Configuración de controles de acceso de identidad para cumplir el nivel de impacto FedRAMP High
El control del acceso es una parte importante para conseguir que un nivel de impacto alto de Federal Risk and Authorization Management Program (FedRAMP) funcione.
La siguiente lista de controles y mejoras de control de la familia de control de acceso (AC) puede requerir la configuración del inquilino de Microsoft Entra.
| Familia de controles | Descripción |
|---|---|
| AC-2 | Administración de cuentas |
| AC-6 | Privilegio mínimo |
| AC-7 | Intentos de inicio de sesión incorrectos |
| AC-8 | Notificación de uso del sistema |
| AC-10 | Control de sesiones simultáneas |
| AC-11 | Bloqueo de sesión |
| AC-12 | Finalización de la sesión |
| AC-20 | Uso de sistemas de información externos |
Cada fila de la siguiente tabla proporciona instrucciones prescriptivas para ayudarle a desarrollar la respuesta de la organización a las responsabilidades compartidas en relación con el control o la mejora del control.
Configuraciones
| Id. de control y descripción de FedRAMP | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| AC-2: ADMINISTRACIÓN DE CUENTAS La organización (b.) Asigna administradores de cuentas para las cuentas del sistema de información; (c.) Establece condiciones para la pertenencia a grupos y roles; (d.) Especifica los usuarios autorizados del sistema de información, la pertenencia a grupos y roles, las autorizaciones de acceso (es decir, los privilegios) y otros atributos (según sea necesario) para cada cuenta; (e.) Requiere aprobaciones por parte del [Asignación: personal o roles definidos por la organización] para las solicitudes de creación de cuentas del sistema de información; (f.) Crea, habilita, modifica, deshabilita y quita las cuentas del sistema de información de acuerdo con [Asignación: condiciones o procedimientos definidos por la organización]; (g.) Supervisa el uso de cuentas del sistema de información; (h.) Notifica a los administradores de cuentas: (i.) Autoriza el acceso al sistema de información en función de: (j.) Revisa el cumplimiento de los requisitos de administración de cuentas [Asignación de FedRAMP: mensualmente para el acceso con privilegios, cada seis (6) meses para el acceso sin privilegios]; y (k.) Establece un proceso para volver a emitir las credenciales de cuentas de grupos o compartidas (si se implementaron) cuando se quitan usuarios del grupo. |
Implemente la administración del ciclo de vida de las cuentas controladas por el cliente. Supervise el uso de las cuentas y notifique a los administradores de cuentas los eventos del ciclo de vida de las cuentas. Examine las cuentas para ver si cumplen los requisitos de administración de cuentas cada mes para el acceso con privilegios y cada seis meses para el acceso sin privilegios. Use Microsoft Entra ID para aprovisionar cuentas de sistemas de RR. HH. externos, Active Directory local o directamente en la nube. Todas las operaciones del ciclo de vida de las cuentas se auditan dentro de los registros de auditoría de Microsoft Entra. Puede recopilar y analizar los registros mediante una solución de Administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Como alternativa, puede usar Azure Event Hubs para integrar los registros con soluciones SIEM de terceros para habilitar la supervisión y la notificación. Use la administración de derechos de Microsoft Entra con revisiones de acceso para garantizar el estado de cumplimiento de las cuentas. Aprovisionamiento de cuentas Supervisión de las cuentas Revisión de las cuentas Recursos
|
| AC-2(1) La organización emplea mecanismos automatizados para admitir la administración de cuentas del sistema de información. |
Emplear mecanismos automatizados para respaldar la administración de cuentas controladas por el cliente. Configure el aprovisionamiento automatizado de cuentas controladas por el cliente desde sistemas de RR. HH. externos o Active Directory local. En el caso de las aplicaciones que admiten aprovisionamiento, configure Microsoft Entra ID para crear automáticamente identidades de usuario y roles en aplicaciones en la nube de software como solución (SaaS) a las que los usuarios necesiten acceso. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian. Para facilitar la supervisión del uso de las cuentas, puede transmitir registros de Microsoft Entra ID Protection, que muestran usuarios, inicios de sesión y detecciones de riesgo, y registros de auditoría directamente a Microsoft Sentinel o Event Hubs. Aprovisionar . Supervisión y auditorías |
