Model vyspělosti Zero Trust CISA pro pilíř identity

Článek
12/17/2024

Jednotný zprostředkovatel identity (IdP) je pro efektivní správu přístupu zásadní; zajišťuje, aby uživatelé a entity měli správný přístup k prostředkům bez nadměrného oprávnění. Integrace řešení pro správu identit, přihlašovacích údajů a přístupu vytváří silné ověřování, přizpůsobenou autorizaci na základě kontextu a posouzení rizik identit.

Úřad pro řízení a rozpočet (OMB) Memorandum-22-09, vydané ve prospěch výkonného nařízení 14028: Zlepšení kyberbezpečnosti národa, vyžaduje, aby federální agentury pro své uživatele využívaly centralizované systémy správy identit. Tyto systémy se můžou integrovat do aplikací a běžných platforem a zajistit jednotný přístup ke správě identit. Tento požadavek je součástí strategie nulové důvěryhodnosti, která zvyšuje kybernetickou bezpečnost a ochranu osobních údajů v datech. Doporučujeme konsolidovat zprostředkovatele identity, úložiště identit a systémy správy identit tím, že jako IdP přijmete Microsoft Entra ID.

Další informace naleznete v sekci s názvem Splnění požadavků na identitu podle M-22-09 s Microsoft Entra ID.

Pomocí následujících odkazů přejděte na části příručky.

1 Identita

Tato část obsahuje pokyny a doporučení Microsoftu pro model CISA Zero Trust Maturity v pilíři identity. Agentura CISA (Cybersecurity & Infrastructure Security Agency) identifikuje identitu jako atribut nebo sadu atributů, která jednoznačně popisuje uživatele nebo entitu agentury, včetně entit, které nejsou zosobněny. Další informace naleznete v části 'Zabezpečení identity s využitím Zero Trust'.

