Besturingselementen voor CMMC-niveau 1 configureren
Microsoft Entra ID voldoet aan identiteitsgerelateerde praktijkvereisten op cmmc-niveau (Cybersecurity Maturity Model Certification). Om te voldoen aan de vereisten in CMMC, is het de verantwoordelijkheid van bedrijven die werken met en namens de Us Dept. of Defense (DoD) om andere configuraties of processen te voltooien. In CMMC-niveau 1 zijn er drie domeinen met een of meer procedures met betrekking tot identiteit:
- Toegangsbeheer (AC)
- Identificatie en verificatie (IA)
- Systeem- en informatieintegriteit (SI)
Meer informatie:
- DoD CMMC-website - Office of the Under Secretary of Defense for Acquisition & Sustainment Cybersecurity Maturity Model Certification
- Microsoft Downloadcentrum - Microsoft Product Placemat voor CMMC Level 3 (preview)
De rest van deze inhoud is ingedeeld op domein en bijbehorende procedures. Voor elk domein is er een tabel met koppelingen naar inhoud die stapsgewijze instructies biedt om de praktijk uit te voeren.
Toegangsbeheerdomein
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| WISSELSPANNING. L1-3.1.1 Praktijkverklaring: Beperk de toegang van het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers of apparaten (inclusief andere informatiesystemen). Doelstellingen: Bepalen of: [a.] geautoriseerde gebruikers worden geïdentificeerd; [b.] processen die namens geautoriseerde gebruikers handelen, worden geïdentificeerd; [c.] apparaten (en andere systemen) die zijn gemachtigd om verbinding te maken met het systeem, worden geïdentificeerd; [d.] systeemtoegang is beperkt tot geautoriseerde gebruikers; [e.] systeemtoegang is beperkt tot processen die handelen namens geautoriseerde gebruikers; en [f.] systeemtoegang is beperkt tot geautoriseerde apparaten (inclusief andere systemen). |
U bent verantwoordelijk voor het instellen van Microsoft Entra-accounts, die worden uitgevoerd vanuit externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud. U configureert voorwaardelijke toegang om alleen toegang te verlenen vanaf een bekend (geregistreerd/beheerd) apparaat. Pas bovendien het concept van minimale bevoegdheden toe bij het verlenen van toepassingsmachtigingen. Gebruik waar mogelijk gedelegeerde machtigingen. Gebruikers instellen Apparaten instellen -toepassingen configureren Voorwaardelijke toegang |
| WISSELSPANNING. L1-3.1.2 Oefenverklaring: Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. Doelstellingen: Bepalen of: [a.] de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren, worden gedefinieerd; en [b.] systeemtoegang is beperkt tot de gedefinieerde typen transacties en functies voor geautoriseerde gebruikers. |
U bent verantwoordelijk voor het configureren van toegangsbeheer zoals op rollen gebaseerd toegangsbeheer (RBAC) met ingebouwde of aangepaste rollen. Gebruik toewijsbare rollengroepen om roltoewijzingen te beheren voor meerdere gebruikers die dezelfde toegang nodig hebben. Configureer ABAC (Attribute Based Access Controls) met standaard- of aangepaste beveiligingskenmerken. Het doel is om de toegang tot resources die zijn beveiligd met Microsoft Entra-id gedetailleerd te beheren. RBAC instellen ABAC instellen Groepen configureren voor roltoewijzing |
| WISSELSPANNING. L1-3.1.20 Oefenverklaring: Verbindingen met en het gebruik van externe informatiesystemen controleren en beheren/beperken. Doelstellingen: Bepalen of: [a.] verbindingen met externe systemen worden geïdentificeerd; [b.] het gebruik van externe systemen wordt geïdentificeerd; [c.] verbindingen met externe systemen worden geverifieerd; [d.] het gebruik van externe systemen wordt geverifieerd; [e.] verbindingen met externe systemen worden beheerd en of beperkt; en [f.] het gebruik van externe systemen wordt beheerd en of beperkt. |
U bent verantwoordelijk voor het configureren van beleid voor voorwaardelijke toegang met behulp van apparaatbesturingselementen en of netwerklocaties om verbindingen en het gebruik van externe systemen te beheren en of te beperken. Configureer gebruiksvoorwaarden voor geregistreerde gebruikersbevestiging van voorwaarden voor het gebruik van externe systemen voor toegang. Voorwaardelijke toegang instellen als vereist Voorwaardelijke toegang gebruiken om de toegang te blokkeren Gebruiksvoorwaarden configureren |
| WISSELSPANNING. L1-3.1.22 Oefenverklaring: Informatie beheren die is gepost of verwerkt op openbaar toegankelijke informatiesystemen. Doelstellingen: Bepalen of: [a.] personen die gemachtigd zijn om informatie over openbaar toegankelijke systemen te posten of te verwerken, worden geïdentificeerd; [b.] procedures om ervoor te zorgen dat FCI niet wordt geplaatst of verwerkt op openbaar toegankelijke systemen; [c.] een beoordelingsproces wordt uitgevoerd voordat inhoud naar openbaar toegankelijke systemen wordt geplaatst; en [d.] inhoud op openbaar toegankelijke systemen wordt gecontroleerd om ervoor te zorgen dat deze geen federal contract information (FCI) bevat. |
