Konfigurace kontrolních mechanismů identifikace a ověřování tak, aby splňovaly úroveň vysokého dopadu FedRAMP s využitím Microsoft Entra ID
Identifikace a ověřování jsou klíčem k dosažení vysoké úrovně FedRAMP (Federal Risk and Authorization Management Program ).
Následující seznam ovládacích prvků a vylepšení ovládacích prvků v rodině identifikace a ověřování (IA) může vyžadovat konfiguraci ve vašem tenantovi Microsoft Entra.
| Rodina řízení | Popis |
|---|---|
| IA-2 | Identifikace a ověřování (uživatelé organizace) |
| IA-3 | Identifikace a ověřování zařízení |
| IA-4 | Správa identifikátorů |
| IA-5 | Správa authenticatoru |
| IA-6 | Zpětná vazba k ověřovacímu programu |
| IA-7 | Ověřování kryptografických modulů |
| IA-8 | Identifikace a ověřování (neorganizační uživatelé) |
Každý řádek v následující tabulce obsahuje podrobné pokyny, které vám pomůžou vyvinout reakci vaší organizace na všechny sdílené odpovědnosti za řízení nebo vylepšení řízení.
Konfigurace
| ID a popis ovládacího prvku FedRAMP | Microsoft Entra – pokyny a doporučení |
|---|---|
| Identifikace a ověřování uživatelů IA-2 Informační systém jednoznačně identifikuje a ověřuje uživatele organizace (nebo zpracovává jménem uživatelů organizace). |
Jedinečně identifikujte a ověřte uživatele nebo procesy, které fungují pro uživatele. Id Microsoft Entra jednoznačně identifikuje objekty uživatele a instančního objektu přímo. Microsoft Entra ID poskytuje více metod ověřování a můžete nakonfigurovat metody, které splňují úroveň záruky ověřování NIST (National Institute of Standards and Technology) (AAL) 3. Identifikátory Ověřování a vícefaktorové ověřování |
| IA-2(1) Informační systém implementuje vícefaktorové ověřování pro síťový přístup k privilegovaným účtům. IA-2(3) Informační systém implementuje vícefaktorové ověřování pro místní přístup k privilegovaným účtům. |
vícefaktorové ověřování pro veškerý přístup k privilegovaným účtům. Nakonfigurujte následující prvky pro kompletní řešení, abyste zajistili, že veškerý přístup k privilegovaným účtům vyžaduje vícefaktorové ověřování. Nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly vícefaktorové ověřování pro všechny uživatele. S požadavkem na aktivaci privileged Identity Management není aktivace účtu oprávnění bez přístupu k síti možná, takže místní přístup není nikdy privilegovaný. vícefaktorové ověřování a Privileged Identity Management |
| IA-2(2) Informační systém implementuje vícefaktorové ověřování pro síťový přístup k neprivilegovaným účtům. IA-2(4) Informační systém implementuje vícefaktorové ověřování pro místní přístup k neprivilegovaným účtům. |
Implementace vícefaktorového ověřování pro veškerý přístup k neprivilegovaným účtům Nakonfigurujte následující prvky jako celkové řešení, abyste zajistili, že veškerý přístup k neprivilegovaným účtům vyžaduje vícefaktorové ověřování. Nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly vícefaktorové ověřování pro všechny uživatele. Microsoft doporučuje k dosažení AAL3 použít vícefaktorový kryptografický ověřovací program (například klíče zabezpečení FIDO2, Windows Hello pro firmy (s hardwarovým čipem TPM) nebo čipovou kartu. Pokud je vaše organizace cloudová, doporučujeme používat klíče zabezpečení FIDO2 nebo Windows Hello pro firmy. Windows Hello pro firmy nebyla ověřena na požadované úrovni zabezpečení FIPS 140 a jako takové federální zákazníci by museli před přijetím jako AAL3 provést posouzení a hodnocení rizik. Další informace týkající se ověřování Windows Hello pro firmy FIPS 140 najdete v tématu Microsoft NIST AALs. Podívejte se na následující pokyny týkající se zásad MDM, které se mírně liší na základě metod ověřování. Čipová karta / Windows Hello pro firmy Pouze hybridní Pouze čipová karta Klíč zabezpečení FIDO2 Metody ověřování Další zdroje: |
| IA-2(5) Organizace vyžaduje, aby byli jednotlivci ověřeni pomocí individuálního ověřovacího objektu, když je použit ověřovací program skupiny. |