1.1 Funkce: Ověřování

popis fáze CISA ZTMM	pokyny a doporučení Microsoftu
počáteční stav splatnosti Podnik ověřuje identitu pomocí vícefaktorového ověřování, které může obsahovat hesla jako jeden faktor a vyžaduje ověření několika atributů entity (např. jazykové nastavení nebo aktivita).	Microsoft Entra ID Vytvoření základu identity sjednocením poskytovatelů identity a umístěním Microsoft Entra ID do cesty každému požadavku na přístup. Zatímco identifikujete a migrujete aplikace do Microsoft Entra ID, implementujte zásady, které vyžadují integraci nových aplikací s Microsoft Entra ID. Tato akce zajišťuje konzistentní použití zásad zabezpečení, jako je vícefaktorové ověřování (MFA) a ověřování atributů entit, pro přístup k prostředkům organizace. V průběhu roku 2024–2025 Microsoft zavádí vynucení vícefaktorového ověřování pro portály pro správu. Microsoft doporučuje, aby účty používaly vícefaktorové ověřování. - Migrovat aplikace a ověřování do Microsoft Entra ID - Povinné ověřování Microsoft Entra MFA - Zabezpečení identity s nulovou důvěryhodností metody ověřování Microsoft Entra Povolit metody MFA s povoleným podnikovým ověřováním s nastavením zásad v Microsoft Entra. Povolte metody, které uživatelé vyberou nebo používají při přihlašování. - Spravovat metody ověřování - Přehled vícefaktorového ověřování Microsoft Entra Podmíněný přístup Microsoft Entra Vytvořit zásady podmíněného přístupu, které budou vyžadovat vícefaktorové ověřování pro všechny cloudové aplikace. Jakákoli metoda vícefaktorového ověřování splňuje požadavek "požadavek na MFA" v rámci podmíněného přístupu. Zahrňte ověření více atributů entity, jako je národní prostředí a aktivita. Použijte cílení aplikací a podmínky sítě. - Zapnout vícefaktorové ověřování (MFA) - cloudových aplikací, akcí a ověřování v podmíněném přístupu - síť v zásadách podmíněného přístupu Externí ID Microsoft Entra Vyžadovat MFA pro všechny uživatele, včetně externích hostů. Nakonfigurujte nastavení důvěry pro přístup mezi tenanty, aby se zlepšila spolupráce s partnery. Přístup mezi tenanty pro spolupráci B2B
pokročilého stavu vyspělosti Enterprise začne ověřovat veškerou identitu pomocí vícefaktorového ověřování a atributů odolných proti útokům phishing, včetně počáteční implementace MFA bez hesla prostřednictvím FIDO2 nebo PIV.	Microsoft Entra ID Přemístit aktuální aplikace tak, aby jako poskytovatele identity (IdP) používaly Microsoft Entra ID. Vyžadovat integraci s Microsoft Entra ID pro nové aplikace. Zahrnout aplikace využívající starší ověřovací protokoly s proxy aplikací Microsoft Entra. Migrace do cloudu a na spravované ověřování ze federovaných poskytovatelů identity s použitím fázovaného uvedení. Tyto akce zajišťují konzistentní použití vícefaktorového ověřování odolného proti útokům phishing pro přístup k podnikovým prostředkům. - Migrujte aplikace a ověřování do Microsoft Entra ID - do galerie aplikací Microsoft Entra - aplikace proxy Microsoft Entra k publikování místních aplikací - cloudové ověřování s fázovaným uvedením Podmíněný přístup Konfigurujte silné stránky ověřování podmíněného přístupu tak, aby vyžadovaly vícefaktorové ověřování odolné proti útokům phishing, včetně vícefaktorového ověřování bez hesla, jako jsou klíče pro rychlé ověření IDentity Online 2 (FIDO2) nebo ověřování pomocí certifikátů (CBA) s kartami ověření osobní identity (PIV). Silné ověřování Microsoft Entra Metody ověřování Microsoft Entra Implementujte zásady ověřování pomocí metod odolných proti útokům phishing, jako jsou klíče v aplikaci Microsoft Authenticator, Microsoft Entra CBA, Windows Hello pro firmy a klíče. Viz také klíče zabezpečení FIDO2. Pokud chcete převést uživatele z neodolného proti phishingu MFA, vylučte je ze slabších metod ověřování. - metody ověřování - Microsoft Entra CBA - Přihlášení bez hesla pomocí bezpečnostního klíče - Přístupové klíče v Authenticatoru - Windows Hello pro firmy - M-22-09 požadavky na vícefaktorové ověřování Microsoft Entra External ID Konfigurujte zásady přístupu mezi tenanty tak, aby důvěřovaly vícefaktorovému ověřování od partnerů. Povolte externím uživatelům, aby mohli používat metody ověřování odolné proti phishingu k přístupu k prostředkům. Přístup mezi tenanty pro B2B
optimálního stavu vyspělosti Enterprise nepřetržitě ověřuje identitu pomocí vícefaktorového ověřování odolného vůči phishingovým útokům, nikoli pouze při počátečním udělení přístupu.	Zásady podmíněného přístupu se průběžně vyhodnocují v rámci relace uživatele. Nakonfigurujte řízení relací tak, aby za určitých podmínek zvýšily požadovanou frekvenci přihlašování, například když se uživatel nebo přihlášení zjistí jako rizikový v Microsoft Entra ID Protection. Řízení relací průběžné vyhodnocování přístupu Povolit funkci CaE (Continuous Access Evaluation) pro kritické události a téměř v reálném čase nepřetržité ověřování přístupu. - Kontinuální hodnocení přístupu (CAE) - CAE pro Microsoft 365 - Rozhraní API s podporou CAE v aplikacích

