Configuración de controles de identificación y autenticación para cumplir el nivel de impacto FedRAMP High con Microsoft Entra ID
La identificación y la autenticación son elementos clave para lograr un nivel de impacto Federal Risk and Authorization Management Program (FedRAMP) High.
La siguiente lista de controles y mejoras de control de la familia de identificación y autenticación puede requerir la configuración del inquilino de Microsoft Entra.
| Familia de controles | Descripción |
|---|---|
| IA-2 | Identificación y autenticación (usuarios de la organización) |
| IA-3 | Identificación y autenticación de dispositivos |
| IA-4 | Administración de identificadores |
| IA-5 | Administración de autenticadores |
| IA-6 | Comentarios de autenticador |
| IA-7 | Autenticación del módulo criptográfico |
| IA-8 | Identificación y autenticación (usuarios que no pertenecen a la organización) |
Cada fila de la siguiente tabla proporciona instrucciones prescriptivas para ayudarle a desarrollar la respuesta de la organización a las responsabilidades compartidas en relación con el control o la mejora del control.
Configuraciones
| Id. de control y descripción de FedRAMP | Instrucciones y recomendaciones de Microsoft Entra |
|---|---|
| Autenticación e identificación de usuarios IA-2 El sistema de información identifica y autentica de forma unívoca a los usuarios de la organización (o los procesos que actúen en nombre de los usuarios de la organización). |
Identificar y autenticar de forma única los usuarios o procesos que actúan por los usuarios. Microsoft Entra ID identifica de forma única y directa los objetos de usuario y entidad de servicio. Microsoft Entra ID proporciona varios métodos de autenticación y puede configurar métodos que cumplan el nivel 3 de seguridad de autenticación del Instituto Nacional de Estándares y Tecnología (NIST). Identificadores Autenticación y autenticación multifactor |
| IA-2(1) El sistema de información implementa la autenticación multifactor para el acceso de red a cuentas con privilegios. IA-2(3) El sistema de información implementa la autenticación multifactor para el acceso local a cuentas con privilegios. |
Autenticación multifactor para todo el acceso a cuentas con privilegios. Configure los siguientes elementos para tener una solución completa y garantizar que en todo el acceso a las cuentas con privilegios se exija la autenticación multifactor. Configure las directivas de acceso condicional con el fin de que requieran la autenticación multifactor para todos los usuarios. Con el requisito de activación de Privileged Identity Management, la activación de cuentas con privilegios no se puede realizar sin acceso a la red, por lo que el acceso local nunca tiene privilegios. Autenticación multifactor y Privileged Identity Management |
| IA-2(2) El sistema de información implementa la autenticación multifactor para el acceso de red a cuentas sin privilegios. IA-2(4) El sistema de información implementa la autenticación multifactor para el acceso local a cuentas sin privilegios. |
Implementar la autenticación multifactor en todo el acceso a cuentas sin privilegios Configure los siguientes elementos como solución general para que, en todo el acceso a las cuentas sin privilegios, se exija MFA. Configure directivas de acceso condicional para exigir MFA a todos los usuarios. Microsoft recomienda usar un autenticador de hardware criptográfico multifactor (por ejemplo, claves de seguridad FIDO2, Windows Hello para empresas [con TPM de hardware] o tarjeta inteligente) para lograr el nivel de seguridad AAL3. Si su organización está basada en la nube, se recomienda usar claves de seguridad FIDO2 o Windows Hello para empresas. Windows Hello para empresas no se ha validado en el nivel de seguridad FIPS 140 necesario y, como tal, los clientes federales tendrían que realizar una evaluación y valoración de riesgos antes de aceptarlo como AAL3. Para obtener más información sobre la validación de FIPS 140 de Windows Hello para empresas, consulte Microsoft NIST AAL. Consulte las siguientes instrucciones sobre las directivas MDM que son ligeramente diferentes en función de los métodos de autenticación. Tarjeta inteligente o Windows Hello para empresas Solo híbrido Solo tarjeta inteligente Clave de seguridad FIDO2 Métodos de autenticación Recursos adicionales: |
| IA-2(5) La organización requerirá que las personas se autentiquen con un autenticador individual cuando se emplee un autenticador de grupo. |
