Microsoft Entra-id configureren om te voldoen aan CMMC Level 2
Microsoft Entra ID helpt te voldoen aan identiteitsgerelateerde praktijkvereisten op CMMC-niveau (Cybersecurity Maturity Model Certification). Om te voldoen aan de vereisten in CMMC V2.0 niveau 2, is het de verantwoordelijkheid van bedrijven die werken met en namens de Amerikaanse afdeling Defensie (DoD) om andere configuraties of processen te voltooien.
In CMMC Niveau 2 zijn er 13 domeinen met een of meer procedures met betrekking tot identiteit:
- Toegangsbeheer (AC)
- Audit & Accountability (AU)
- Configuratiebeheer (CM)
- Identificatie en verificatie (IA)
- Reactie op incidenten (IR)
- Onderhoud (MA)
- Media Protection (MP)
- Personeelsbeveiliging (PS)
- Fysieke beveiliging (PE)
- Risico-evaluatie (RA)
- Beveiligingsevaluatie (CA)
- System and Communications Protection (SC)
- Systeem- en informatie-integriteit (SI)
De rest van dit artikel bevat richtlijnen voor alle domeinen, met uitzondering van toegangsbeheer (AC) en identificatie en verificatie (IA) die in andere artikelen worden behandeld. Voor elk domein is er een tabel met koppelingen naar inhoud die stapsgewijze instructies biedt om de praktijk uit te voeren.
Controle en verantwoordelijkheid
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| AU. L2-3.3.1 Praktijkverklaring: Maak en behoud systeemcontrolelogboeken en -records om bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten mogelijk te maken en te bewaren. Doelstellingen: Bepalen of: [a.] auditlogboeken (bijvoorbeeld gebeurtenistypen die moeten worden geregistreerd) om bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten mogelijk te maken, worden opgegeven; [b.] de inhoud van controlerecords die nodig zijn ter ondersteuning van bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten wordt gedefinieerd; [c.] controlerecords worden gemaakt (gegenereerd); [d.] controlerecords, na het maken, bevatten de gedefinieerde inhoud; [e.] retentievereisten voor auditrecords worden gedefinieerd; en [f.] controlerecords worden bewaard zoals gedefinieerd. AU. L2-3.3.2 Oefenverklaring: Zorg ervoor dat de acties van afzonderlijke systeemgebruikers uniek kunnen worden getraceerd naar die gebruikers, zodat ze verantwoordelijk kunnen worden gehouden voor hun acties. Doelstellingen: Bepalen of: [a.] de inhoud van de auditrecords die nodig zijn om de mogelijkheid te ondersteunen om gebruikers uniek te traceren naar hun acties, wordt gedefinieerd; en [b.] controlerecords, na het maken, bevatten de gedefinieerde inhoud. |
Alle bewerkingen worden gecontroleerd in de Microsoft Entra-auditlogboeken. Elke vermelding in het auditlogboek bevat de onveranderbare object-id van een gebruiker die kan worden gebruikt om een afzonderlijke systeemgebruiker uniek te traceren naar elke actie. U kunt logboeken verzamelen en analyseren met behulp van een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden, om bewaking en meldingen in te schakelen. Activiteitenrapporten controleren in Azure Portal Microsoft Entra-gegevens verbinden met Microsoft Sentinel Zelfstudie: logboeken streamen naar een Azure Event Hub |
| AU. L2-3.3.4 Oefeninstructie: Waarschuwing als een auditlogboekproces mislukt. Doelstellingen: Bepalen of: [a.] personeel of rollen die moeten worden gewaarschuwd als een fout in het auditlogboekproces wordt geïdentificeerd; [b.] typen fouten in het auditlogboekproces waarvoor een waarschuwing wordt gegenereerd, worden gedefinieerd; en [c] geïdentificeerd personeel of rollen worden gewaarschuwd in het geval van een fout in het auditlogboekproces. |
Azure Service Health meldt u over Azure-service-incidenten, zodat u actie kunt ondernemen om downtime te beperken. Configureer aanpasbare cloudwaarschuwingen voor Microsoft Entra ID. Wat is Azure Service Health? Drie manieren om op de hoogte te worden gesteld van problemen met de Azure-service Azure Service Health |
