Configurare i controlli di identificazione e autenticazione per soddisfare il livello di impatto elevato di FedRAMP con Microsoft Entra ID
L'identificazione e l'autenticazione sono fondamentali per ottenere un livello di impatto elevato di FedRAMP (Federal Risk and Authorization Management Program ).
L'elenco seguente dei controlli e dei miglioramenti del controllo nella famiglia di identificazione e autenticazione (IA) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.
| Famiglia del controllo | Descrizione |
|---|---|
| IA-2 | Identificazione e autenticazione (utenti dell'organizzazione) |
| IA-3 | Identificazione e autenticazione dei dispositivi |
| IA-4 | Gestione degli identificatori |
| IA-5 | Gestione dell'autenticatore |
| IA-6 | Feedback dell'autenticatore |
| IA-7 | Autenticazione del modulo di crittografia |
| IA-8 | Identificazione e autenticazione (utenti non organizzati) |
Ogni riga della tabella seguente fornisce indicazioni prescrittive che consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise per il controllo o il miglioramento del controllo.
Configurazioni
| ID e descrizione del controllo FedRAMP | Indicazioni e consigli per Microsoft Entra |
|---|---|
| Identificazione e autenticazione utente IA-2 Il sistema informativo identifica e autentica in modo univoco gli utenti dell'organizzazione (o i processi che agiscono per conto degli utenti dell'organizzazione). |
Identificare e autenticare in modo univoco utenti o processi che agiscono per gli utenti. Microsoft Entra ID identifica in modo univoco gli oggetti utente e entità servizio direttamente. Microsoft Entra ID fornisce più metodi di autenticazione ed è possibile configurare metodi conformi al livello di controllo dell'autenticazione NIST (National Institute of Standards and Technology) 3. Identificatori Autenticazione e autenticazione a più fattori |
| IA-2(1) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso di rete agli account con privilegi. IA-2(3) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso locale agli account con privilegi. |
autenticazione a più fattori per tutti gli accessi agli account con privilegi. Configurare gli elementi seguenti per una soluzione completa per garantire che tutti gli accessi agli account con privilegi richiedano l'autenticazione a più fattori. Configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori per tutti gli utenti. Con il requisito di attivazione di Privileged Identity Management, l'attivazione dell'account con privilegi non è possibile senza l'accesso alla rete, quindi l'accesso locale non viene mai privilegiato. autenticazione a più fattori e Privileged Identity Management |
| IA-2(2) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso di rete agli account senza privilegi. IA-2(4) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso locale agli account non privilegiati. |
Implementare l'autenticazione a più fattori per tutti gli accessi a account non privilegiati Configurare gli elementi seguenti come soluzione complessiva per garantire che tutti gli accessi agli account non privilegiati richiedano l'autenticazione a più fattori. Configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori per tutti gli utenti. Microsoft consiglia di usare un autenticatore hardware di crittografia a più fattori (ad esempio, chiavi di sicurezza FIDO2, Windows Hello for Business (con TPM hardware) o smart card per ottenere AAL3. Se l'organizzazione è basata sul cloud, è consigliabile usare chiavi di sicurezza FIDO2 o Windows Hello for Business. Windows Hello for Business non è stato convalidato al livello di sicurezza FIPS 140 richiesto e, di conseguenza, i clienti federali devono eseguire la valutazione e la valutazione dei rischi prima di accettarla come AAL3. Per altre informazioni sulla convalida FIPS 140 di Windows Hello for Business, vedere Microsoft NIST AALs. Vedere le indicazioni seguenti relative ai criteri MDM variano leggermente in base ai metodi di autenticazione. Smart card/Windows Hello for Business Solo ibrido Solo smart card Chiave di sicurezza FIDO2 Metodi di autenticazione Risorse aggiuntive: |
| IA-2(5) L'organizzazione richiede che gli utenti siano autenticati con un singolo autenticatore quando viene usato un autenticatore di gruppo. |