Cuando varios usuarios tienen acceso a una contraseña de cuenta compartida o de grupo, es necesario que cada uno se autentique primero mediante un autenticador individual. Use una cuenta individual por usuario. Si se requiere una cuenta compartida, Microsoft Entra ID permite el enlace de varios autenticadores a una cuenta para que cada usuario tenga un autenticador individual. Recursos |
| IA-2(8) El sistema de información implementa mecanismos de autenticación resistente a la reproducción para el acceso de red a cuentas con privilegios. |
Implementar mecanismos de autenticación que no puedan reproducirse para establecer el acceso de red a cuentas con privilegios. Configure las directivas de acceso condicional con el fin de que requieran la autenticación multifactor para todos los usuarios. Todos los métodos de autenticación de Microsoft Entra del nivel de seguridad de autenticación 2 y 3 usan nonce o desafíos y son resistentes a los ataques de reproducción. Referencias |
| IA-2(11) El sistema de información implementará la autenticación multifactor para el acceso remoto a cuentas con privilegios y sin privilegios, de tal manera que uno de los factores lo proporciona un dispositivo independiente del sistema que obtiene acceso. Además, este dispositivo cumple con la [certificación asignación FedRAMP: FIPS 140-2, NIAP o aprobación NSA*]. *Asociación Nacional de Garantía de La Información (NIAP) Requisitos e instrucciones adicionales de FedRAMP: Guía: PIV = dispositivo independiente. Consulte las directrices NIST SP 800-157 para credenciales derivadas de verificación de identidad personal (PIV). FIPS 140-2 significa validado por el programa de validación de módulos criptográficos (CMVP). |
Implementar la autenticación multifactor de Microsoft Entra para acceder a los recursos implementados por el cliente de forma remota, para que uno de los factores lo proporcione un dispositivo independiente del sistema que obtenga acceso cuando el dispositivo cumpla con FIPS-140-2, la certificación NIAP o la aprobación de NSA. Consulte la guía de IA-02(1-4). Los métodos de autenticación de Microsoft Entra que se deben tener en cuenta en AAL3 que cumplen los requisitos de dispositivos independientes son: Claves de seguridad FIDO2 Referencias |
| **IA-2(12)* El sistema de información acepta y comprueba electrónicamente las credenciales de verificación de identidad personal (PIV). Requisitos e instrucciones adicionales de FedRAMP de IA-2 (12): Instrucciones: incluya una tarjeta de acceso común (CAC), es decir, la implementación técnica del DoD de PIV/FIPS 201/HSPD-12. |
Acepte y compruebe las credenciales de verificación de identidad personal (PIV). Este control no es aplicable si el cliente no implementa las credenciales PIV. Configure la autenticación federada mediante Servicios de federación de Active Directory (AD FS) para que acepte PIV (autenticación de certificado) como método de autenticación principal y multifactor y emita la notificación de autenticación multifactor (MultipleAuthN) cuando se use PIV. Configure el dominio federado en Microsoft Entra ID. Para ello debe establecer federatedIdpMfaBehavior en Recursos |
| Identificación y autenticación de dispositivos IA-3 El sistema de información identifica y autentica de forma unívoca [asignación: dispositivos específicos definidos por la organización o tipos de dispositivos] antes de establecer una conexión [Selección (uno o más): local, remota, red]. |
Implementar la identificación y autenticación de dispositivos antes de establecer una conexión. Configure Microsoft Entra ID. para identificar y autenticar Microsoft Entra registrados, Microsoft Entra unidos y Microsoft Entra dispositivos unidos híbridos. Recursos |
| IA-04 Administración de identificadores La organización administrará los identificadores del sistema de información para usuarios y dispositivos mediante: (a.) Recepción de autorización de [asignación de FedRAMP como mínimo, el ISSO (o un rol similar dentro de la organización)] para asignar un identificador individual, grupo, rol o dispositivo; (b.) Selección de un identificador que identifique a un individuo, grupo, rol o dispositivo; (c.) Asignación del identificador a la persona, grupo, rol o dispositivo previsto; (d.) Impedir la reutilización de identificadores por [asignación de FedRAMP: al menos dos (2) años]; y (e.) Deshabilitación del identificador después de [asignación de FedRAMP: treinta y cinco (35) días (consulte los requisitos y las instrucciones)] Requisitos e instrucciones adicionales de FedRAMP de IA-4e: Requisito: el proveedor de servicios definirá el período de inactividad de los identificadores de dispositivo. Instrucciones: para nubes de DoD, consulte el sitio web de la nube de DoD para conocer los requisitos específicos de DoD que van más allá de FedRAMP. IA-4(4) La organización administra identificadores individuales mediante la identificación única de cada individuo como [asignación de FedRAMP: contratistas; nacionales extranjeros]. |