1.2 Funkce: Úložiště identit

Popis etapy CISA ZTMM	pokyny a doporučení Microsoftu
Počáteční stav zralosti Enterprise má kombinaci vlastních spravovaných úložišť identit a hostovaných úložišť identit (např. v cloudu nebo v jiném podniku) s minimální integrací mezi úložišti (např. jednotné přihlašování).	Microsoft Entra ID Enterprises můžou mít aplikace integrované s několika úložišti identit nebo zprostředkovateli identity (IDP). Konsolidujte a přijměte Microsoft Entra ID jako podnikový zprostředkovatel identity. Naplánujte přechod na cloud a snížení závislostí místního úložiště identit. - Přesun identity a přístupu k Microsoft Entra ID - Migrace aplikací a ověřování do Microsoft Entra ID Inventarizace aplikací, uživatelů, skupin a zařízení. Mějte přesný počet databází identit. Zahrnout úložiště identit nebo poskytovatele identity, jako jsou Služby AD FS (Active Directory Federation Services) nebo poskytovatele identity třetích stran. Aby se atributy uživatelů, skupin a zařízení konzistentně aktualizovaly napříč platformami, synchronizujte identity mezi místní službou Active Directory Domain Services (AD DS) a ID Microsoft Entra. - Microsoft Entra Connect Sync - Microsoft Entra Cloud Sync - jednotné přihlašování (SSO) - migrace aplikací do Microsoft Entra ID - integrace Microsoft Entra s ověřovacími protokoly Microsoft Intune zařízení v aktuální doméně připojené k AD DS. Pokud chcete modernizovat správu zařízení, vyhněte se novým pracovním stanicím, které se připojují k doméně. Správa zařízení pomocí Microsoft Intune - cloudový přístup na prvním místě - zařízení připojena k hybridnímu prostředí - SSO k místním prostředkům s k nim připojenými zařízeními - Microsoft Intune
Pokročilý stav vyspělosti Enterprise začne bezpečně konsolidovat a integrovat některá samostatně spravovaná a hostovaná úložiště identit.	Microsoft Entra ID Podnik přijal Microsoft Entra ID jako úložiště identit a zprostředkovatele identity. Nové aplikace se integrují s Microsoft Entra ID. V případě migrace nejsou aktuální aplikace inventáře integrované s ID Microsoft Entra. Starší aplikace, které nepodporují moderní ověřování, můžou používat zabezpečený hybridní přístup (SHA) Microsoft Entra ID s proxy aplikací Microsoft Entra. Pokud chcete používat moderní ověřovací protokoly, nahradit, refaktorovat nebo znovu nakonfigurovat aplikace. - galerie aplikací Microsoft Entra - Migrace aplikací a ověřování do Microsoft Entra ID
optimálního stavu vyspělosti Enterprise bezpečně integruje úložiště identit napříč všemi partnery a prostředími podle potřeby.	migrace aplikace Microsoft Entra ID do Microsoft Entra ID je dokončena. Přístup k podnikovým prostředkům vyžaduje ověření pomocí Microsoft Entra ID. Microsoft Entra Externí ID Povolit zabezpečenou spolupráci s Externím ID. Nakonfigurujte synchronizaci mezi tenanty, abyste snížili administrativní zátěž IT. Poskytuje bezproblémové a automatizované uživatelské prostředí. - s Externím ID - synchronizace mezi tenanty v Microsoft Entra ID zřizování aplikací v Microsoft Entra Pro aplikace s úložišti identit nakonfigurujte zřizování aplikací pro správu identit a rolí. - zřizování aplikací - zřizování místních aplikací - Konfigurace aplikace pro zřizování řízenou API - proxy aplikací Microsoft Entra pro publikování místních aplikací příchozí zřizování Microsoft Entra HR Modernizace pomocí zřizování identit řízeného personálním oddělením. Vytvořte digitální identity založené na systému personálního oddělení, autoritativní zdroj pro nové digitální identity. Zřizování často začíná v této bodě. Pomocí Microsoft Entra můžete vytvářet a aktualizovat uživatele ve službě Active Directory nebo v Microsoft Entra ID. zřizování řízené HR Microsoft 365 pro velké organizace Využijte funkci víceklientské organizace v Microsoft Entra ID a Microsoft 365 k vytvoření skupiny tenantů a zjednodušení spolupráce mezi tenanty v rámci organizace. Organizace s více tenanty v Microsoft Entra ID a Microsoft 365 umožňují jednotné vyhledávání lidí, globální adresář (GAL) a vylepšené Microsoft Teams spolupráci ve více tenantech.možnosti - víceklientských organizací - víceklientských organizací v Microsoftu 365