| AU. L2-3.3.6 Practice statement: Provide audit record reduction and report generation to support on-demand analysis and reporting. Doelstellingen: Bepalen of: [a.] er wordt een controlerecordreductiemogelijkheid geboden die ondersteuning biedt voor analyse op aanvraag; en [b.] er wordt een mogelijkheid geboden voor het genereren van rapporten die ondersteuning biedt voor rapportage op aanvraag. |
Zorg ervoor dat Microsoft Entra-gebeurtenissen zijn opgenomen in de strategie voor logboekregistratie van gebeurtenissen. U kunt logboeken verzamelen en analyseren met behulp van een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden, om bewaking en meldingen in te schakelen. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen om de nalevingsstatus van accounts te garanderen. Activiteitenrapporten controleren in Azure Portal Microsoft Entra-gegevens verbinden met Microsoft Sentinel Zelfstudie: logboeken streamen naar een Azure Event Hub |
| AU. L2-3.3.8 Oefenverklaring: Beveilig controlegegevens en hulpprogramma's voor auditlogboekregistratie tegen onbevoegde toegang, wijziging en verwijdering. Doelstellingen: Bepalen of: [a.] controlegegevens worden beschermd tegen onbevoegde toegang; [b.] controle-informatie wordt beschermd tegen onbevoegde wijziging; [c.] controle-informatie wordt beschermd tegen onbevoegde verwijdering; [d.] hulpprogramma's voor auditlogboekregistratie worden beschermd tegen onbevoegde toegang; [e.] hulpprogramma's voor auditlogboekregistratie worden beschermd tegen niet-geautoriseerde wijzigingen; en [f.] hulpprogramma's voor auditlogboekregistratie worden beschermd tegen onbevoegde verwijdering. AU. L2-3.3.9 Oefenverklaring: Beperk het beheer van de functionaliteit voor auditlogboekregistratie tot een subset van bevoegde gebruikers. Doelstellingen: Bepalen of: [a.] een subset van bevoegde gebruikers die toegang hebben verleend om de functionaliteit voor auditlogboekregistratie te beheren, wordt gedefinieerd; en [b.] het beheer van de functionaliteit voor auditlogboekregistratie is beperkt tot de gedefinieerde subset van bevoegde gebruikers. |
Microsoft Entra-logboeken worden standaard 30 dagen bewaard. Deze logboeken kunnen niet worden gewijzigd of verwijderd en zijn alleen toegankelijk voor beperkte set bevoorrechte rollen. Aanmeldingslogboeken in Microsoft Entra ID Auditlogboeken in Microsoft Entra-id |
Configuratiebeheer (CM)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| CM.L2-3.4.2 Oefenverklaring: Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Doelstellingen: Bepalen of: [a.] beveiligingsconfiguratie-instellingen voor producten van informatietechnologie die in het systeem worden gebruikt, worden vastgesteld en opgenomen in de basislijnconfiguratie; en [b.] beveiligingsconfiguratie-instellingen voor producten voor informatietechnologie die in het systeem worden gebruikt, worden afgedwongen. |
Een beveiligingspostuur zonder vertrouwen aannemen. Gebruik beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om beveiligingsconfiguratie-instellingen op het apparaat af te dwingen met MDM-oplossingen zoals Microsoft Intune. Microsoft Configuration Manager- of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties en in combinatie met voorwaardelijke toegang vereisen dat een hybride apparaat van Microsoft Entra is gekoppeld. Zero-trust Identiteit beveiligen met Zero Trust Voorwaardelijke toegang Wat is voorwaardelijke toegang in Microsoft Entra ID? Besturingselementen verlenen in beleid voor voorwaardelijke toegang Beleidsregels voor apparaten Wat is Microsoft Intune? Wat is Defender for Cloud Apps? Wat is app-beheer in Microsoft Intune? Oplossingen voor Microsoft-eindpuntbeheer |