Deshabilite los identificadores de cuenta después de 35 días de inactividad e impida su reutilización durante dos años. Administre los identificadores individuales mediante la identificación única de cada individuo (por ejemplo, contratistas y nacionales externos). Asigne y administre identificadores de cuenta individuales y su estado en Microsoft Entra ID de acuerdo con las directivas organizativas existentes definidas en AC-02. Siga AC-02(3) para deshabilitar automáticamente las cuentas de usuario y dispositivo después de 35 días de inactividad. Asegúrese de que la directiva de la organización conserve todas las cuentas que permanecen en estado deshabilitado durante al menos dos años. Después de este tiempo, puede quitarlas. Determine la inactividad |
| Administración de autenticadores IA-5 La organización administra los autenticadores del sistema de información mediante: (a.) La comprobación, como parte de la distribución inicial del autenticador, de la identidad del individuo, grupo, rol o dispositivo que recibe al autenticador; (b.) El establecimiento del contenido del autenticador inicial para autenticadores definidos por la organización; (c.) Garantizar que los autenticadores tengan suficiente fuerza de mecanismo para su uso previsto; (d.) El establecimiento y la implementación de procedimientos administrativos para la distribución del autenticador inicial, para los autenticadores perdidos, comprometidos o dañados, y para revocar autenticadores; (e.) Cambiar el contenido predeterminado de los autenticadores antes de la instalación del sistema de información; (f.) El establecimiento de restricciones mínimas y máximas de duración, y condiciones de reutilización para autenticadores; (g.) El cambio o actualización de autenticadores [asignación: período de tiempo definido por la organización por tipo de autenticador]. (h.) La protección del contenido del autenticador frente a la divulgación y modificación no autorizadas; (i.) Exigir a las personas que tomen y tengan dispositivos que implementen medidas de seguridad específicas para proteger a los autenticadores; y (j.) El cambio de autenticadores para cuentas de grupo o rol cuando cambie la pertenencia a esas cuentas. Requisitos e instrucciones adicionales de FedRAMP de IA-5: Requisito: los autenticadores deberán ser compatibles con las directrices de identidad digital NIST SP 800-63-3 de nivel 3 de IAL, AAL, FAL. https://pages.nist.gov/800-63-3 del vínculo |
Configurar y administrar autenticadores del sistema de información. Microsoft Entra ID. admite varios métodos de autenticación. Puede usar las directivas de la organización existentes para la administración. Consulte la guía de selección del autenticador en IA-02(1-4). Habilite en los usuarios el registro combinado de SSPR y la autenticación multifactor de Microsoft Entra y solicite que los usuarios registren como mínimo dos métodos de autenticación multifactor aceptables para facilitar las correcciones automáticas. Puede revocar los autenticadores configurados por el usuario en cualquier momento con la API de métodos de autenticación. Seguridad del autenticador y protección de su contenido Métodos de autenticación y registro combinado Revocaciones del autenticador |
| IA-5(1) El sistema de información para la autenticación basada en contraseñas: (a.) Impone una complejidad mínima de contraseñas de [asignación: requisitos definidos por la organización para la distinción de mayúsculas y minúsculas, número de caracteres, combinación de letras mayúsculas y minúsculas, números y caracteres especiales, incluyendo los requisitos mínimos para cada tipo]; (b.) Aplica al menos el siguiente número de caracteres modificados cuando se creen nuevas contraseñas: [asignación de FedRAMP: al menos el cincuenta por ciento (50 %)]; (c.) Almacena y transmite únicamente contraseñas protegidas criptográficamente; (d.) Aplica restricciones de duración mínima y máxima de contraseñas de [asignación: números definidos por la organización para el mínimo de duración y máximo de duración]; (e.)** Prohíbe la reutilización de contraseñas para [asignación de FedRAMP: veinticuatro (24)] generaciones; y (f.) Permite el uso de contraseñas temporales para los registros del sistema con un cambio inmediato en una contraseña permanente. Requisitos e instrucciones adicionales de FedRAMP IA-5 (1) a y d: Guía: si las directivas de contraseña son compatibles con NIST SP 800-63B Memorized Secret (Sección 5.1.1), el control podrá considerarse conforme. |