| AC-2(2) El sistema de información automáticamente [Selección de FedRAMP: deshabilita] las cuentas temporales y de emergencia [Asignación de FedRAMP: 24 horas tras el último uso]. AC-02(3) AC-2 (3) Requisitos y guía adicionales de FedRAMP: |
Emplear mecanismos automatizados para respaldar la eliminación o la deshabilitación automáticas de cuentas temporales y de emergencia después de 24 horas desde el último uso y todas las cuentas controladas por el cliente después de 35 días de inactividad. Implemente la automatización de administración de cuentas con Microsoft Graph y Microsoft Graph PowerShell. Use Microsoft Graph para supervisar la actividad de inicio de sesión y Microsoft Graph PowerShell para realizar acciones en las cuentas en el período de tiempo necesario. Determinación de la inactividad Eliminación o deshabilitación de cuentas Trabajar con dispositivos en Microsoft Graph Consulte la documentación de PowerShell en Microsoft Graph |
| AC-2(4) El sistema de información audita automáticamente las acciones de creación, modificación, habilitación, deshabilitación y eliminación de cuentas, y notifica al [Asignación de FedRAMP: propietario del sistema de la organización o del proveedor de servicios]. |
Implementar un sistema de auditoría y notificación automatizado para el ciclo de vida de administración de las cuentas controladas por el cliente. Todas las operaciones de ciclo de vida de la cuenta, como la creación, modificación, habilitación, deshabilitación y eliminación de cuentas, se auditan dentro de los registros de auditoría de Azure. Puede transmitir los registros directamente a Microsoft Sentinel o Event Hubs para ayudar con la notificación. Auditoría Notification |
| AC-2(5) La organización requiere que los usuarios cierren sesión cuando [Asignación de FedRAMP: se prevé que la inactividad supere los quince (15) minutos]. AC-2 (5) Requisitos y guía adicionales de FedRAMP: |
Implementar el cierre de sesión del dispositivo después de un período de inactividad de 15 minutos. Implemente el bloqueo de dispositivos mediante una directiva de acceso condicional que restrinja el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar el bloqueo del dispositivo en el nivel de sistema operativo con soluciones de administración de dispositivos móviles (MDM), como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para obligar a los usuarios a volver a autenticarse. Acceso condicional Directiva de MDM |
| AC-2(7) La organización: |
Administre y supervise las asignaciones de roles con privilegios, para lo que debe seguir un esquema de acceso basado en roles para las cuentas controladas por el cliente. Deshabilite o revoque el acceso con privilegios en las cuentas cuando ya no sea adecuado. Implemente Microsoft Entra Privileged Identity Management con revisiones de acceso para roles con privilegios en Microsoft Entra ID para supervisar las asignaciones de roles y quitar asignaciones de roles cuando ya no sea adecuado. Puede transmitir los registros de auditoría directamente a Microsoft Sentinel o Event Hubs para ayudar con la supervisión. Administrar Supervisión |
| AC-2(11) El sistema de información exige [Asignación: condiciones de uso o circunstancias definidas por la organización] para [Asignación: cuentas del sistema de información definidas por la organización]. |
Aplicar el uso de cuentas controladas por el cliente para cumplir las condiciones o las circunstancias definidas por el cliente. Cree directivas de acceso condicional para aplicar decisiones de control de acceso entre usuarios y dispositivos. Acceso condicional |
| AC-2(12) La organización: AC-2 (12) (a) y AC-2 (12) (b) Requisitos y guía adicionales de FedRAMP: |
Supervisar y notificar cuentas controladas por el cliente con acceso con privilegios en casos de uso atípicos. Para obtener ayuda con la supervisión del uso atípico, puede transmitir registros de Protección de id. de Microsoft Entra, que muestran usuarios, inicios de sesión y detecciones de riesgo, y registros de auditoría, que facilitan la correlación con asignación de privilegios, directamente a una solución SIEM, como Microsoft Sentinel. También puede usar Event Hubs para integrar registros con soluciones SIEM de terceros. ID Protection Supervisión de las cuentas |
