Sdílet prostřednictvím


Splnění požadavků na autorizaci memoria 22-09

Tato série článků obsahuje pokyny k použití Microsoft Entra ID jako centralizovaného systému správy identit při implementaci nulová důvěra (Zero Trust) principů. Pokyny a vedení jsou založeny na Úřadu pro správu a rozpočet Spojených států (OMB) Memorandumu M-22-09 pro vedoucí výkonných oddělení a agentur.

Požadavky na memo jsou typy vynucení v zásadách vícefaktorového ověřování a ovládací prvky pro zařízení, role, atributy a správu privilegovaného přístupu.

Ovládací prvky založené na zařízeních

Požadavek na dokument 22-09 je alespoň jeden signál založený na zařízení pro rozhodnutí o autorizaci pro přístup k systému nebo aplikaci. Vynucujte požadavek pomocí podmíněného přístupu. Během autorizace použijte několik signálů zařízení. Informace o signálu a požadavku na načtení signálu najdete v následující tabulce.

Signál Načtení signálu
Zařízení je spravované Integrace s Intune nebo jiným řešením správy mobilních zařízení (MDM) podporující integraci
Hybridní připojení k Microsoft Entra Služba Active Directory spravuje zařízení a kvalifikuje se.
Zařízení vyhovuje předpisům Integrace s Intune nebo jiným řešením MDM podporujícím integraci Přečtěte si článek Vytvoření zásad dodržování předpisů v Microsoft Intune.
Signály hrozeb Microsoft Defender for Endpoint a další nástroje detekce a reakce u koncových bodů (EDR) mají integrace Microsoft Entra ID a Intune, které odesílají signály hrozeb pro odepření přístupu. Signály hrozeb podporují stavový signál vyhovující předpisům.
Zásady přístupu mezi tenanty (Public Preview) Důvěřujte signálům zařízení ze zařízení v jiných organizacích.

Ovládací prvky založené na rolích

Pomocí řízení přístupu na základě role (RBAC) vynucujte autorizace prostřednictvím přiřazení rolí v určitém oboru. Například přiřaďte přístup pomocí funkcí správy nároků, včetně přístupových balíčků a kontrol přístupu. Správa autorizací pomocí samoobslužných požadavků a použití automatizace ke správě životního cyklu Například automaticky ukončit přístup na základě kritérií.

Další informace:

Ovládací prvky založené na atributech

Řízení přístupu na základě atributů (ABAC) používá metadata přiřazená uživateli nebo prostředku k povolení nebo odepření přístupu během ověřování. V následujících částech najdete informace o vytváření autorizací pomocí vynucení ABAC pro data a prostředky prostřednictvím ověřování.

Atributy přiřazené uživatelům

K vytváření autorizací uživatelů použijte atributy přiřazené uživatelům uloženým v Microsoft Entra ID. Uživatelé se automaticky přiřazují k dynamickým skupinám členství na základě sady pravidel, kterou definujete při vytváření skupiny. Pravidla přidávají nebo odebírají uživatele ze skupiny na základě vyhodnocení pravidel pro uživatele a jejich atributy. Doporučujeme udržovat atributy a nenastavovat statické atributy v den vytváření.

Další informace: Vytvoření nebo aktualizace dynamické skupiny v Microsoft Entra ID

Atributy přiřazené k datům

S ID Microsoft Entra můžete integrovat autorizaci k datům. Informace o integraci autorizace najdete v následujících částech. Ověřování můžete nakonfigurovat v zásadách podmíněného přístupu: omezení akcí, které uživatelé provádějí v aplikaci nebo v datech. Tyto zásady ověřování se pak mapují ve zdroji dat.

Zdroje dat můžou být systém Microsoft Office soubory, jako jsou wordové, excelové nebo sharepointové weby mapované na ověřování. Použijte ověřování přiřazené k datům v aplikacích. Tento přístup vyžaduje integraci s kódem aplikace a pro vývojáře, aby mohli tuto funkci přijmout. Integrace ověřování s Microsoft Defenderem pro Cloud Apps slouží k řízení akcí provedených s daty prostřednictvím ovládacích prvků relace.

Zkombinujte dynamické skupiny členství s kontextem ověřování, abyste mohli řídit mapování přístupu uživatelů mezi daty a atributy uživatele.

Další informace:

Atributy přiřazené k prostředkům

Azure zahrnuje řízení přístupu na základě atributů (Azure ABAC) pro úložiště. Přiřaďte značky metadat k datům uloženým v účtu služby Azure Blob Storage. Přiřaďte metadata uživatelům pomocí přiřazení rolí k udělení přístupu.

Další informace: Co je řízení přístupu na základě atributů Azure?

Správa privilegovaného přístupu

Poznámka cituje neefektivitu používání nástrojů pro správu privilegovaného přístupu s jednofaktorovými dočasnými přihlašovacími údaji pro přístup k systémům. Mezi tyto technologie patří trezory hesel, které přijímají vícefaktorové přihlašování pro správce. Tyto nástroje generují heslo pro alternativní účet pro přístup k systému. K přístupu k systému dochází s jedním faktorem.

Nástroje Microsoftu implementují Privileged Identity Management (PIM) pro privilegované systémy s Id Microsoft Entra jako centrální systém správy identit. Vynucujte vícefaktorové ověřování pro většinu privilegovaných systémů, které jsou aplikace, prvky infrastruktury nebo zařízení.

PiM použijte pro privilegovanou roli, když je implementovaná s identitami Microsoft Entra. Identifikujte privilegované systémy, které vyžadují ochranu, aby se zabránilo laterálnímu pohybu.

Další informace:

Další kroky