| CM.L2-3.4.5 Oefenverklaring: Fysieke en logische toegangsbeperkingen definiëren, documenteren, goedkeuren en afdwingen die zijn gekoppeld aan wijzigingen in organisatiesystemen. Doelstellingen: Bepalen of: [a.] fysieke toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden gedefinieerd; [b.] fysieke toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden gedocumenteerd; [c.] fysieke toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden goedgekeurd; [d.] fysieke toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden afgedwongen; [e.] logische toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden gedefinieerd; [f.] logische toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden gedocumenteerd; [g.] logische toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden goedgekeurd; en [h.] Logische toegangsbeperkingen die zijn gekoppeld aan wijzigingen in het systeem worden afgedwongen. |
Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer. Klanten hebben geen fysieke toegang tot de Microsoft Entra-datacenters. Als zodanig wordt aan elke fysieke toegangsbeperking voldaan door Microsoft en overgenomen door de klanten van Microsoft Entra-id. Implementeer op rollen gebaseerd toegangsbeheer van Microsoft Entra. Elimineren van permanente bevoegde toegang, bieden just-in-time toegang met goedkeuringswerkstromen met Privileged Identity Management. Overzicht van op rollen gebaseerd toegangsbeheer van Microsoft Entra (RBAC) Wat is Privileged Identity Management? Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren in PIM |
| CM.L2-3.4.6 Praktijkverklaring: Gebruik het principe van minimale functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden. Doelstellingen: Bepalen of: [a.] essentiële systeemmogelijkheden worden gedefinieerd op basis van het principe van minimale functionaliteit; en [b.] het systeem is geconfigureerd om alleen de gedefinieerde essentiële mogelijkheden te bieden. |
Configureer oplossingen voor apparaatbeheer (zoals Microsoft Intune) om een aangepaste beveiligingsbasislijn te implementeren die is toegepast op organisatiesystemen om niet-essentiële toepassingen te verwijderen en overbodige services uit te schakelen. Laat alleen de minste mogelijkheden achter die nodig zijn om de systemen effectief te laten werken. Configureer voorwaardelijke toegang om de toegang te beperken tot compatibele of hybride apparaten van Microsoft Entra. Wat is Microsoft Intune? Vereisen dat het apparaat moet worden gemarkeerd als compatibel Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat een hybride apparaat van Microsoft Entra is gekoppeld |
| CM.L2-3.4.7 Oefeninstructie: het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen. Doelstellingen: Bepalen of: [a.]essentiële programma's worden gedefinieerd; [b.] het gebruik van niet-essentiële programma's wordt gedefinieerd; [c.] het gebruik van niet-essentiële programma's wordt beperkt, uitgeschakeld of voorkomen zoals gedefinieerd; [d.] essentiële functies worden gedefinieerd; [e.] het gebruik van niet-essentiële functies wordt gedefinieerd; [f.] het gebruik van niet-essentiële functies is beperkt, uitgeschakeld of verhinderd zoals gedefinieerd; [g.] essentiële poorten worden gedefinieerd; [h.] het gebruik van niet-essentiële poorten is gedefinieerd; [i.] het gebruik van niet-essentiële poorten is beperkt, uitgeschakeld of verhinderd zoals gedefinieerd; [j.] essentiële protocollen worden gedefinieerd; [k.] het gebruik van niet-essentiële protocollen wordt gedefinieerd; [l.] het gebruik van niet-essentiële protocollen is beperkt, uitgeschakeld of verhinderd zoals gedefinieerd; [m.] essentiële diensten worden gedefinieerd; [n.] het gebruik van niet-essentiële diensten wordt gedefinieerd; en [o.] het gebruik van niet-essentiële services is beperkt, uitgeschakeld of verhinderd zoals gedefinieerd. |