Quando più utenti hanno accesso a una password di account condiviso o di gruppo, richiedere a ogni utente di eseguire prima l'autenticazione usando un singolo autenticatore. Usare un singolo account per utente. Se è necessario un account condiviso, Microsoft Entra ID consente l'associazione di più autenticatori a un account in modo che ogni utente disponga di un singolo autenticatore. Risorse |
| IA-2(8) Il sistema informativo implementa meccanismi di autenticazione resistenti alla riproduzione per l'accesso di rete agli account con privilegi. |
Implementare meccanismi di autenticazione resistenti alla riproduzione per l'accesso di rete agli account con privilegi. Configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori per tutti gli utenti. Tutti i metodi di autenticazione di Microsoft Entra al livello di controllo dell'autenticazione 2 e 3 usano nonce o sfide e sono resistenti agli attacchi di riproduzione. Riferimenti |
| IA-2(11) Il sistema informativo implementa l'autenticazione a più fattori per l'accesso remoto a account con privilegi e non privilegiati in modo che uno dei fattori sia fornito da un dispositivo separato dal sistema che ottiene l'accesso e il dispositivo soddisfa [Assegnazione FedRAMP: FIPS 140-2, certificazione NIAP o approvazione NSA*]. *National Information Assurance Partnership (NIAP) Requisiti e indicazioni aggiuntivi di FedRAMP: Indicazioni: PIV = dispositivo separato. Fare riferimento alle linee guida NIST SP 800-157 per le credenziali piv (Personal Identity Verification) derivate. FIPS 140-2 significa convalidato dal cmvp (Cryptographic Module Validation Program). |
Implementare l'autenticazione a più fattori Di Microsoft Entra per accedere in remoto alle risorse distribuite dal cliente in modo che uno dei fattori sia fornito da un dispositivo separato dal sistema che ottiene l'accesso in cui il dispositivo soddisfa FIPS-140-2, la certificazione NIAP o l'approvazione NSA. Vedere le linee guida per IA-02(1-4). I metodi di autenticazione di Microsoft Entra da considerare in AAL3 soddisfano i requisiti di dispositivo separati sono: Chiavi di sicurezza FIDO2 Riferimenti |
| **IA-2(12)* Il sistema informativo accetta e verifica elettronicamente le credenziali di verifica dell'identità personale (PIV). Requisiti e indicazioni aggiuntivi per FedRAMP IA-2 (12): Indicazioni: includere common access card (CAC), ovvero l'implementazione tecnica DoD di PIV/FIPS 201/HSPD-12. |
Accettare e verificare le credenziali di verifica dell'identità personale . Questo controllo non è applicabile se il cliente non distribuisce le credenziali PIV. Configurare l'autenticazione federata usando Active Directory Federation Services (AD FS) per accettare PIV (autenticazione del certificato) come metodi di autenticazione primaria e a più fattori e rilasciare l'attestazione di autenticazione a più fattori (MultipleAuthN) quando si usa PIV. Configurare il dominio federato in Microsoft Entra ID con l'impostazione federatedIdpMfaBehavior su Risorse |
| Identificazione e autenticazione dei dispositivi IA-3 Il sistema informativo identifica e autentica in modo univoco [assegnazione: tipi e/o specifici definiti dall'organizzazione] prima di stabilire una connessione [Selezione (una o più): locale; remota; rete]. |
Implementare l'identificazione e l'autenticazione del dispositivo prima di stabilire una connessione. Configurare l'ID Microsoft Entra per identificare e autenticare i dispositivi aggiunti a Microsoft Entra registrati, aggiunti a Microsoft Entra e aggiunti a Microsoft Entra ibrido. Risorse |
| Gestione degli identificatori IA-04 L'organizzazione gestisce gli identificatori del sistema informativo per utenti e dispositivi tramite: (a.) Ricezione dell'autorizzazione da [Assegnazione FedRAMP almeno, ISSO (o ruolo simile all'interno dell'organizzazione)] per assegnare un singolo, gruppo, ruolo o identificatore del dispositivo; (b.) Selezione di un identificatore che identifica un singolo, gruppo, ruolo o dispositivo; (c.) Assegnazione dell'identificatore all'individuo, al gruppo, al ruolo o al dispositivo desiderato; (d.) Impedire il riutilizzo degli identificatori per [assegnazione FedRAMP: almeno due (2) anni]; e (e.) Disabilitazione dell'identificatore dopo [Assegnazione FedRAMP: trentacinque (35) giorni (vedere requisiti e indicazioni)] Requisiti e indicazioni aggiuntivi per FedRAMP IA-4e: Requisito: il provider di servizi definisce il periodo di tempo di inattività per gli identificatori di dispositivo. Indicazioni: per i cloud DoD, vedere Il sito Web del cloud DoD per requisiti DoD specifici che vanno oltre FedRAMP. IA-4(4) L'organizzazione gestisce i singoli identificatori identificando ogni individuo in modo univoco come [assegnazione FedRAMP: terzisti; cittadini stranieri]. |