Pokud má přístup ke sdílenému nebo skupinovému účtu více uživatelů, je potřeba, aby se každý uživatel nejdřív ověřil pomocí individuálního ověřovacího objektu. Použijte individuální účet na uživatele. Pokud se vyžaduje sdílený účet, microsoft Entra ID povoluje vazbu více ověřovacích objektů k účtu, aby každý uživatel měl individuální ověřovací program. Zdroje informací |
| IA-2(8) Informační systém implementuje mechanismy ověřování odolné proti přehrání pro síťový přístup k privilegovaným účtům. |
Implementujte mechanismy ověřování odolné proti přehrání pro síťový přístup k privilegovaným účtům. Nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly vícefaktorové ověřování pro všechny uživatele. Všechny metody ověřování Microsoft Entra na úrovni ověřování 2 a 3 používají buď nece, nebo výzvy a jsou odolné vůči útokům přehrání. Reference |
| IA-2(11) Informační systém implementuje vícefaktorové ověřování pro vzdálený přístup k privilegovaným a neprivilegovaným účtům, takže jeden z faktorů poskytuje zařízení oddělené od systému, který získává přístup, a zařízení splňuje [FedRAMP Assignment: FIPS 140-2, NIAP Certification nebo NSA approval*]. *National Information Assurance Partnership (NIAP) Další požadavky a pokyny fedRAMP: Pokyny: PIV = samostatné zařízení. Informace o přihlašovacích údaji k odvozenému ověření osobní identity (PIV) najdete v pokynech nist SP 800-157. FIPS 140-2 znamená ověření pomocí ověřovacího programu kryptografického modulu (CMVP). |
Implementujte vícefaktorové ověřování Microsoft Entra pro vzdálený přístup k prostředkům nasazeným zákazníkem, aby jeden z faktorů poskytlo zařízení oddělené od systému, kde zařízení splňuje FIPS-140-2, certifikaci NIAP nebo schválení NSA. Přečtěte si pokyny pro IA-02(1-4). Metody ověřování Microsoft Entra, které je potřeba vzít v úvahu v AAL3, splňují samostatné požadavky na zařízení: Klíče zabezpečení FIDO2 Reference |
| **IA-2(12)* Informační systém přijímá a elektronicky ověřuje přihlašovací údaje pro ověření osobní identity (PIV). IA-2 (12) Další požadavky a pokyny fedRAMP: Pokyny: Uveďte common access card (CAC), tj. technickou implementaci PIV/FIPS 201/HSPD-12. |
Přijměte a ověřte přihlašovací údaje pro ověření osobní identity (PIV). Tento ovládací prvek se nedá použít, pokud zákazník nenasadí přihlašovací údaje PIV. Nakonfigurujte federované ověřování pomocí Active Directory Federation Services (AD FS) (AD FS) tak, aby přijímalo PIV (ověřování certifikátů) jako primární i vícefaktorové metody ověřování a při použití protokolu PIV vydává deklaraci identity vícefaktorového ověřování (MultipleAuthN). Nakonfigurujte federovanou doménu v Microsoft Entra ID nastavením federedIdpMfaBehavior na Zdroje informací |
| Identifikace a ověřování zařízení IA-3 Informační systém jednoznačně identifikuje a ověřuje [Přiřazení: specifické pro organizaci a/nebo typy zařízení] před vytvořením [Výběr (jeden nebo více): místní; vzdálené; síťové] připojení. |
Před navázáním připojení implementujte identifikaci zařízení a ověřování. Nakonfigurujte ID Microsoft Entra tak, aby identifikovalo a ověřilo zaregistrovaná zařízení Microsoft Entra, připojená k Microsoft Entra a hybridní zařízení připojená k Microsoft Entra. Zdroje informací |
| Správa identifikátorů IA-04 Organizace spravuje identifikátory informačního systému pro uživatele a zařízení pomocí: (a.) Příjem autorizace od [Přiřazení FedRAMP minimálně, ISSO (nebo podobné role v rámci organizace)] k přiřazení jednotlivce, skupiny, role nebo identifikátoru zařízení; (b.) Výběr identifikátoru, který identifikuje jednotlivce, skupinu, roli nebo zařízení; (c.) Přiřazení identifikátoru zamýšlené osobě, skupině, roli nebo zařízení; (d.) Zabránění opakovanému použití identifikátorů pro [přiřazení FedRAMP: nejméně dva (2) roky]; a (e.) Zakázání identifikátoru po [Přiřazení FedRAMP: třicet pět (35) dnů (viz požadavky a pokyny)] Další požadavky a pokyny fedRAMP pro IA-4e: Požadavek: Poskytovatel služeb definuje časové období nečinnosti identifikátorů zařízení. Pokyny: Informace o cloudech DoD najdete na webu doD pro konkrétní požadavky doD, které jsou výše uvedené a nad rámec FedRAMP. IA-4(4) Organizace spravuje jednotlivé identifikátory jedinečným identifikací jednotlivých osob jako [FedRAMP Assignment: contractors; foreign nationals]. |