| AC-2(13) La organización deshabilita las cuentas de usuarios que plantean un riesgo importante en [Asignación de FedRAMP: una (1) hora] tras detectar el riesgo. |
Deshabilitar cuentas controladas por el cliente de usuarios que suponen un riesgo importante en un plazo de 1 hora. En Microsoft Entra ID Protection, configure y habilite una directiva de riesgo de usuario con el umbral establecido en Alto. Cree directivas de acceso condicional para bloquear el acceso de usuarios e inicios de sesión de riesgo. Configure directivas de riesgo para permitir la autocorrección de los usuarios y desbloquear los intentos de inicio de sesión posteriores. ID Protection Acceso condicional |
| AC-6(7) La organización: |
Revise y valide todos los usuarios con acceso con privilegios todos los años. Asegúrese de que los privilegios se reasignan (o se quitan si fuera necesario) para alinearse con los requisitos empresariales y de las misiones de las organizaciones. Use la administración de derechos de Microsoft Entra con revisiones de acceso para usuarios con privilegios a fin de comprobar si se requiere acceso con privilegios. Revisiones de acceso |
| AC-7 Intentos de inicio de sesión correctos La organización: |
Aplique un límite de no más de tres intentos de inicio de sesión con errores consecutivos en los recursos implementados por el cliente en un período de 15 minutos. Bloquee la cuenta durante un mínimo de tres horas, o hasta que la desbloquee un administrador. Habilite la configuración personalizada del bloqueo inteligente. Configure el umbral y la duración del bloqueo en segundos para implementar estos requisitos. Bloqueo inteligente |
| AC-8 Notificación de uso del sistema El sistema de información: (b.) Mantiene el banner o mensaje de notificación en la pantalla hasta que el usuario acepta las condiciones de uso y toma medidas explícitas para iniciar sesión o seguir accediendo al sistema de información; y (c.) Para sistemas accesibles públicamente: AC-8 Requisitos y guía adicionales de FedRAMP: |
Mostrar y requerir la confirmación por parte del usuario de los avisos de privacidad y seguridad antes de conceder acceso a los sistemas de información. Con Microsoft Entra ID, puede entregar mensajes de notificación o emergentes para todas las aplicaciones que lo necesiten y registrar la confirmación antes de conceder acceso. Puede dirigir de forma granular estas directivas de condiciones de uso a usuarios específicos (miembro o invitado). También puede personalizarlas por aplicación a través de directivas de acceso condicional. Términos de uso |
| Control de sesiones simultáneas de AC-10 El sistema de información limita el número de sesiones simultáneas para cada [Asignación: cuenta definida por la organización o tipo de cuenta] a [Asignación de FedRAMP: tres (3) sesiones para el acceso con privilegios y dos (2) sesiones para el acceso sin privilegios]. |
Limitar el número de sesiones simultáneas a tres para el acceso con privilegios y dos para el acceso sin privilegios. En la actualidad, los usuarios se conectan desde varios dispositivos, a veces simultáneamente. La limitación de sesiones simultáneas conduce a una experiencia de usuario degradada y proporciona un valor de seguridad limitado. Un enfoque mejor para abordar la intención detrás de este control es adoptar una posición de seguridad de confianza cero. Las condiciones se validan explícitamente antes de crear una sesión y se validan continuamente a lo largo de la vida de una sesión. Además, use los siguientes controles de compensación. Use directivas de acceso condicional para restringir el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar restricciones de inicio de sesión de usuario en el nivel de sistema operativo con soluciones MDM, como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas. Use Privileged Identity Management para restringir y controlar aún más las cuentas con privilegios. Configure el bloqueo de cuenta inteligente para los intentos de inicio de sesión no válidos. Guía de implementación Confianza cero Acceso condicional Directivas de dispositivo Recursos Consulte el punto AC-12 para obtener más instrucciones de reevaluación de sesión y mitigación de riesgos. |