Gebruik de rol Toepassingsbeheerder om geautoriseerd gebruik van essentiële toepassingen te delegeren. Gebruik app-rollen of groepsclaims om toegang tot minimale bevoegdheden binnen de toepassing te beheren. Configureer toestemming van de gebruiker om goedkeuring van de beheerder te vereisen en sta geen toestemming van de groepseigenaar toe. Configureer werkstromen voor beheerderstoestemmingsaanvragen zodat gebruikers toegang kunnen aanvragen tot toepassingen waarvoor beheerderstoestemming is vereist. Gebruik Microsoft Defender voor Cloud Apps om niet-opgegeven/onbekend toepassingsgebruik te identificeren. Gebruik deze telemetrie om vervolgens essentiële/niet-essentiële apps te bepalen. Ingebouwde Microsoft Entra-rollen - Toepassingsbeheerder Microsoft Entra-app-rollen - App-rollen versus groepen Configureren hoe gebruikers toestemming geven voor toepassingen Groepseigenaartoestemming configureren voor apps die toegang hebben tot groepsgegevens Werkstroom voor beheerderstoestemming configureren Wat is Defender for Cloud Apps? Schaduw-IT-zelfstudie ontdekken en beheren |
| CM.L2-3.4.8 Oefenverklaring: Beleid voor weigeren per uitzondering (blocklist) toepassen om te voorkomen dat onbevoegde software wordt gebruikt of beleid voor weigeren per uitzondering (allowlist) om de uitvoering van geautoriseerde software toe te staan. Doelstellingen: Bepalen of: [a.] een beleid dat aangeeft of de acceptatielijst of de bloklijst moet worden geïmplementeerd, wordt opgegeven; [b.] de software die mag worden uitgevoerd onder acceptatielijst of geweigerd gebruik onder bloklijst is opgegeven; en [c.] allowlist om de uitvoering van geautoriseerde software of bloklijst toe te staan om te voorkomen dat het gebruik van niet-geautoriseerde software wordt geïmplementeerd zoals opgegeven. CM.L2-3.4.9 Oefeninstructie: Door de gebruiker geïnstalleerde software beheren en bewaken. Doelstellingen: Bepalen of: [a.] een beleid voor het beheren van de installatie van software door gebruikers tot stand is gebracht; [b.] installatie van software door gebruikers wordt beheerd op basis van het vastgestelde beleid; en [c.] installatie van software door gebruikers wordt bewaakt. |
Configureer MDM-/configuratiebeheerbeleid om het gebruik van niet-geautoriseerde software te voorkomen. Configureer besturingselementen voor voorwaardelijke toegang om compatibel of hybride gekoppelde apparaten te vereisen om apparaatcompatibiliteit met MDM-/configuratiebeheerbeleid op te nemen in de autorisatiebeslissing voor voorwaardelijke toegang. Wat is Microsoft Intune? Voorwaardelijke toegang : compatibele of hybride gekoppelde apparaten vereisen |
Reactie op incidenten (IR)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| IR. L2-3.6.1 Oefenverklaring: Stel een operationele mogelijkheid voor incidentafhandeling in voor organisatiesystemen die voorbereidings-, detectie-, analyse-, insluitings-, herstel- en gebruikersresponsactiviteiten omvatten. Doelstellingen: Bepalen of: [a.] er een operationele mogelijkheid voor incidentafhandeling tot stand is gebracht; [b.] de operationele incidentafhandelingsmogelijkheid omvat voorbereiding; [c.] de operationele mogelijkheid voor incidentafhandeling omvat detectie; [d.] de operationele mogelijkheid voor incidentafhandeling omvat analyse; [e.] de operationele mogelijkheid voor incidentafhandeling omvat insluiting; [f.] de operationele mogelijkheid voor incidentafhandeling omvat herstel; en [g.] de operationele mogelijkheid voor incidentafhandeling omvat activiteiten van gebruikersrespons. |
