Konfigurieren von CMMC Level 1-Kontrollen
Microsoft Entra ID erfüllt identitätsbezogene Verfahrensanforderungen auf allen CMMC-Ebenen (Cybersecurity Maturity Model Certification). Um die Anforderungen in CMMC zu erfüllen, liegt es in der Verantwortung von Unternehmen, die für das bzw. im Auftrag des US-Verteidigungsministeriums (DoD) arbeiten, weitere Konfigurationen oder Prozesse abzuschließen. CMMC Level 1 umfasst drei Bereiche, die ein oder mehrere identitätsbezogene Verfahren abdecken:
- Zugriffssteuerung (Access Control, AC)
- Identifikation und Authentifizierung (IA)
- System- und Informationsintegrität (SI)
Weitere Informationen:
- CMMC-Website des DoD: Office of the Under Secretary of Defense for Acquisition & Sustainment – Cybersecurity Maturity Model Certification
- Microsoft Download Center: Microsoft Product Placemat für CMMC Level 3 (Vorschau)
Der Rest dieses Inhalts ist nach Bereich und zugeordneten Methoden gegliedert. Für jeden Bereich gibt es eine Tabelle mit Links zu Inhalten, die eine Schritt-für-Schritt-Anleitung für die Durchführung des Verfahrens bieten.
Bereich „Zugriffssteuerung“
In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.
| CMMC-Verfahrensanweisung und -Ziele | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| AC.L1-3.1.1 Verfahrensanweisung: Beschränken Sie den Zugriff auf Informationssysteme auf autorisierte Benutzer, Prozesse, die im Auftrag von autorisierten Benutzern durchgeführt werden, oder Geräte (einschließlich anderer Informationssysteme). Ziele: Ermitteln Sie, ob: [a.] autorisierte Benutzer identifiziert sind; [b.] Prozesse, die im Auftrag von autorisierten Benutzern durchgeführt werden, identifiziert sind; [c.] Geräte (und andere Systeme) identifiziert sind, die für das Herstellen einer Verbindung mit dem System autorisiert sind; [d.] der Systemzugriff auf autorisierte Benutzer beschränkt ist; [e.] der Systemzugriff auf Prozesse beschränkt ist, die im Auftrag von autorisierten Benutzern durchgeführt werden; und [f.] der Systemzugriff auf autorisierte Geräte (einschließlich anderer Systeme) beschränkt ist. |
Sie sind für das Einrichten von Microsoft Entra-Konten verantwortlich, die über externe HR-Systeme, lokale Active Directory-Instanzen oder direkt in der Cloud bereitgestellt werden. Sie konfigurieren bedingten Zugriff so, dass nur Zugriff von einem bekannten (registrierten/verwalteten) Gerät gewährt wird. Wenden Sie darüber hinaus das Konzept der geringsten Rechte an, wenn Sie Anwendungsberechtigungen erteilen. Verwenden Sie nach Möglichkeit die delegierte Berechtigung. Einrichten von Benutzern Einrichten von Geräten Konfigurieren der Anwendung Bedingter Zugriff |
| AC.L1-3.1.2 Verfahrensanweisung: Beschränken Sie den Zugriff auf Informationssysteme auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. Ziele: Ermitteln Sie, ob: [a.] die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen, definiert sind; und [b.] der Systemzugriff auf die für autorisierte Benutzer definierten Arten von Transaktionen und Funktionen beschränkt ist. |