U bent verantwoordelijk voor het configureren van Privileged Identity Management (PIM) voor het beheren van toegang tot systemen waar geplaatste informatie openbaar toegankelijk is. Goedkeuringen met reden vereisen voordat de roltoewijzing in PIM wordt toegewezen. Configureer gebruiksvoorwaarden voor systemen waar geplaatste informatie openbaar toegankelijk is voor geregistreerde bevestiging van voorwaarden voor het plaatsen van openbaar toegankelijke informatie. PIM-implementatie plannen Gebruiksvoorwaarden configureren |
IA-domein (Identification and Authentication)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Oefenverklaring: Identificeer informatiesysteemgebruikers, processen die handelen namens gebruikers of apparaten. Doelstellingen: Bepalen of: [a.] systeemgebruikers worden geïdentificeerd; [b.] processen die namens gebruikers handelen, worden geïdentificeerd; en [c.] apparaten die toegang hebben tot het systeem, worden geïdentificeerd. |
Microsoft Entra ID identificeert gebruikers, processen (service-principal-/workloadidentiteiten) en apparaten via de id-eigenschap op de respectieve mapobjecten. U kunt logboekbestanden filteren om u te helpen bij uw evaluatie met behulp van de volgende koppelingen. Gebruik de volgende verwijzing om te voldoen aan evaluatiedoelstellingen. Logboeken filteren op gebruikerseigenschappen Logboeken filteren op service-eigenschappen Logboeken filteren op apparaateigenschappen |
| IA. L1-3.5.2 Oefeninstructie: Verifieer (of verifieer) de identiteiten van deze gebruikers, processen of apparaten als een vereiste om toegang tot organisatie-informatiesystemen toe te staan. Doelstellingen: Bepalen of: [a.] de identiteit van elke gebruiker wordt geverifieerd of geverifieerd als een vereiste voor systeemtoegang; [b.] de identiteit van elk proces dat namens een gebruiker handelt, wordt geverifieerd of geverifieerd als vereiste voor systeemtoegang; en [c.] de identiteit van elk apparaat dat toegang krijgt tot of verbinding maakt met het systeem, wordt geverifieerd of geverifieerd als een vereiste voor systeemtoegang. |
Microsoft Entra ID verifieert of verifieert elke gebruiker, verwerkt namens de gebruiker of het apparaat als een vereiste voor systeemtoegang. Gebruik de volgende verwijzing om te voldoen aan evaluatiedoelstellingen. Gebruikersaccounts instellen Microsoft Entra-id configureren om te voldoen aan de controleniveaus van NIST Authenticator Service-principalaccounts instellen Apparaataccounts instellen |
Domein systeem- en informatieintegriteit (SI)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| CMMC practice statement | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| SI. L1-3.14.1 - Identificeer, rapporteer en corrigeer informatie en informatiesysteemfouten tijdig. SI. L1-3.14.2 - Bescherming bieden tegen schadelijke code op de juiste locaties in organisatie-informatiesystemen. SI. L1-3.14.4 : werk mechanismen voor bescherming tegen schadelijke code bij wanneer er nieuwe releases beschikbaar zijn. SI. L1-3.14.5 - Voer periodieke scans uit van het informatiesysteem en realtime scans van bestanden van externe bronnen wanneer bestanden worden gedownload, geopend of uitgevoerd. |
Geconsolideerde richtlijnen voor verouderde beheerde apparaten Configureer voorwaardelijke toegang om een hybride apparaat van Microsoft Entra te vereisen. Voor apparaten die zijn gekoppeld aan een on-premises AD, wordt ervan uitgegaan dat de controle over deze apparaten wordt afgedwongen met behulp van beheeroplossingen zoals Configuration Manager of groepsbeleid (GP). Omdat er geen methode is voor Microsoft Entra ID om te bepalen of een van deze methoden is toegepast op een apparaat, is het vereisen van een hybride Apparaat van Microsoft Entra een relatief zwak mechanisme om een beheerd apparaat te vereisen. De beheerder beoordeelt of de methoden die zijn toegepast op uw on-premises apparaten die lid zijn van een domein sterk genoeg zijn om een beheerd apparaat te vormen, als het apparaat ook een hybride apparaat van Microsoft Entra is. Geconsolideerde richtlijnen voor door de cloud beheerde (of co-beheer) apparaten Configureer voorwaardelijke toegang om te vereisen dat een apparaat als compatibel wordt gemarkeerd, het sterkste formulier om een beheerd apparaat aan te vragen. Voor deze optie is apparaatregistratie met Microsoft Entra ID vereist en aangegeven als compatibel door Intune of een MDM-systeem (Mobile Device Management) van derden dat Windows 10-apparaten beheert via Microsoft Entra-integratie. |