uživatelské účty v souladu se schématem přístupu na základě role, které organizuje povolený přístup k informačnímu systému a oprávnění do rolí;
    b) Monitoruje přiřazení privilegovaných rolí; a
    (c) Přebírá [přiřazení FedRAMP: zakáže nebo odvolá přístup v rámci časového rámce určeného organizací] v případě, že přiřazení privilegovaných rolí již nejsou vhodná.

    		 Spravujte a monitorujte přiřazení privilegovaných rolí pomocí schématu přístupu na základě role pro účty řízené zákazníkem. Pokud už to nebude vhodné, zakažte nebo odvolte přístup k oprávněním pro účty.

    Implementujte Microsoft Entra Privileged Identity Management s kontrolou přístupu pro privilegované role v MICROSOFT Entra ID, abyste mohli monitorovat přiřazení rolí a odebírat přiřazení rolí, pokud už nejsou vhodná. Protokoly auditu můžete streamovat přímo do služby Microsoft Sentinel nebo Event Hubs, které vám pomůžou s monitorováním.

    Správa

  • Co je Microsoft Entra Privileged Identity Management?
  • Maximální doba trvání aktivace

    Monitor

  • Vytvoření kontroly přístupu rolí Microsoft Entra ve službě Privileged Identity Management
  • Zobrazení historie auditu pro role Microsoft Entra ve službě Privileged Identity Management
  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Co je Microsoft Sentinel?
  • Připojení dat z Microsoft Entra ID
  • Kurz: Streamování protokolů Microsoft Entra do centra událostí Azure
    		•
    AC-2(11)
    Informační systém vynucuje [Přiřazení: okolnosti definované organizací a/nebo podmínky použití] pro [Přiřazení: účty informačního systému definovaného organizací].    		 Vynucujte použití účtů řízených zákazníkem, aby splňovaly podmínky definované zákazníkem nebo okolnosti.

    Vytvořte zásady podmíněného přístupu, které budou vynucovat rozhodnutí o řízení přístupu napříč uživateli a zařízeními.

    Podmíněný přístup

  • Vytvořte zásady podmíněného přístupu
  • Co je podmíněný přístup?
    		•
    AC-2(12)

    Organizace:
    a) Monitoruje účty informačních systémů pro [Přiřazení: atypické použití definované organizací]; a
    b) Oznamuje nestandardní využití účtů informačních systémů [přiřazení FedRAMP: minimálně isSO a/nebo podobnou roli v rámci organizace].

    AC-2 (12) (a) a AC-2 (12) (b) Další požadavky a pokyny fedRAMP:
    Vyžaduje se pro privilegované účty.

    		 Monitorujte a hlašujte účty řízené zákazníky s privilegovaným přístupem pro atypické využití.

    Pokud potřebujete pomoc s monitorováním neobvyklého využití, můžete streamovat protokoly Microsoft Entra ID Protection, které zobrazují rizikové uživatele, rizikové přihlášení a detekce rizik a protokoly auditu, které pomáhají s korelací s přiřazením oprávnění přímo do řešení SIEM, jako je Microsoft Sentinel. Službu Event Hubs můžete použít také k integraci protokolů s řešeními SIEM třetích stran.

    Ochrana ID

  • Co je Microsoft Entra ID Protection
  • Prozkoumání rizika
  • Oznámení microsoft Entra ID Protection

    Monitorování účtů

  • Co je Microsoft Sentinel?
  • Sestavy aktivit auditu v centru pro správu Microsoft Entra
  • Připojení dat Microsoft Entra k Microsoft Sentinelu
  • Kurz: Streamování protokolů do centra událostí Azure
    		•
    AC-2(13)
    Organizace zakáže účty uživatelů, kteří představují významné riziko v [Přiřazení FedRAMP: jedna (1) hodina] zjišťování rizika.    		 Zakažte účty řízené zákazníky uživatelů, kteří představují významné riziko za jednu hodinu.