Sie sind für das Konfigurieren von Zugriffssteuerungen wie rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC) mit integrierten oder benutzerdefinierten Rollen verantwortlich. Verwenden Sie Gruppen, denen Rollen zugewiesen werden können, um Rollenzuweisungen für mehrere Benutzer zu verwalten, die denselben Zugriff benötigen. Konfigurieren Sie attributbasierte Zugriffssteuerungen (Attribute-Based Access Controls, ABAC) mit standardmäßigen oder benutzerdefinierten Sicherheitsattributen. Ziel ist es, den Zugriff auf mit Microsoft Entra ID geschützte Ressourcen präzise zu steuern. Einrichten von RBAC Einrichten der attributbasierten Zugriffssteuerung Konfigurieren von Gruppen für die Rollenzuweisung |
| AC.L1-3.1.20 Verfahrensanweisung: Überprüfen und steuern/beschränken Sie Verbindungen mit externen Informationssystemen sowie die Verwendung dieser Systeme. Ziele: Ermitteln Sie, ob: [a.] Verbindungen mit externen Systemen identifiziert sind; [b.] die Verwendung externer Systeme identifiziert ist; [c.] Verbindungen mit externen Systemen überprüft werden; [d.] die Verwendung externer Systeme überprüft wird; [e.] Verbindungen mit externen Systemen gesteuert und/oder beschränkt werden; und [f.] die Verwendung externer Systeme gesteuert und/oder beschränkt wird. |
Sie sind dafür verantwortlich, Richtlinien für bedingten Zugriff mithilfe von Gerätesteuerungen und/oder Netzwerkstandorten zu konfigurieren, um Verbindungen und die Verwendung externer Systeme zu steuern und/oder einzuschränken. Konfigurieren Sie Nutzungsbedingungen (Terms Of Use, TOU) für die erfasste Benutzerbestätigung der Bestimmungen für die Nutzung externer Systeme für den Zugriff. Einrichten des bedingten Zugriffs nach Bedarf Verwenden des bedingten Zugriffs zum Blockieren des Zugriffs Konfigurieren der Nutzungsbedingungen |
| AC.L1-3.1.22 Verfahrensanweisung: Kontrollieren Sie Informationen, die auf öffentlich zugänglichen Informationssystemen veröffentlicht oder verarbeitet wurden. Ziele: Ermitteln Sie, ob: [a.] Personen identifiziert sind, die Informationen auf öffentlich zugänglichen Systemen veröffentlichen oder verarbeiten dürfen; [b.] Verfahren identifiziert sind, um sicherzustellen, dass auf öffentlich zugänglichen Systemen keine Federal Contract Information (FCI) veröffentlicht oder verarbeitet werden; [c.] ein Überprüfungsprozess vor der Veröffentlichung von Inhalten auf öffentlich zugänglichen Systemen ausgeführt wird; und [d.] Inhalte auf öffentlich zugänglichen Systemen überprüft werden, um sicherzustellen, dass darin keine FCI enthalten sind. |
Sie sind dafür verantwortlich, Privileged Identity Management (PIM) zu konfigurieren, um den Zugriff auf Systeme zu verwalten, in denen veröffentlichte Informationen öffentlich zugänglich sind. Fordern Sie Genehmigungen mit Begründung vor der Rollenzuweisung in PIM an. Konfigurieren Sie Nutzungsbedingungen für Systeme mit öffentlich zugänglichen veröffentlichten Informationen hinsichtlich der erfassten Bestätigung der Bestimmungen für die Veröffentlichung öffentlich zugänglicher Informationen. Planen der PIM-Bereitstellung Konfigurieren der Nutzungsbedingungen |
Bereich „Identifikation und Authentifizierung (IA)“
In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.