1.3 Funkce: Posouzení rizik

popis fáze CISA ZTMM	pokyny a doporučení Microsoftu
počáteční stav zralosti Podnik určuje riziko identity pomocí ručních metod a statických pravidel pro zajištění přehlednosti.	Podniky můžou ručně zkontrolovat události zabezpečení a standardní hodnoty konfigurace. Microsoft Entra ID Použít protokoly Microsoft Entra k posouzení aspektů tenanta Microsoft Entra. Microsoft Entra ID má možnosti pro přístup k datům a sestavám protokolu aktivit pro různé scénáře. - stream protokolů aktivit pro integraci nástrojů - protokoly aktivit s rozhraním Microsoft Graph API - Integrace protokolů aktivit - aktivity v reálném čase se službou Sentinel - Protokoly aktivit a sestavy v Azure portálu - Export protokolů aktivit k úložišti a dotazům Konfigurace nastavení diagnostiky v Microsoft Entra ID pro integraci protokolů se službou Azure Monitor. Streamujte protokoly do centra událostí nebo archivujte protokoly v úložišti. Nastavení diagnostiky

popis fáze CISA ZTMM

pokyny a doporučení Microsoftu

počáteční stav zralosti

Podnik určuje riziko identity pomocí ručních metod a statických pravidel pro zajištění přehlednosti. 

Podniky můžou ručně zkontrolovat události zabezpečení a standardní hodnoty konfigurace.

Microsoft Entra ID
Použít protokoly Microsoft Entra k posouzení aspektů tenanta Microsoft Entra. Microsoft Entra ID má možnosti pro přístup k datům a sestavám protokolu aktivit pro různé scénáře.
- stream protokolů aktivit pro integraci nástrojů
- protokoly aktivit s rozhraním Microsoft Graph API
- Integrace protokolů aktivit
- aktivity v reálném čase se službou Sentinel
- Protokoly aktivit a sestavy v Azure portálu
- Export protokolů aktivit k úložišti a dotazům

Konfigurace nastavení diagnostiky v Microsoft Entra ID pro integraci protokolů se službou Azure Monitor. Streamujte protokoly do centra událostí nebo archivujte protokoly v úložišti. Nastavení diagnostiky

| pokročilý stav vyspělosti

Enterprise určuje riziko identity pomocí některých automatizovaných analýz a dynamických pravidel tak, aby informovala o rozhodnutích o přístupu a reakcích.  | Microsoft Entra ID Protection
Konfigurace zásad podmíněného přístupu Microsoft Entra založených na uživatelském riziku a riziku přihlášení. Nakonfigurujte zásady podmíněného přístupu s aktivitami reakce na základě posouzení dopadu na uživatele. Například vysoké riziko pro uživatele a přihlášení: zablokuje přístup nebo nakonfiguruje řízení relace frekvence přihlašování. Používejte silné metody ověřování, které vyžadují osobní identifikační kartu (PIV), nebo metody ověřování odolné vůči phishingu.
- zásady registrace vícefaktorového ověřování
-
- zabezpečení identit úloh
- podmíněného přístupu založeného na riziku

Microsoft Sentinel
upozornění microsoft Entra ID Protection se automaticky zobrazí v XDR v programu Microsoft Defender. Připojte Microsoft Defender XDR ke službě Microsoft Sentinel a získejte větší viditelnost, korelaci s daty, která nejsou součástí XDR, delší dobu uchovávání dat a přizpůsobitelnější automatizaci odpovědí.
- Defender XDR
- Connect Defender XDR s