Po 35 dnech nečinnosti zakažte identifikátory účtu a zakažte jejich opakované použití po dobu dvou let. Jednotlivé identifikátory můžete spravovat jedinečnou identifikací jednotlivých osob (například smluvních partnerů a cizích státních příslušníků). Přiřaďte a spravujte identifikátory a stav jednotlivých účtů v ID Microsoft Entra v souladu se stávajícími zásadami organizace definovanými v AC-02. Postupujte podle ac-02(3) a automaticky zakažte účty uživatelů a zařízení po 35 dnech nečinnosti. Zajistěte, aby zásady organizace udržovaly všechny účty, které zůstanou ve stavu zakázaného stavu nejméně dva roky. Po této době je můžete odebrat. Určení nečinnosti |
| Správa ověřování IA-5 Organizace spravuje ověřovací systémy informací pomocí: (a.) Ověření v rámci počáteční distribuce ověřovacího objektu, identity jednotlivce, skupiny, role nebo zařízení přijímajícího ověřovací objekt; (b.) Vytvoření počátečního ověřovacího obsahu pro ověřovací objekty definované organizací; (c.) Zajištění dostatečné síly ověřovacích mechanismů pro jejich zamýšlené použití; (d.) Stanovení a provádění správních postupů pro počáteční distribuci ověřovacích procesů, ztracených nebo poškozených ověřovacích procesů a odvolání ověřovacích procesů; (e.) Změna výchozího obsahu authenticátorů před instalací informačního systému; (f.) Stanovení minimálních a maximálních omezení životnosti a podmínky opakovaného použití pro ověřovací znaky; (g.) Změna/aktualizace ověřovacích prostředků [Přiřazení: časové období definované organizací podle typu ověřovacího objektu]. (h.) Ochrana ověřovacího obsahu před neoprávněným zveřejněním a úpravou; (i.) Vyžadování jednotlivců, aby podnikli a měli zařízení implementující specifická bezpečnostní opatření k ochraně ověřovacích mechanismů; a (j.) Změna ověřovacích prostředků pro účty skupin nebo rolí, když se členství na tyto účty změní. Další požadavky a pokyny pro FedRAMP pro IA-5: Požadavek: Ověřovací znaky musí být kompatibilní s NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL úrovně 3. Odkaz: https://pages.nist.gov/800-63-3 |
Konfigurace a správa ověřovacích systémů informací Microsoft Entra ID podporuje různé metody ověřování. Ke správě můžete použít stávající zásady organizace. Pokyny pro výběr ověřovacího programu v IA-02(1-4) Povolte uživatele v kombinované registraci pro samoobslužné resetování hesla a vícefaktorové ověřování Microsoft Entra a vyžadovat, aby uživatelé zaregistrovali minimálně dvě přijatelné metody vícefaktorového ověřování, aby usnadnili samoobslužnou nápravu. Ověřovací metody api můžete kdykoli odvolat ověřovacími metodami, které jsou nakonfigurované uživatelem. Síla ověřovacího objektu / ochrana obsahu ověřovacího objektu Metody ověřování a kombinovaná registrace Authenticator odvolá |
| IA-5(1) Informační systém pro ověřování pomocí hesla: (a.) Vynucuje minimální složitost hesla [Přiřazení: požadavky definované organizací pro citlivost písmen, počet znaků, kombinaci velkých písmen, malých písmen, číslic a speciálních znaků, včetně minimálních požadavků pro každý typ]; (b.) Při vytváření nových hesel vynucuje alespoň následující počet změněných znaků: [Přiřazení FedRAMP: nejméně padesát procent (50 %)]; (c.) Ukládá a přenáší pouze kryptograficky chráněná hesla; (d.) Vynucuje minimální a maximální omezení doby životnosti hesla [Přiřazení: čísla definovaná organizací pro minimum životnosti, maximum životnosti]; (e.)** Zakáže opakované použití hesla pro [Přiřazení FedRAMP: dvacet čtyři (24)] generací; (f.) Umožňuje použití dočasného hesla pro přihlášení systému s okamžitou změnou na trvalé heslo. IA-5 (1) a d Další požadavky a pokyny fedRAMP: Pokyny: Pokud zásady hesel vyhovují nist SP 800-63B Memorized Secret (oddíl 5.1.1) Pokyny, může být ovládací prvek považován za vyhovující. |