Implementar los requisitos de autenticación basada en contraseña. Según el NIST SP 800-63B, sección 5.1.1, mantenga una lista de contraseñas de uso común, esperadas o en peligro. Con la protección de contraseñas de Microsoft Entra, se aplican automáticamente listas globales de contraseñas prohibidas a todos los usuarios de un inquilino de Microsoft Entra. Para satisfacer sus necesidades empresariales y de seguridad, puede definir entradas en una lista de contraseñas prohibidas personalizadas. Cuando los usuarios cambian o restablecen sus contraseñas, se consultan estas listas de contraseñas prohibidas para exigir el uso de contraseñas seguras. Recomendamos las estrategias que no usan contraseña. Este control solo se aplica a los autenticadores de contraseñas, por lo que la eliminación de contraseñas como autenticador disponible hace que este control no sea aplicable. Documentación de referencia de NIST Resource |
| IA-5(2) El sistema de información para la autenticación basada en PKI: (a.) Valida las certificaciones mediante la construcción y comprobación de una ruta de certificación hacia un marcador de confianza aceptado, que incluye la comprobación de la información sobre el estado del certificado; (b.) Aplica el acceso autorizado a la clave privada correspondiente; (c.) Asigna la identidad autenticada a la cuenta del individuo o grupo; y (d.) Implementa una caché local de datos de revocación para admitir la detección y validación de rutas de acceso durante momentos de imposibilidad de acceso a la información de revocación a través de la red. |
Implementar requisitos de autenticación basada en PKI. Federe Microsoft Entra ID mediante AD FS para implementar la autenticación basada en PKI. De manera predeterminada, AD FS valida los certificados, almacena localmente en caché los datos de revocación y asigna los usuarios a la identidad autenticada en Active Directory. Recursos |
| IA-5(4) La organización empleará herramientas automatizadas para determinar que los autenticadores de contraseñas sean lo suficientemente seguros para satisfacer [asignación de FedRAMP: complejidad identificada en IA-5 (1) Mejora del control (H) parte A]. Requisitos e instrucciones adicionales de FedRAMP de IA-5(4): Instrucciones: si no se usaran mecanismos automatizados que aplican la seguridad del autenticador de contraseñas en la creación, se deberán usar mecanismos automatizados para auditar la seguridad de los autenticadores de contraseñas creados. |
Emplear herramientas automatizadas para validar los requisitos de seguridad de contraseña. Microsoft Entra ID implementa mecanismos automatizados que aplican la seguridad del autenticador de contraseñas durante la creación. Este mecanismo automatizado también se puede ampliar para exigir la seguridad del autenticador de contraseñas en Active Directory local. La revisión 5 de NIST 800-53 ha retirado IA-04(4) y ha incorporado el requisito a IA-5(1). Recursos |
| IA-5(6) La organización protege a los autenticadores de acuerdo con la categoría de seguridad de la información a la que el uso del autenticador permite el acceso. |
Proteger los autenticadores tal como se define en el nivel de impacto FedRAMP High. Para obtener más información sobre cómo Microsoft Entra ID. protege a los autenticadores, consulte Microsoft Entra consideraciones de seguridad de datos. |
| IA-05(7) La organización se asegura de que los autenticadores estáticos no cifrados no se inserten en aplicaciones o en scripts de acceso ni se almacenen en las teclas de función. |
Garantizar que los autenticadores estáticos no cifrados (por ejemplo, una contraseña) no se inserten en aplicaciones o scripts de acceso ni se almacenen en las teclas de función. Implemente identidades administradas u objetos de entidad de servicio (configurados solo con un certificado). Recursos |