Disabilitare gli identificatori di account dopo 35 giorni di inattività e impedire il riutilizzo per due anni. Gestire i singoli identificatori identificando in modo univoco ogni individuo (ad esempio, terzisti e cittadini stranieri). Assegnare e gestire singoli identificatori di account e stato in Microsoft Entra ID in conformità ai criteri dell'organizzazione esistenti definiti in AC-02. Seguire AC-02(3) per disabilitare automaticamente gli account utente e del dispositivo dopo 35 giorni di inattività. Assicurarsi che i criteri dell'organizzazione mantengano tutti gli account che rimangono nello stato disabilitato per almeno due anni. Dopo questa volta, è possibile rimuoverli. Determinare l'inattività |
| Gestione autenticatori IA-5 L'organizzazione gestisce gli autenticatori del sistema informativo tramite: (a.) Verificando, come parte della distribuzione iniziale dell'autenticatore, l'identità del singolo, gruppo, ruolo o dispositivo che riceve l'autenticatore; (b.) Definizione del contenuto dell'autenticatore iniziale per gli autenticatori definiti dall'organizzazione; (c.) Garantire che gli autenticatori abbiano una forza sufficiente di meccanismo per l'uso previsto; (d.) Definizione e implementazione di procedure amministrative per la distribuzione iniziale dell'autenticatore, per gli autenticatori smarriti/compromessi o danneggiati e per la revoca degli autenticatori; (e.) Modifica del contenuto predefinito degli autenticatori prima dell'installazione del sistema informativo; (f.) Stabilire restrizioni minime e massime per la durata e riutilizzare le condizioni per gli autenticatori; (g.) Modifica/aggiornamento degli autenticatori [assegnazione: periodo di tempo definito dall'organizzazione per tipo di autenticatore]. (h.) Protezione del contenuto dell'autenticatore da divulgazione e modifica non autorizzata; (i.) Richiedere agli utenti di adottare e implementare dispositivi specifici misure di sicurezza per proteggere gli autenticatori; e (j.) Modifica degli autenticatori per gli account di gruppo/ruolo quando l'appartenenza a tali account cambia. Requisiti e indicazioni aggiuntivi per FedRAMP IA-5: Requisito: gli autenticatori devono essere conformi a NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL livello 3. https://pages.nist.gov/800-63-3 collegamento |
Configurare e gestire gli autenticatori del sistema informativo. Microsoft Entra ID supporta vari metodi di autenticazione. È possibile usare i criteri aziendali esistenti per la gestione. Vedere le indicazioni per la selezione dell'autenticatore in IA-02(1-4). Abilitare gli utenti nella registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori Microsoft Entra e richiedere agli utenti di registrare almeno due metodi di autenticazione a più fattori accettabili per facilitare la correzione automatica. È possibile revocare gli autenticatori configurati dall'utente in qualsiasi momento con l'API dei metodi di autenticazione. Livello di attendibilità dell'autenticatore/protezione del contenuto dell'autenticatore Metodi di autenticazione e registrazione combinata Revoca dell'autenticatore |
| IA-5(1) Il sistema informativo, per l'autenticazione basata su password: (a.) Applica la complessità minima delle password di [assegnazione: requisiti definiti dall'organizzazione per la distinzione tra maiuscole e minuscole, numero di caratteri, lettere maiuscole, numeri e caratteri speciali, inclusi i requisiti minimi per ogni tipo]; (b.) Applica almeno il seguente numero di caratteri modificati quando vengono create nuove password: [Assegnazione FedRAMP: almeno cinquanta% (50%)]; (c.) Archivia e trasmette solo password protette dal punto di vista crittografico; (d.) Applica le restrizioni di durata minima e massima della password di [assegnazione: numeri definiti dall'organizzazione per durata minima, durata massima]; (e.)** Impedisce il riutilizzo delle password per [Assegnazione FedRAMP: ventiquattro (24)] generazioni; e (f.) Consente l'uso di una password temporanea per gli accessi di sistema con una modifica immediata a una password permanente. IA-5 (1) a e d Requisiti e linee guida aggiuntivi di FedRAMP: Indicazioni: se i criteri password sono conformi alle linee guida NIST SP 800-63B Memorizzatized Secret (Sezione 5.1.1), il controllo può essere considerato conforme. |