Implementeer mogelijkheden voor incidentafhandeling en -bewaking. In de auditlogboeken worden alle configuratiewijzigingen vastgelegd. Verificatie- en autorisatiegebeurtenissen worden gecontroleerd in de aanmeldingslogboeken en eventuele gedetecteerde risico's worden gecontroleerd in de Microsoft Entra ID Protection-logboeken. U kunt elk van deze logboeken rechtstreeks streamen naar een SIEM-oplossing, zoals Microsoft Sentinel. U kunt ook een Azure Event Hubs-naamruimte gebruiken om logboeken te integreren met SIEM-oplossingen van derden. Controlegebeurtenissen Activiteitenrapporten controleren in Azure Portal Aanmeldactiviteitenrapporten in De Azure-portal Procedure: Risico onderzoeken SIEM-integraties Microsoft Sentinel: Gegevens van Microsoft Entra IDStream verbinden met Azure Event Hub en andere SIEM's |
Onderhoud (MA)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| MA. L2-3.7.5 Oefenverklaring: Meervoudige verificatie vereisen om niet-lokale onderhoudssessies tot stand te brengen via externe netwerkverbindingen en dergelijke verbindingen te beëindigen wanneer niet-lokaal onderhoud is voltooid. Doelstellingen: Bepalen of: [a.] meervoudige verificatie wordt gebruikt om niet-lokale onderhoudssessies tot stand te brengen via externe netwerkverbindingen; en [b.] niet-lokale onderhoudssessies die via externe netwerkverbindingen tot stand zijn gebracht, worden beëindigd wanneer niet-lokaal onderhoud is voltooid. |
Accounts waaraan beheerdersrechten zijn toegewezen, zijn gericht op aanvallers, waaronder accounts die worden gebruikt om niet-lokale onderhoudssessies tot stand te brengen. Het vereisen van meervoudige verificatie (MFA) voor deze accounts is een eenvoudige manier om het risico te verminderen dat deze accounts worden aangetast. Voorwaardelijke toegang - MFA vereisen voor beheerders |
| MP. L2-3.8.7 Oefeninstructie: het gebruik van verwisselbare media op systeemonderdelen beheren. Doelstellingen: Bepalen of: [a.] het gebruik van verwisselbare media op systeemonderdelen wordt beheerd. |
Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om het gebruik van verwisselbare media op systemen te beheren. Implementeer en beheer verwisselbaar opslagtoegangsbeheer met Intune, Configuration Manager of Groepsbeleid. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen Intune Nalevingsbeleid voor apparaten in Microsoft Intune Toegangsbeheer voor verwisselbare opslag Verwisselbaar opslagtoegangsbeheer implementeren en beheren met Intune Verwisselbare opslagtoegangsbeheer implementeren en beheren met behulp van groepsbeleid |
Personeelsbeveiliging (PS)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| PS. L2-3.9.2 Oefenverklaring: Zorg ervoor dat organisatiesystemen met CUI worden beveiligd tijdens en na personeelsacties, zoals beëindigingen en overdrachten. Doelstellingen: Bepalen of: [a.] een beleid en/of proces voor het beëindigen van systeemtoegang en eventuele referenties die samenvallen met personeelsacties worden vastgesteld; [b.] systeemtoegang en referenties worden beëindigd in overeenstemming met personeelsacties zoals beëindiging of overdracht; en [c] het systeem wordt beveiligd tijdens en na de overdracht van personeel. |
Configureer inrichting (inclusief uitschakelen bij beëindiging) van accounts in Microsoft Entra ID van externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud. Beëindig toegang tot alle systemen door bestaande sessies in te trekken. Accountinrichting Wat is identiteitsinrichting met Microsoft Entra-id? Microsoft Entra Connect Sync: Synchronisatie begrijpen en aanpassen Wat is Microsoft Entra Connect-cloudsynchronisatie? Alle bijbehorende authenticators intrekken Gebruikerstoegang intrekken in een noodgeval in Microsoft Entra-id |