| IA-5(8) La organización implementará [asignación de FedRAMP: diferentes autenticadores en diferentes sistemas] para administrar el riesgo de riesgo debido a que las personas tienen cuentas en varios sistemas de información. |
Implementar medidas de seguridad cuando los usuarios tengan cuentas en varios sistemas de información. Implemente el inicio de sesión único conectando todas las aplicaciones a Microsoft Entra ID, en lugar de tener cuentas individuales en varios sistemas de información. |
| IA-5(11) El sistema de información para la autenticación basada en token de hardware empleará mecanismos que satisfagan los [asignación: requisitos de calidad de token definidos por la organización]. |
Exigir requisitos de calidad del token de hardware según se exige en el nivel de impacto FedRAMP High. Exija el uso de tokens de hardware que cumplan con AAL3. Lograr niveles de seguridad de autenticación NIST con la plataforma de identidad de Microsoft |
| IA-5(13) El sistema de información prohibirá el uso de autenticadores almacenados en caché después de [asignación: período definido por la organización]. |
Exigir la expiración de la autenticación almacenada en caché. Los autenticadores almacenados en caché se usan para autenticarse en la máquina local cuando la red no está disponible. Para limitar el uso de autenticadores almacenados en caché, configure los dispositivos Windows para deshabilitar su uso. Cuando no sea posible o práctico realizar esta acción, use los siguientes controles de compensación: Configure controles de sesión de acceso condicional mediante restricciones impuestas por la aplicación para las aplicaciones de Office. Recursos |
| Comentarios de autenticadores IA-6 El sistema de información ocultará los comentarios de la información de autenticación durante el proceso de autenticación para proteger la información de posibles ataques a vulnerabilidades o uso por personas no autorizadas. |
Ocultar la información de comentarios de autenticación durante el proceso de autenticación. De forma predeterminada, Microsoft Entra ID oculta todos los comentarios del autenticador. |
| Autenticación del módulo criptográfico IA-7 El sistema de información implementará mecanismos para la autenticación a un módulo criptográfico para los requisitos de las leyes federales aplicables, decretos ejecutivos, directivas, políticas, reglamentos, normas e instrucciones para dicha autenticación. |
Implementar mecanismos para la autenticación en un módulo criptográfico que cumpla las leyes federales aplicables. El nivel de impacto FedRAMP High requiere el autenticador AAL3. Todos los autenticadores admitidos por Microsoft Entra ID en AAL3 proporcionan mecanismos para autenticar el acceso del operador al módulo según sea necesario. Por ejemplo, en una implementación de Windows Hello para empresas con TPM de hardware, configure el nivel de autorización de propietario de TPM. Recursos |
| IA-8 Identificación y autenticación (usuarios que no pertenezcan a la organización) El sistema de información identifica y autentica de forma unívoca a los usuarios que no pertenecen a la organización (o procesos que actúan en nombre de estos). |
El sistema de información identifica y autentica de forma unívoca a los usuarios que no pertenecen a la organización (o los procesos que actúan en nombre de estos). Microsoft Entra ID identifica y autentica de forma única a los usuarios que no pertenecen a la organización que se encuentran en el inquilino de la organización o en directorios externos mediante protocolos aprobados por Federal Identity, Credential, and Access Management (FICAM). Recursos |
| IA-8(1) El sistema de información aceptará y comprobará electrónicamente las credenciales de verificación de identidad personal (PIV) de otras agencias federales. IA-8(4) El sistema de información se ajusta a los perfiles emitidos por FICAM. |
Acepte y compruebe las credenciales PIV emitidas por otras agencias federales. Cumpla los perfiles emitidos por FICAM. Configure Microsoft Entra ID para que acepte las credenciales de PIV mediante federación (OIDC, SAML) o localmente a través de la autenticación de Windows integrada. Recursos |
| IA-8(2) El sistema de información solo aceptará credenciales de terceros aprobadas por el FICAM. |
Aceptar solo las credenciales aprobadas por FICAM. Microsoft Entra ID admite los autenticadores de los AAL 1, 2 y 3 de NIST. Restrinja el uso de autenticadores de acuerdo con la categoría de seguridad del sistema al que se accede. Microsoft Entra ID. admite una amplia variedad de métodos de autenticación. Recursos |