Implementare i requisiti di autenticazione basati su password. Per NIST SP 800-63B Sezione 5.1.1: mantenere un elenco delle password comunemente usate, previste o compromesse. In presenza di questo servizio, gli elenchi globali di password vietate vengono applicati automaticamente a tutti gli utenti appartenenti a un tenant di Microsoft Entra. Per supportare le esigenze aziendali e di sicurezza, è possibile definire voci in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. È consigliabile adottare strategie senza password. Questo controllo è applicabile solo agli autenticatori di password, pertanto la rimozione delle password come autenticatore disponibile esegue il rendering di questo controllo non applicabile. Documenti di riferimento NIST Conto risorse |
| IA-5(2) Il sistema informativo, per l'autenticazione basata su PKI: (a.) Convalida le certificazioni creando e verificando un percorso di certificazione a un trust anchor accettato, incluso il controllo delle informazioni sullo stato del certificato; (b.) Impone l'accesso autorizzato alla chiave privata corrispondente; (c.) Esegue il mapping dell'identità autenticata all'account del singolo o del gruppo; e (d.) Implementa una cache locale dei dati di revoca per supportare l'individuazione e la convalida del percorso durante l'impossibilità di accedere alle informazioni di revoca tramite la rete. |
Implementare i requisiti di autenticazione basati su PKI. Federate Microsoft Entra ID tramite AD FS per implementare l'autenticazione basata su PKI. Per impostazione predefinita, AD FS convalida i certificati, memorizza nella cache i dati di revoca in locale e esegue il mapping degli utenti all'identità autenticata in Active Directory. Risorse |
| IA-5(4) L'organizzazione usa strumenti automatizzati per determinare se gli autenticatori delle password sono sufficientemente sicuri da soddisfare [Assegnazione FedRAMP: complessità identificata nella parte IA-5 (1) Control Enhancement (H) Part A]. Requisiti e indicazioni aggiuntivi per FedRAMP IA-5(4): Indicazioni: se i meccanismi automatizzati che applicano la forza dell'autenticatore delle password al momento della creazione non vengono usati, è necessario usare meccanismi automatizzati per controllare il livello di attendibilità degli autenticatori di password creati. |
Usare strumenti automatizzati per convalidare i requisiti di complessità delle password. Microsoft Entra ID implementa meccanismi automatizzati che applicano la forza dell'autenticatore delle password al momento della creazione. Questo meccanismo automatizzato può anche essere esteso per applicare il livello di attendibilità dell'autenticatore delle password per Active Directory locale. La revisione 5 di NIST 800-53 ha ritirato IA-04(4) e ha incorporato il requisito in IA-5(1). Risorse |
| IA-5(6) L'organizzazione protegge gli autenticatori in base alla categoria di sicurezza delle informazioni a cui l'uso dell'autenticatore consente l'accesso. |
Proteggere gli autenticatori come definito nel livello di impatto elevato di FedRAMP. Per altre informazioni su come Microsoft Entra ID protegge gli autenticatori, vedere Considerazioni sulla sicurezza dei dati di Microsoft Entra. |
| IA-05(7) L'organizzazione garantisce che gli autenticatori statici non crittografati non siano incorporati nelle applicazioni o negli script di accesso o archiviati nelle chiavi di funzione. |
Assicurarsi che gli autenticatori statici non crittografati (ad esempio, una password) non siano incorporati nelle applicazioni o negli script di accesso o archiviati nelle chiavi di funzione. Implementare identità gestite o oggetti entità servizio (configurati solo con un certificato). Risorse |
| IA-5(8) L'organizzazione implementa [Assegnazione FedRAMP: diversi autenticatori in sistemi diversi] per gestire il rischio di compromissione a causa di utenti che hanno account su più sistemi informativi. |