| CMMC-Verfahrensanweisung und -Ziele | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| IA.L1-3.5.1 Verfahrensanweisung: Identifizieren Sie Benutzer des Informationssystems, Prozesse, die im Auftrag von Benutzern durchgeführt werden, oder Geräte. Ziele: Ermitteln Sie, ob: [a.] Systembenutzer identifiziert sind; [b.] Prozesse, die im Auftrag von Benutzern durchgeführt werden, identifiziert sind; und [c.] Geräte, die auf das System zugreifen, identifiziert sind. |
Microsoft Entra ID identifiziert eindeutig Benutzer, Prozesse (Dienstprinzipal/Workloadidentitäten) und Geräte über die ID-Eigenschaft für die jeweiligen Verzeichnisobjekte. Sie können Protokolldateien über die folgenden Links filtern, um die Bewertung zu erleichtern. Verwenden Sie die folgende Referenz, um Bewertungsziele zu erreichen. Filtern von Protokollen nach Benutzereigenschaften Filtern von Protokollen nach Diensteigenschaften Filtern von Protokollen nach Geräteeigenschaften |
| IA.L1-3.5.2 Verfahrensanweisung: Authentifizieren (oder überprüfen) Sie die Identitäten von Benutzern, Prozessen oder Geräten als Voraussetzung für den Zugriff auf Organisationsinformationssysteme. Ziele: Ermitteln Sie, ob: [a.] die Identität jedes Benutzers als Voraussetzung für den Systemzugriff authentifiziert oder überprüft wird; [b.] die Identität jedes Prozesses, der im Auftrag eines Benutzers durchgeführt wird, als Voraussetzung für den Systemzugriff authentifiziert oder überprüft wird; und [c.] die Identität jedes Geräts, das auf das System zugreift oder eine Verbindung mit dem System herstellt, als Voraussetzung für den Systemzugriff authentifiziert oder überprüft wird. |
Microsoft Entra ID authentifiziert oder überprüft eindeutig jeden Benutzer, jeden Prozess, der im Auftrag des Benutzers agiert, und jedes Gerät als Voraussetzung für den Systemzugriff. Verwenden Sie die folgende Referenz, um Bewertungsziele zu erreichen. Einrichten von Benutzerkonten Konfigurieren von Microsoft Entra ID, um die NIST-Authentifikator-Sicherheitsstufen zu erfüllen Einrichten von Dienstprinzipalkonten Einrichten von Gerätekonten |
Bereich „System- und Informationsintegrität (SI)“
In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.
| CMMC-Verfahrensanweisung | Leitfaden und Empfehlungen für Microsoft Entra |
|---|---|
| SI.L1-3.14.1: Identifizieren, melden und beheben Sie Fehler in Informationen und Informationssystemen zeitnah. SI.L1-3.14.2: Ergreifen Sie Maßnahmen zum Schutz vor schädlichem Code an geeigneten Stellen in Organisationsinformationssystemen. SI.L1-3.14.4: Aktualisieren Sie Mechanismen zum Schutz vor schädlichem Code, wenn neue Versionen verfügbar sind. SI.L1-3.14.5: Führen Sie regelmäßige Überprüfungen der Informationssysteme und Echtzeitüberprüfungen von Dateien aus externen Quellen durch, wenn Dateien heruntergeladen, geöffnet oder ausgeführt werden. |
Konsolidierte Anleitung für verwaltete Legacygeräte Konfigurieren Sie den bedingten Zugriff, um ein Microsoft Entra hybrid eingebundenes Gerät zu erfordern. Bei Geräten, die in eine lokale AD-Instanz eingebunden sind, wird angenommen, dass die Kontrolle über diese Geräte durch Verwaltungslösungen wie Configuration Manager oder Gruppenrichtlinien erzwungen wird. Da Microsoft Entra ID über keine Methode verfügt, anhand der festgestellt werden kann, ob eine dieser Methoden auf ein Gerät angewendet wurde, ist das Erforderlichmachen eines in Microsoft Entra eingebundenen Hybridgeräts ein relativ schwacher Mechanismus zum Anfordern eines verwalteten Geräts. Der Administrator ermittelt, ob die für Ihre lokalen in eine Domäne eingebundenen Geräte angewandten Methoden stark genug sind, um ein verwaltetes Gerät zu bilden, wenn das Gerät auch ein in Microsoft Entra eingebundenes Hybridgerät ist. Konsolidierte Anleitung für in der Cloud verwaltete Geräte (oder Geräte mit Co-Verwaltung) Konfigurieren Sie bedingten Zugriff, um festzulegen, dass das Markieren des Geräts als konform erforderlich ist. Dies ist die sicherste Form, ein verwaltetes Gerät anzufordern. Diese Option erfordert, dass das Gerät bei Microsoft Entra ID registriert ist und von Intune oder einem Drittanbietersystem für die Verwaltung mobiler Geräte (Mobile Device Management, MDM), das Windows 10-Geräte über die Microsoft Entra-Integration verwaltet, als konform gekennzeichnet wird. |