Sentinelu |Optimální stav vyspělosti

Organizace určuje riziko identit v reálném čase na základě průběžné analýzy a dynamických pravidel, která zajišťují nepřetržitou ochranu.  | Podmíněného Přístupu
Nastavte řízení podmíněného přístupu pro cloudové aplikace. Chraňte zařízení pomocí programu Microsoft Defender for Endpoint a povolte Microsoft Defender pro Office 365, aby se chránila před hrozbami v e-mailu, odkazy (adresy URL), přílohami souborů a nástroji pro spolupráci.
- Monitorování přístupu k aplikacím pomocí Defender for Cloud Apps a Microsoft Entra ID
- Nasazení Defender for Endpoint
- Nasazení Defender for Office 365

Microsoft Purview Insider Risk Management
Konfigurace správy insiderských rizik pro detekci, prošetřování a reakci na škodlivé nebo náhodné aktivity. Pomocí zásad insiderských rizik můžete definovat typy rizik k identifikaci a detekci. V případě potřeby zareagujte na případy nebo je eskalujte na Microsoft Purview eDiscovery (Premium).
- microsoft Purview
- řízení rizik programu Insider
- Blokovat přístup k rizikům programu Insider

Microsoft Defender XDR
Microsoft Defender for Endpoint, Defender for Cloud Apps a Defender for Office detekují neobvyklou aktivitu a přispívají k rizikovým signálům na úrovni rizik uživatelů a přihlášení v microsoft Entra ID Protection. detekce rizik
|

1.4 Funkce: Správa přístupu

Popis etapy CISA ZTMM	pokyny a doporučení Microsoftu
Počáteční stav zralosti Enterprise autorizuje přístup, včetně žádostí o privilegovaný přístup, které zanikají po automatizované revizi.	Podmíněný přístup Microsoft Entra Nakonfigurovat podmíněný přístup tak, aby se zásady použily na používání aplikací. Podmíněný přístup přebírá signály z různých zdrojů k autorizaci přístupu. Podmíněný přístup Microsoft Entra entitlement management Nakonfigurujte přístupové balíčky ve správě nároků pro žádosti o přístup a schvalovací pracovní procesy do rolí a skupin, včetně privilegovaných rolí a skupin. Konfigurace automatizace kontroly přístupu; zahrnout vypršení platnosti a odebrání z rolí a skupin. - Správa nároků - Správa nároků a přístupových balíčků - Kontroly přístupu
pokročilý stav vyspělosti Podnik autorizuje přístup založený na potřebě a na relaci, včetně požadavků na privilegovaný přístup, který je přizpůsobený akcím a prostředkům.	podmíněný přístup konfigurovat podmíněný přístup pro autorizaci přístupu, včetně přístupu založeného na relaci. Cílové prostředky, role a privilegované role. Podmíněný přístup Microsoft Entra Privileged Identity Manager Konfigurovat PIM pro správu, řízení a monitorování přístupu k důležitým prostředkům, jako jsou vlastní role a skupiny. Přizpůsobte přístup ke konkrétním akcím a prostředkům. - Privileged Identity Management - vlastní role Azure v rámci PIM - PIM pro skupiny Microsoft Purview pro správu privilegovaného přístupu Konfigurace správy privilegovaného přístupu pro detailní řízení přístupu u úloh privilegovaných správců v Office 365. - Privileged Access Management - Začínáme s PAM
Optimální stav vyspělosti Podnik využívá automatizaci k autorizaci přístupu typu "just-in-time" a "just-enough", který je přizpůsoben individuálním akcím a individuálním potřebám zdrojů.	cs-CZ: Správa ID Microsoft Entra Nakonfigurovat přístupové balíčky Správy ID Microsoft Entra a automatizovat autorizaci přístupu just-in-time (JIT) a přístupu just-enough (JEA), přizpůsobeného jednotlivým akcím a potřebám prostředků.  - Správa nároků - Přístupové balíčky