Implementare misure di sicurezza quando gli utenti dispongono di account in più sistemi informativi. Implementare l'accesso Single Sign-On connettendo tutte le applicazioni a Microsoft Entra ID, invece di avere singoli account in più sistemi informativi. |
| IA-5(11) Il sistema informativo, per l'autenticazione basata su token hardware, usa meccanismi che soddisfano [assegnazione: requisiti di qualità dei token definiti dall'organizzazione]. |
Richiedere i requisiti di qualità dei token hardware come richiesto dal livello di impatto elevato di FedRAMP. Richiedere l'uso di token hardware che soddisfano AAL3. Raggiungimento dei livelli di garanzia dell'autenticatore NIST con Microsoft Identity Platform |
| IA-5(13) Il sistema informativo impedisce l'uso di autenticatori memorizzati nella cache dopo [assegnazione: periodo di tempo definito dall'organizzazione]. |
Applicare la scadenza degli autenticatori memorizzati nella cache. Gli autenticatori memorizzati nella cache vengono usati per l'autenticazione nel computer locale quando la rete non è disponibile. Per limitare l'uso degli autenticatori memorizzati nella cache, configurare i dispositivi Windows per disabilitarne l'uso. Se questa azione non è possibile o pratica, usare i controlli di compensazione seguenti: Configurare i controlli sessione di accesso condizionale usando restrizioni applicate dall'applicazione per le app Office licazioni. Risorse |
| Feedback dell'autenticatore IA-6 Il sistema informativo nasconde il feedback delle informazioni di autenticazione durante il processo di autenticazione per proteggere le informazioni da possibili sfruttamento/uso da parte di utenti non autorizzati. |
Nascondere le informazioni di feedback sull'autenticazione durante il processo di autenticazione. Per impostazione predefinita, Microsoft Entra ID nasconde tutti i commenti e suggerimenti degli autenticatori. |
| Autenticazione del modulo di crittografia IA-7 Il sistema informativo implementa meccanismi per l'autenticazione a un modulo crittografico per i requisiti delle leggi federali applicabili, ordini esecutivi, direttive, criteri, normative, standard e linee guida per tale autenticazione. |
Implementare meccanismi per l'autenticazione in un modulo crittografico che soddisfi le leggi federali applicabili. Il livello di impatto elevato di FedRAMP richiede l'autenticatore AAL3. Tutti gli autenticatori supportati da Microsoft Entra ID at AAL3 forniscono meccanismi per autenticare l'accesso dell'operatore al modulo in base alle esigenze. Ad esempio, in una distribuzione di Windows Hello for Business con TPM hardware, configurare il livello di autorizzazione del proprietario del TPM. Risorse |
| Identificazione e autenticazione IA-8 (utenti non aziendali) Il sistema informativo identifica e autentica in modo univoco gli utenti non dell'organizzazione (o i processi che agiscono per conto di utenti non dell'organizzazione). |
Il sistema informativo identifica e autentica in modo univoco gli utenti non organizzati (o i processi che agiscono per utenti non organizzati). L'ID Di Microsoft Entra identifica e autentica in modo univoco gli utenti non dell'organizzazione presenti nel tenant dell'organizzazione o nelle directory esterne usando protocolli approvati da Federal Identity, Credential e Access Management (FICAM). Risorse |
| IA-8(1) Il sistema informativo accetta e verifica elettronicamente le credenziali di verifica dell'identità personale (PIV) da altre agenzie federali. IA-8(4) Il sistema informativo è conforme ai profili emessi da FICAM. |
Accettare e verificare le credenziali PIV rilasciate da altre agenzie federali. Conforme ai profili rilasciati da FICAM. Configurare Microsoft Entra ID per accettare le credenziali PIV tramite la federazione (OIDC, SAML) o localmente tramite autenticazione di Windows integrato. Risorse |
| IA-8(2) Il sistema informativo accetta solo le credenziali di terze parti approvate da FICAM. |
Accettare solo le credenziali approvate da FICAM. Microsoft Entra ID supporta gli autenticatori in NIST AALs 1, 2 e 3. Limitare l'uso degli autenticatori in base alla categoria di sicurezza del sistema a cui si accede. Microsoft Entra ID supporta un'ampia gamma di metodi di autenticazione. Risorse |