    Ve službě Microsoft Entra ID Protection nakonfigurujte a povolte zásady rizik uživatelů s prahovou hodnotou nastavenou na Hodnotu Vysoká. Vytvořte zásady podmíněného přístupu, které zablokují přístup rizikovým uživatelům a rizikovým přihlašováním. Nakonfigurujte zásady rizik, které uživatelům umožní samoobslužné nápravy a odblokování následných pokusů o přihlášení.

    Ochrana ID

  • Co je Microsoft Entra ID Protection

    Podmíněný přístup

  • Co je podmíněný přístup?
  • Vytvořte zásady podmíněného přístupu
  • Podmíněný přístup: Podmíněný přístup založený na riziku uživatele
  • Podmíněný přístup: Podmíněný přístup založený na riziku přihlašování
  • Samoobslužná náprava se zásadami rizik
    		•
    AC-6(7)

    Organizace:
    (a.) Recenze [Přiřazení FedRAMP: minimálně ročně] oprávnění přiřazená [Přiřazení FedRAMP: všichni uživatelé s oprávněními] k ověření potřeby těchto oprávnění;
    (b.) V případě potřeby znovu přiřazuje nebo odebírá oprávnění, aby správně odrážely potřeby organizace nebo obchodní potřeby.

    		 Každý rok zkontrolujte a ověřte všechny uživatele s privilegovaným přístupem. Ujistěte se, že jsou oprávnění znovu přiřazena (nebo v případě potřeby odebrána), aby byla v souladu s organizačními a obchodními požadavky.

    Použijte správu nároků Microsoft Entra s kontrolami přístupu pro privilegované uživatele a ověřte, jestli se vyžaduje privilegovaný přístup.

    Kontroly přístupu

  • Co je správa nároků Microsoft Entra?
  • Vytvoření kontroly přístupu rolí Microsoft Entra ve službě Privileged Identity Management
  • Kontrola přístupu k přístupového balíčku ve správě nároků Microsoft Entra
    		•
    Neúspěšné pokusy o přihlášení AC-7

    Organizace:
    (a.) Vynutí limit [Přiřazení FedRAMP: ne více než tři (3)] po sobě jdoucí neplatné pokusy o přihlášení uživatelem během [Přiřazení FedRAMP: patnáct (15) minut]; a
    (b.) Automaticky [Výběr: zamkne účet nebo uzel pro [přiřazení FedRAMP: minimálně tři (3) hodiny nebo až do odemknutí správcem]; zpožďuje další výzvu k přihlášení podle [algoritmu zpoždění definovaného organizací]] při překročení maximálního počtu neúspěšných pokusů.

    		 Vynucujte limit maximálně tří po sobě jdoucích neúspěšných pokusů o přihlášení k prostředkům nasazeným zákazníkem během 15 minut. Uzamkněte účet minimálně na tři hodiny nebo dokud ho správce odemkne.

    Povolte vlastní nastavení inteligentního uzamčení. Nakonfigurujte prahovou hodnotu uzamčení a dobu trvání uzamčení v sekundách pro implementaci těchto požadavků.

    Inteligentní uzamčení

  • Ochrana uživatelských účtů před útoky s využitím inteligentního uzamykání Microsoft Entra
  • Správa hodnot inteligentního uzamčení Microsoft Entra
    		•
    Oznámení o použití systému AC-8

    Informační systém:
    (a.) Zobrazí se uživatelům [Přiřazení: Systém definovaný organizací používá oznámení nebo banner (FedRAMP Assignment: see additional Requirements and Guidance)] před udělením přístupu k systému, který poskytuje oznámení o ochraně osobních údajů a zabezpečení v souladu s platnými federálními zákony, příkazy vedení, směrnicemi, zásadami, předpisy, standardy a pokyny a stavy, že:
    (1.) Uživatelé přistupují k informačnímu systému státní správy USA;
    (2.) Využití informačního systému lze monitorovat, zaznamenávat a podléhat auditu;
    (3.) Neoprávněné použití informačního systému je zakázáno a podléhá trestním a občanským sankcím; a
    (4.) Použití informačního systému označuje souhlas s monitorováním a záznamem;