| AC-11 Bloqueo de sesiones El sistema de información: (a) Impide el acceso adicional al sistema al iniciar un bloqueo de sesión después de [Asignación de FedRAMP: quince (15) minutos] de inactividad o al recibir una solicitud de un usuario; Y (b) Mantiene el bloqueo hasta que el usuario restablece el acceso mediante procedimientos establecidos de identificación y autenticación. AC-11(1) |
Implemente un bloqueo de sesión tras un período de inactividad de 15 minutos o cuando se reciba una solicitud de un usuario. Mantenga el bloqueo de sesión hasta que el usuario vuelva a autenticarse. Oculte la información visible previamente cuando se inicie un bloqueo de sesión. Implemente el bloqueo del dispositivo mediante una directiva de acceso condicional para restringir el acceso a los dispositivos compatibles. Configure opciones de directiva en el dispositivo para aplicar el bloqueo del dispositivo en el nivel de sistema operativo con soluciones MDM, como Intune. Endpoint Manager o los objetos de directiva de grupo también se pueden considerar en las implementaciones híbridas. En el caso de los dispositivos no administrados, configure la frecuencia de inicio de sesión para obligar a los usuarios a volver a autenticarse. Acceso condicional Directiva de MDM |
| Finalización de la sesión AC-12 El sistema de información finaliza automáticamente una sesión de usuario después de [Asignación: eventos desencadenadores o condiciones que defina la organización y requieran la desconexión de la sesión]. |
Finalizar automáticamente las sesiones de usuario cuando se producen condiciones definidas por la organización o eventos de desencadenador. Implemente la reevaluación automática de sesiones de usuario con características de Microsoft Entra, como el Acceso condicional basado en riesgo y la evaluación continua de acceso. Puede implementar las condiciones de inactividad en el nivel de dispositivo, como se describe en AC-11. Recursos |
| AC-12(1) El sistema de información: (a.)Ofrece una funcionalidad de cierre de sesiones de comunicaciones iniciadas por el usuario cada vez que se usa la autenticación para acceder a [Asignación: los recursos de información definidos por la organización]; y (b.) Muestra un mensaje de cierre de sesión explícito a los usuarios en el que se informa de la finalización confiable de sesiones de comunicaciones autenticadas. AC-8 Requisitos y guía adicionales de FedRAMP: |
Proporcionar una funcionalidad de cierre de sesión para todas las sesiones y mostrar un mensaje de cierre de sesión explícito. Todas las interfaces web expuestas de Microsoft Entra ID proporcionan una funcionalidad de cierre de sesión para las sesiones de comunicaciones iniciadas por el usuario. Cuando las aplicaciones SAML estén integradas con Microsoft Entra ID, implemente el inicio de sesión único. Funcionalidad de cierre de sesión Mensaje para mostrar
Recursos |
| AC-20 Uso de sistemas de información externos La organización establece términos y condiciones que son coherentes con las relaciones de confianza establecidas con otras organizaciones que poseen, operan o mantienen sistemas de información externos, permitiendo a los usuarios autorizados: (a.) Acceder al sistema de información desde sistemas de información externos; y (b.) Procesar, almacenar o transmitir información controlada por la organización mediante sistemas de información externos. AC-20(1) |
Establecer términos y condiciones que permitan a los usuarios autorizados acceder a los recursos implementados por el cliente desde sistemas de información externos, como dispositivos no administrados y redes externas. Exija la aceptación de las condiciones de uso por parte de usuarios autorizados que acceden a los recursos desde sistemas externos. Implemente directivas de acceso condicional para restringir el acceso desde sistemas externos. Las directivas de acceso condicional se pueden integrar con Defender para aplicaciones en la nube para proporcionar controles para aplicaciones locales y en la nube desde sistemas externos. La administración de aplicaciones móviles en Intune puede proteger los datos de la organización en el nivel de aplicación, incluidas las aplicaciones personalizadas y las aplicaciones de la tienda, desde dispositivos administrados que interactúan con sistemas externos. Un ejemplo sería el acceso a los servicios en la nube. Puede usar la administración de aplicaciones en dispositivos propiedad de la organización y dispositivos personales. Términos y condiciones Acceso condicional MDM Recurso |