System and Communications Protection (SC)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| SC. L2-3.13.3 Oefeninstructie: Afzonderlijke functionaliteit van gebruikersfunctionaliteit voor systeembeheer. Doelstellingen: Bepalen of: [a.] gebruikersfunctionaliteit wordt geïdentificeerd; [b.] systeembeheerfunctionaliteit wordt geïdentificeerd; en [c.] gebruikersfunctionaliteit wordt gescheiden van systeembeheerfunctionaliteit. |
Onderhoud afzonderlijke gebruikersaccounts in Microsoft Entra ID voor dagelijks productiviteitsgebruik en beheer of systeem-/privileged management. Bevoegde accounts moeten alleen in de cloud of beheerde accounts zijn en niet worden gesynchroniseerd vanaf on-premises om de cloudomgeving te beschermen tegen on-premises inbreuk. Systeem-/bevoegde toegang mag alleen worden toegestaan vanaf een beveiligingsbeveiligingsbeveiligingswerkstation (PAW). Configureer apparaatfilters voor voorwaardelijke toegang om de toegang tot beheertoepassingen te beperken van PAW's die zijn ingeschakeld met behulp van Azure Virtual Desktops. Waarom zijn bevoegde toegangsapparaten belangrijk Apparaatrollen en -profielen Filteren op apparaten als voorwaarde in beleid voor voorwaardelijke toegang Azure Virtual Desktop |
| SC. L2-3.13.4 Oefenverklaring: Voorkom niet-geautoriseerde en onbedoelde gegevensoverdracht via gedeelde systeembronnen. Doelstellingen: Bepalen of: [a.] niet-geautoriseerde en onbedoelde gegevensoverdracht via gedeelde systeembronnen wordt voorkomen. |
Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om ervoor te zorgen dat apparaten compatibel zijn met systeembeveiligingsprocedures. Neem naleving van het bedrijfsbeleid op met betrekking tot softwarepatches om te voorkomen dat aanvallers fouten misbruiken. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen InTune Nalevingsbeleid voor apparaten in Microsoft Intune |
| SC. L2-3.13.13 Oefeninstructie: Het gebruik van mobiele code beheren en bewaken. Doelstellingen: Bepalen of: [a.] het gebruik van mobiele code wordt beheerd; en [b.] het gebruik van mobiele code wordt bewaakt. |
Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om het gebruik van mobiele code uit te schakelen. Wanneer het gebruik van mobiele code is vereist, controleert u het gebruik met eindpuntbeveiliging, zoals Microsoft Defender voor Eindpunt. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen InTune Nalevingsbeleid voor apparaten in Microsoft Intune Defender voor Eindpunt Microsoft Defender voor Eindpunt |
Systeem- en informatie-integriteit (SI)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| SI. L2-3.14.7 Oefeninstructie: Doelstellingen: identificeer niet-geautoriseerd gebruik van organisatiesystemen. Bepalen of: [a.] geautoriseerd gebruik van het systeem wordt gedefinieerd; en [b.] niet-geautoriseerd gebruik van het systeem wordt geïdentificeerd. |
Telemetrie consolideren: Microsoft Entra-logboeken die moeten worden gestreamd naar SIEM, zoals Azure Sentinel Apparaatbeheerbeleid configureren via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om inbraakdetectie/beveiliging (IDS/IPS) te vereisen, zoals Microsoft Defender voor Eindpunt is geïnstalleerd en in gebruik. Gebruik telemetrie die wordt geleverd door de IDS/IPS om ongebruikelijke activiteiten of voorwaarden te identificeren die betrekking hebben op binnenkomend en uitgaand communicatieverkeer of niet-geautoriseerd gebruik. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen InTune Nalevingsbeleid voor apparaten in Microsoft Intune Defender voor Eindpunt Microsoft Defender voor Eindpunt |
Volgende stappen
- Wat is voorwaardelijke toegang in Microsoft Entra ID?
- Aanvullende besturingselementen configureren
- Voor voorwaardelijke toegang is een beheerd apparaat vereist: hybride apparaat van Microsoft Entra vereisen
- Voor voorwaardelijke toegang is een beheerd apparaat vereist: vereisen dat het apparaat als compatibel wordt gemarkeerd
- Wat is Microsoft Intune?
- Co-beheer voor Windows 10-apparaten