    (b.) Uchovává na obrazovce oznámení zprávu nebo banner, dokud uživatelé neuznamí podmínky použití a nebudou provádět explicitní akce pro přihlášení k informačnímu systému nebo k němu dále přistupovat; a

    (c.) Veřejně přístupné systémy:
    (1.) Zobrazí informace o použití systému [Přiřazení: podmínky definované organizací (Přiřazení FedRAMP: viz další požadavky a pokyny)] před udělením dalšího přístupu;
    (2.) Zobrazí odkazy na monitorování, zaznamenávání nebo auditování, které jsou v souladu s ubytováním v oblasti ochrany osobních údajů pro takové systémy, které tyto činnosti obecně zakazují; a
    (3.) Obsahuje popis autorizovaných použití systému.

    Ac-8 Další požadavky fedRAMP a pokyny:
    Požadavek: Poskytovatel služeb určí prvky cloudového prostředí, které vyžadují řízení oznámení o použití systému. Prvky cloudového prostředí, které vyžadují oznámení o použití systému, jsou schváleny a přijaty JAB/AO.
    Požadavek: Poskytovatel služeb určí, jak bude oznámení o používání systému ověřeno, a poskytne odpovídající pravidelnost kontroly. Ověřování a pravidelnost oznámení o používání systému jsou schváleny a přijímány JAB/AO.
    Pokyny: Pokud se provádí jako součást kontroly standardních hodnot konfigurace, je možné zadat % položek vyžadujících kontrolu, která je zaškrtnutá a zda je možné provést kontrolu průchodu (nebo selhání).
    Požadavek: Pokud není provedena jako součást kontroly standardních hodnot konfigurace, musí být zdokumentovaná smlouva o tom, jak poskytnout výsledky ověření a nezbytnou perioditu ověření poskytovatelem služeb. Zdokumentovaná smlouva o tom, jak poskytnout ověření výsledků, jsou schváleny a přijaty JAB/AO.

    		 Zobrazení a vyžadování potvrzení o ochraně osobních údajů a upozornění zabezpečení před udělením přístupu k informačním systémům

    S ID Microsoft Entra můžete doručit oznámení nebo bannerové zprávy pro všechny aplikace, které vyžadují potvrzení a potvrzení záznamu před udělením přístupu. Tyto podmínky použití můžete podrobněji cílit na konkrétní uživatele (člena nebo hosta). Můžete je také přizpůsobit pro každou aplikaci prostřednictvím zásad podmíněného přístupu.

    Podmínky použití

  • Podmínky použití služby Microsoft Entra
  • Zobrazení sestavy o tom, kdo přijal a odmítl
    		•
    Řízení souběžných relací AC-10
    Informační systém omezuje počet souběžných relací pro každý [Přiřazení: účet definovaný organizací a/nebo typ účtu] na [Přiřazení FedRAMP: tři (3) relace pro privilegovaný přístup a dvě (2) relace pro neprivilegovaný přístup].    		 Omezte souběžné relace na tři relace pro privilegovaný přístup a dva pro neprivilegovaný přístup.

    V současné době se uživatelé připojují z více zařízení, někdy současně. Omezení souběžných relací vede ke zhoršení uživatelského prostředí a poskytuje omezenou hodnotu zabezpečení. Lepším přístupem k řešení záměru tohoto ovládacího prvku je přijetí stavu zabezpečení nulové důvěryhodnosti. Podmínky jsou explicitně ověřeny před vytvořením relace a nepřetržitě ověřeny během celé relace.

    Kromě toho použijte následující kompenzační ovládací prvky.