Implementujte požadavky na ověřování založené na heslech. Podle nist SP 800-63B oddíl 5.1.1: Udržujte seznam běžně používaných, očekávaných nebo ohrožených hesel. S ochranou hesel Microsoft Entra se výchozí globální seznamy zakázaných hesel automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Pokud chcete podporovat potřeby vaší firmy a zabezpečení, můžete definovat položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel. Důrazně doporučujeme strategie bez hesel. Tento ovládací prvek platí jenom pro ověřovací moduly hesel, takže odebrání hesel jako dostupného ověřovacího objektu tento ovládací prvek nevykreslí. Referenční dokumenty NIST Prostředek |
| IA-5(2) Informační systém pro ověřování na základě infrastruktury veřejných klíčů: (a.) Ověřuje certifikace vytvořením a ověřením cesty certifikace k přijatému ukotvení důvěryhodnosti, včetně kontroly informací o stavu certifikátu; (b.) Vynucuje autorizovaný přístup k odpovídajícímu privátnímu klíči; (c.) Mapuje ověřenou identitu na účet jednotlivce nebo skupiny; a (d.) Implementuje místní mezipaměť dat odvolání, která podporují zjišťování cest a ověřování během nemožnosti získat přístup k informacím o odvolání prostřednictvím sítě. |
Implementujte požadavky na ověřování na základě infrastruktury veřejných klíčů. Federujte ID Microsoft Entra prostřednictvím služby AD FS za účelem implementace ověřování založeného na infrastruktuře veřejných klíčů. Služba AD FS ve výchozím nastavení ověřuje certifikáty, místně ukládá data odvolání do mezipaměti a mapuje uživatele na ověřenou identitu ve službě Active Directory. Zdroje informací |
| IA-5(4) Organizace využívá automatizované nástroje k určení, jestli jsou ověřovací znaky hesel dostatečně silné, aby uspokojily [Přiřazení FedRAMP: složitost, jak je uvedeno v části A (IA-5) (1) Control Enhancement (H). IA-5(4) Další požadavky a pokyny fedRAMP: Pokyny: Pokud se nepoužívají automatizované mechanismy, které vynucují sílu ověřování hesel při vytváření, musí se automatizované mechanismy použít k auditování síly vytvořených ověřovacích mechanismů hesel. |
Používejte automatizované nástroje k ověření požadavků na sílu hesla. Microsoft Entra ID implementuje automatizované mechanismy, které při vytváření vynucují sílu ověřování hesel. Tento automatizovaný mechanismus je také možné rozšířit, aby se pro místní Active Directory vynucuje síla ověřování hesla. Revize 5 NIST 800-53 zrušila IA-04(4) a začlenila požadavek do IA-5(1). Zdroje informací |
| IA-5(6) Organizace chrání ověřovací objekty v souladu s kategorií zabezpečení informací, ke kterým použití ověřovacího objektu povoluje přístup. |
Chraňte ověřovací objekty definované na úrovni High Impact fedRAMP. Další informace o tom, jak Microsoft Entra ID chrání ověřovací objekty, naleznete v tématu Aspekty zabezpečení dat Microsoft Entra. |
| IA-05(7) Organizace zajišťuje, že nešifrované statické ověřovací objekty nejsou vložené v aplikacích nebo přístupové skripty nebo uložené na klíčích funkcí. |
Ujistěte se, že nešifrované statické ověřovací objekty (například heslo) nejsou vložené v aplikacích nebo přístupové skripty nebo uložené na klíčích funkcí. Implementujte spravované identity nebo instanční objekty (nakonfigurované pouze s certifikátem). Zdroje informací |
| IA-5(8) Organizace implementuje [FedRAMP Assignment: různé ověřovací znaky v různých systémech] ke správě rizika ohrožení kvůli tomu, že jednotlivci mají účty na více informačních systémech. |