1.5 Funkce: Viditelnost a analýzy

Popis fáze CISA ZTMM	pokyny a doporučení Microsoftu
počáteční stav vyspělosti Enterprise shromažďuje protokoly aktivit uživatelů a entit a provádí rutinní ruční analýzu a některé automatizované analýzy s omezenou mírou korelace mezi typy protokolů.	Microsoft Entra ID, Azure Monitor Archivovat protokoly Microsoft Entra do účtu úložiště nebo integrace se službou Azure Monitor. Usnadnit rutinní ruční analýzu pomocí knihovny dat Kusto a předdefinovaných sešitů identit s korelací typů protokolů. - monitorování a zdravotní stav Microsoft Entra - Archivace protokolů aktivit ve službě Azure Storage - Integrace protokolů s protokoly Azure Monitor - protokoly aktivit a Log Analytics - sešity Microsoft Entra
Pokročilý stav zralosti Enterprise provádí automatizovanou analýzu některých typů protokolů aktivit uživatelů a entit a rozšiřuje shromažďování, aby se vyřešily mezery v viditelnosti.	Microsoft Entra ID, Microsoft Defender XDR, Microsoft Sentinel Zaznamenávat protokoly aktivit identity z Microsoft Entra spolu s dalšími kategoriemi protokolů identit z diagnostických nastavení a Defender XDR do řešení pro správu událostí v oblasti zabezpečení (SIEM), jako je Sentinel. - Monitorování a zdravotního stavu Microsoft Entra a přihlašovací protokoly - v Microsoft Entra ID - Microsoft Sentinel - Připojení dat Microsoft Entra ke službě Sentinel - Defender for Identity - Připojení dat Defender XDR ke službě Sentinel - Defender for Cloud Apps
Optimální stav vyspělosti Enterprise udržuje komplexní přehled a situační povědomí napříč podniky prostřednictvím automatizované analýzy typů protokolů aktivit uživatelů, včetně analýz založených na chování.	Microsoft Entra ID Protection Povolit ochranu ID k monitorování vzorů chování uživatelů za účelem rizika.  Konfigurace detekce insiderských rizik a integrace s podmíněným přístupem - ochrana identit - zásady řízení rizik Sentinel, detekce a reakce na hrozby identit analytická pravidla Sentinel a analýza událostí téměř v reálném čase zpracovávají a analyzují protokoly Microsoft Entra. Povolte proaktivní identifikaci a reakci na události zabezpečení a rizika pomocí pokročilých analýz, pracovních postupů správy incidentů a integrace analýzy hrozeb. Zjednodušte šetření incidentů a zvyšte stav podnikového zabezpečení. - Microsoft Sentinel - pravidla analýzy detekce téměř v reálném čase - datový konektor pro analýzu hrozeb - chování uživatelů a entit (UEBA)

1.6 Funkce: Automatizace a orchestrace

Popis fáze CISA ZTMM	pokyny a doporučení Microsoftu
stav počáteční vyspělosti Enterprise ručně orchestruje privilegované a externí identity a automatizuje orchestraci neprivilegovaných uživatelů a entit spravovaných vlastním systémem.	Microsoft Entra Connect, Microsoft Entra Cloud Sync Pomocí místní služby Active Directory, automatizujte orchestraci neprivilegovaných uživatelů pomocí Entra Connect a/nebo Entra Cloud Sync. Privilegovaní uživatelé z místní služby Active Directory se nesynchronizují. Na cestě ke cloudové identitě orchestrujte neprivilegované uživatele pomocí microsoft Entra HR Provisioning. - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - Ochrana Microsoftu 365 před místními útoky - cloudovou HR aplikací pro zřizování uživatelů Microsoft Entra
pokročilý stav vyspělosti Enterprise ručně orchestruje privilegované identity uživatelů a automatizuje orchestraci všech identit s integrací napříč všemi prostředími.	zřizování aplikací Microsoft Entra Pomocí zřizování aplikací Microsoft Entra automatizujte orchestraci identit napříč prostředími, jako jsou poskytovatelé cloudu nebo aplikace SaaS (software jako služba). - zřizování aplikací v systému Microsoft Entra ID - System for Cross-Domain Identity Management (SCIM) synchronizace s Microsoft Entra ID Externí ID Microsoft Entra Nakonfigurujte synchronizaci mezi tenanty pro automatizaci orchestrace identit napříč partnerskými prostředími. - Externí ID - synchronizace mezi tenanty v Microsoft Entra ID - Konfigurace synchronizace mezi tenanty
optimální stav vyspělosti Firma automatizuje orchestraci všech identit s úplnou integrací napříč všemi prostředími na základě chování, zápisů a potřeb nasazení.	Microsoft Entra ID Governance V této fázi vyspělosti je orchestrace identit dokončena. Zobrazit rozšířený stav Správa nároků Microsoft Entra se implementuje za účelem orchestrace přístupu spravovaného uživatele, aplikace, role a skupiny. Dokončete integraci identit konfigurací privilegovaných identit uživatelů pomocí privileged Identity Management (PIM). Pomocí pracovních postupů životního cyklu můžete automatizovat přesun mezi scénáře joiner, mover a leaver. - Správa oprávnění - Informace o PIM - Pracovní postupy životního cyklu