    Pomocí zásad podmíněného přístupu omezte přístup k zařízením vyhovujícím předpisům. Nakonfigurujte nastavení zásad v zařízení tak, aby vynucovali omezení přihlašování uživatelů na úrovni operačního systému pomocí řešení MDM, jako je Intune. Objekty zásad skupiny nebo Endpoint Manageru je také možné zvážit v hybridních nasazeních.

    Použití Privileged Identity Management k dalšímu omezení a řízení privilegovaných účtů.

    Nakonfigurujte uzamčení inteligentního účtu pro neplatné pokusy o přihlášení.

    Pokyny k implementaci

    Nulový vztah důvěryhodnosti

  • Zabezpečení identity pomocí nulová důvěra (Zero Trust)
  • Průběžné vyhodnocování přístupu v Microsoft Entra ID

    Podmíněný přístup

  • Co je podmíněný přístup v Microsoft Entra ID?
  • Vyžadovat, aby zařízení bylo označeno jako vyhovující
  • Frekvence přihlašování uživatelů

    Zásady zařízení

  • Další nastavení zásad skupiny čipových karet a klíče registru
  • Přehled Microsoft Endpoint Manageru

    Zdroje informací

  • Co je Microsoft Entra Privileged Identity Management?
  • Ochrana uživatelských účtů před útoky s využitím inteligentního uzamykání Microsoft Entra

    Další pokyny k vyhodnocení relací a zmírnění rizik najdete v článku AC-12.

    		•
    Zámek relace AC-11
    Informační systém:
    a) Brání dalšímu přístupu k systému zahájením zámku relace po [přiřazení FedRAMP: patnáct (15) minut] nečinnosti nebo po přijetí žádosti od uživatele;
    (b) Zachová zámek relace, dokud uživatel znovu nenasadí přístup pomocí zavedených postupů identifikace a ověřování.

    AC-11(1)
    Informační systém skrývá informace dříve viditelné na displeji prostřednictvím zámku relace s veřejně zobrazitelným obrázkem.

    		 Implementujte zámek relace po 15minutové době nečinnosti nebo po přijetí požadavku od uživatele. Zachovejte zámek relace, dokud uživatel znovu neověří. Skryje dříve viditelné informace při zahájení zámku relace.

    Implementujte zámek zařízení pomocí zásad podmíněného přístupu, abyste omezili přístup k zařízením vyhovujícím předpisům. Nakonfigurujte nastavení zásad v zařízení tak, aby vynucovali zámek zařízení na úrovni operačního systému pomocí řešení MDM, jako je Intune. Objekty zásad skupiny nebo Endpoint Manageru je také možné zvážit v hybridních nasazeních. U nespravovaných zařízení nakonfigurujte nastavení Frekvence přihlašování tak, aby uživatele vynutila opětovné ověření.

    Podmíněný přístup

  • Vyžadovat, aby zařízení bylo označeno jako vyhovující
  • Frekvence přihlašování uživatelů

    Zásady MDM

  • Nakonfigurujte zařízení na maximální počet minut nečinnosti, dokud se nezamkne obrazovka (Android, iOS, Windows 10).
    		•
    Ukončení relace AC-12
    Informační systém automaticky ukončí uživatelskou relaci po [Přiřazení: podmínky definované organizací nebo aktivační události vyžadující odpojení relace].    		 Automatické ukončení uživatelských relací při výskytu událostí definovaných v organizaci nebo aktivačních událostí.

    Implementujte automatické přehodnocení uživatelských relací pomocí funkcí Microsoft Entra, jako je podmíněný přístup založený na riziku a průběžné vyhodnocování přístupu. Podmínky nečinnosti můžete implementovat na úrovni zařízení, jak je popsáno v ac-11.

    Zdroje informací

  • Podmíněný přístup založený na riziku přihlašování
  • Podmíněný přístup založený na riziku uživatele
  • Průběžné vyhodnocování přístupu
    		•
    AC-12(1)
    Informační systém:
    (a.) Poskytuje možnost odhlášení pro komunikační relace iniciované uživatelem při každém použití ověřování k získání přístupu k [Přiřazení: prostředky informací definované organizací]; a
    (b.) Zobrazí explicitní zprávu odhlášení uživatelům označující spolehlivé ukončení ověřených komunikačních relací.