Implementujte bezpečnostní opatření, když mají jednotlivci účty ve více informačních systémech. Implementujte jednotné přihlašování propojením všech aplikací s ID Microsoft Entra, na rozdíl od toho, aby jednotlivé účty byly v několika informačních systémech. |
| IA-5(11) Informační systém pro ověřování pomocí hardwarových tokenů využívá mechanismy, které vyhovují [přiřazení: požadavky na kvalitu tokenu definované organizací]. |
Vyžaduje požadavky na kvalitu hardwarového tokenu podle požadavků vysoké úrovně FedRAMP s vysokým dopadem. Vyžaduje použití hardwarových tokenů, které splňují protokol AAL3. Dosažení úrovní záruky authenticatoru NIST s platformou Microsoft Identity Platform |
| IA-5(13) Informační systém zakáže použití ověřovacích objektů uložených v mezipaměti po [Přiřazení: časové období definované organizací]. |
Vynucujte vypršení platnosti ověřovacích rutin uložených v mezipaměti. Ověřovací objekty uložené v mezipaměti se používají k ověření na místním počítači, pokud síť není k dispozici. Pokud chcete omezit používání ověřovacích prvků uložených v mezipaměti, nakonfigurujte zařízení s Windows tak, aby jejich používání zakázala. Pokud tato akce není možná nebo praktická, použijte následující kompenzační ovládací prvky: Nakonfigurujte řízení relací podmíněného přístupu pomocí omezení vynucených aplikací pro aplikace Office lications. Zdroje informací |
| Zpětná vazba ověřovacího programu IA-6 Informační systém zakrývá zpětnou vazbu ověřovacích informací během procesu ověřování, aby chránil informace před možným zneužitím nebo použitím neoprávněnými osobami. |
Zakrývají informace o zpětné vazbě ověřování během procesu ověřování. Ve výchozím nastavení microsoft Entra ID zakrývá všechny ověřovací názory. |
| Ověřování kryptografických modulů IA-7 Informační systém implementuje mechanismy ověřování do kryptografického modulu pro požadavky příslušných federálních zákonů, výkonných příkazů, direktiv, zásad, předpisů, standardů a pokynů pro takové ověřování. |
Implementujte mechanismy ověřování do kryptografického modulu, který splňuje příslušné federální zákony. Vysoká úroveň dopadu FedRAMP vyžaduje ověřovací program AAL3. Všechny ověřovací moduly podporované Microsoft Entra ID v AAL3 poskytují mechanismy pro ověření přístupu operátora k modulu podle potřeby. Například v nasazení Windows Hello pro firmy s hardwarovým čipem TPM nakonfigurujte úroveň autorizace vlastníka čipu TPM. Zdroje informací |
| Identifikace a ověřování IA-8 (uživatelé mimo organizaci) Informační systém jednoznačně identifikuje a ověřuje uživatele, kteří nejsou v organizaci (nebo procesy jménem uživatelů mimo organizaci). |
Informační systém jednoznačně identifikuje a ověřuje neorganizační uživatele (nebo procesy fungující pro neorganizační uživatele). Id Microsoft Entra jednoznačně identifikuje a ověřuje uživatele mimo organizaci, kteří jsou v tenantovi organizace nebo v externích adresářích pomocí protokolů schválených pro federální identitu, přihlašovací údaje a správu přístupu (FICAM). Zdroje informací |
| IA-8(1) Informační systém přijímá a elektronicky ověřuje přihlašovací údaje pro ověření osobní identity (PIV) od jiných federálních agentur. IA-8(4) Informační systém odpovídá profilům vystaveným nástrojem FICAM. |
Přijměte a ověřte přihlašovací údaje PIV vydané jinými federálními institucemi. Odpovídá profilům vydaným nástrojem FICAM. Nakonfigurujte ID Microsoft Entra tak, aby přijímalo přihlašovací údaje PIV prostřednictvím federace (OIDC, SAML) nebo místně prostřednictvím integrovaného ověřování systému Windows. Zdroje informací |
| IA-8(2) Informační systém přijímá pouze přihlašovací údaje schválené třetí stranou FICAM. |
Přijměte pouze přihlašovací údaje schválené ficam. Microsoft Entra ID podporuje ověřovací znaky v AALs NIST 1, 2 a 3. Omezte používání ověřovacích objektů v souladu s kategorií zabezpečení systému, ke které se přistupuje. Microsoft Entra ID podporuje širokou škálu metod ověřování. Zdroje informací |