1.7 Funkce: Zásady správného řízení

Popis fáze CISA ZTMM	pokyny a doporučení Microsoftu
Počáteční stav zralosti Podnik definuje a začíná implementovat zásady identity pro vynucení na úrovni celého podniku s minimální automatizací a ručními aktualizacemi.	Microsoft Entra ID pro nové integrace aplikací používat Microsoft Entra ID jako zprostředkovatele identity (IDP). Migrujte aktuální aplikace do Microsoft Entra ID. Nakonfigurujte zásady podmíněného přístupu Microsoft Entra tak, aby vynucovaly podnikové požadavky a aby sloužily jako bod vynucení zásad pro přístup k aplikacím a prostředkům. Implementujte ověřování a mapování rolí pro aktuální a budoucí aplikace pomocí řízení přístupu na základě role (RBAC), mapování deklarací identity a odchozího zřizování. - zásady správného řízení Microsoft Entra ID - podmíněného přístupu
Stav pokročilé zralosti Enterprise implementuje zásady identity pro vynucování na úrovni celého podniku prostřednictvím automatizace a pravidelně aktualizuje zásady.	Podmíněný přístup Používejte Podmíněný přístup pro vynucování zásad identit v rámci celého podniku. Projděte si a implementujte doporučení pro Microsoft Entra ID z projektu CISA Secure Cloud Business Applications (SCuBA)a pomocí svých rozhraní API automatizujte konfiguraci podmíněného přístupu. - nasazení podmíněného přístupu - typu prostředku CISA SCuBA a Microsoft Entra ID - condtionalAccessPolicy
Optimální stav vyspělosti Enterprise implementuje a plně automatizuje zásady identit na podnikové úrovni ve všech systémech pro všechny uživatele a entity s průběžným vynucováním a dynamickými aktualizacemi.	Microsoft Entra ID Vyžadovat přístup aplikace k Microsoft Entra ID, čímž se zajišťuje vyhodnocení podmíněného přístupu. Pro vynucování a ochranu identit v téměř reálném čase použijte microsoft Entra ID pro průběžné vyhodnocování přístupu (CAE). Tato akce umožňuje dynamickou adaptaci na rizika životního prostředí. Pokud chcete vynutit průběžné vyhodnocování, integrujte CAE do vlastních aplikací a rozhraní API s kódem. - Nepřetržité vyhodnocování přístupu rozhraní API - CAE v aplikacích - Microsoft Entra ID Protection Globální zabezpečený přístup Konfigurace vynucení dodržování předpisů sítě ke snížení rizika krádeže tokenů a přehrání útoků. Vynucení funguje se službami, které podporují CAE. Aplikace odmítne odcizené přístupové tokeny, přehraje se mimo síť kompatibilní s tenantem téměř v reálném čase. - Globální zabezpečený přístup - Microsoft Entra Internet Access - kontrola shody sítě s podmíněným přístupem

Další kroky

Nakonfigurujte služby Microsoft Cloud Services pro model vyspělosti nulové důvěryhodnosti CISA.

Sdílet prostřednictvím