    Ac-8 Další požadavky fedRAMP a pokyny:
    Pokyny: Testování funkcí odhlášení (OTG-SESS-006) Testování funkcí odhlášení

    		 Poskytněte možnost odhlášení pro všechny relace a zobrazte explicitní zprávu odhlášení.

    Všechna webová rozhraní Microsoft Entra ID poskytují možnost odhlášení pro relace komunikace iniciované uživatelem. Když jsou aplikace SAML integrované s Microsoft Entra ID, implementujte jednotné odhlášení.

    Možnost odhlášení

  • Když uživatel vybere možnost Odhlásit se všude, všechny aktuálně vydané tokeny se odvolají.

    Zobrazit zprávu
    Microsoft Entra ID automaticky zobrazí zprávu po odhlášení iniciované uživatelem.

    Snímek obrazovky znázorňující zprávu řízení přístupu

    Zdroje informací

  • Zobrazení a hledání nedávné přihlašovací aktivity na stránce Moje přihlášení
  • Protokol SAML pro jednotné odhlašování
    		•
    AC-20 Použití externích informačních systémů
    Organizace stanoví podmínky a ujednání v souladu se vztahy důvěryhodnosti vytvořené s jinými organizacemi, které vlastní, provozují a/nebo udržují externí informační systémy a umožňují oprávněným jednotlivcům:
    (a.) Přístup k informačnímu systému z externích informačních systémů; a
    (b.) Zpracování, ukládání nebo přenos informací řízených organizací pomocí externích informačních systémů

    AC-20(1)
    Organizace umožňuje oprávněným jednotlivcům používat externí informační systém pro přístup k informačnímu systému nebo ke zpracování, ukládání nebo přenosu informací řízených organizací pouze v případě, že organizace:
    (a.) Ověřuje implementaci požadovaných bezpečnostních prvků v externím systému, jak je uvedeno v zásadách zabezpečení informací a plánu zabezpečení organizace; nebo
    (b.) Uchovává schválené připojení informačního systému nebo smlouvy o zpracování s organizační entitou, která je hostitelem externího informačního systému.

    		 Vytvořte podmínky, které oprávněným jednotlivcům umožňují přístup k prostředkům nasazeným zákazníkem z externích informačních systémů, jako jsou nespravovaná zařízení a externí sítě.

    Vyžaduje přijetí podmínek použití pro oprávněné uživatele, kteří přistupují k prostředkům z externích systémů. Implementujte zásady podmíněného přístupu, které omezují přístup z externích systémů. Zásady podmíněného přístupu můžou být integrované s Defenderem for Cloud Apps, aby poskytovaly ovládací prvky pro cloudové a místní aplikace z externích systémů. Správa mobilních aplikací v Intune může chránit data organizace na úrovni aplikace, včetně vlastních aplikací a aplikací z obchodu, ze spravovaných zařízení, která komunikují s externími systémy. Příkladem je přístup ke cloudovým službám. Správu aplikací můžete použít na zařízeních vlastněných organizací a osobních zařízeních.

    Podmínky a ujednání

  • Podmínky použití: Microsoft Entra ID

    Podmíněný přístup

  • Vyžadovat, aby zařízení bylo označeno jako vyhovující
  • Podmínky v zásadách podmíněného přístupu: Stav zařízení (Preview)
  • Ochrana pomocí Řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps
  • Podmínka umístění v podmíněném přístupu Microsoft Entra

    MDM

  • Co je Microsoft Intune?
  • Co je Defender for Cloud Apps?
  • Co je správa aplikací v Microsoft Intune?

    Prostředek

  • Integrace místních aplikací s Defenderem for Cloud Apps
    		•

    Další kroky