Identiteitstoegangsbeheer configureren om te voldoen aan het High Impact-niveau van FedRAMP
Toegangsbeheer is een belangrijk element om ervoor te zorgen dat het High Impact-niveau van FedRAMP (Federal Risk and Authorization Management Program) werkt.
Voor de volgende lijst met besturingselementen en verbeteringen in de ac-familie (toegangsbeheer) is mogelijk configuratie vereist in uw Microsoft Entra-tenant.
| Besturingsfamilie | Beschrijving |
|---|---|
| AC-2 | Accountbeheer |
| AC-6 | Minimale bevoegdheid |
| AC-7 | Mislukte aanmeldingspogingen |
| AC-8 | Systeemgebruiksmelding |
| AC-10 | Gelijktijdige sessies beheren |
| AC-11 | Sessievergrendeling |
| AC-12 | Sessiebeëindiging |
| AC-20 | Gebruik van externe informatiesystemen |
Elke rij in de volgende tabel bevat voorlichtingsrichtlijnen om u te helpen bij het ontwikkelen van de reactie van uw organisatie op eventuele gedeelde verantwoordelijkheden voor de (uitbreidingen voor) besturingselementen.
Configuraties
| FedRAMP Control ID en beschrijving | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| AC-2 ACCOUNTBEHEER De organisatie (b.) Wijst accountbeheerders toe voor informatiesysteemaccounts; (c.) Stelt voorwaarden vast voor groep- en rollidmaatschap; (d.) Hiermee geeft u geautoriseerde gebruikers van het informatiesysteem, groep en rollidmaatschap, en toegangsautorisaties (d.w.v. bevoegdheden) en andere kenmerken (zoals vereist) voor elk account op; (e.) Vereist goedkeuringen door [Toewijzing: door de organisatie gedefinieerd personeel of rollen] voor aanvragen voor het maken van informatiesysteemaccounts; (f.) Maakt, schakelt, wijzigt, uitschakelt en verwijdert informatiesysteemaccounts in overeenstemming met [Toewijzing: door de organisatie gedefinieerde procedures of voorwaarden]; (g.) Bewaakt het gebruik van informatiesysteemaccounts; (h.) Hiermee wordt accountmanagers op de hoogte gehouden: (i.) Autoriseert toegang tot het informatiesysteem op basis van: (j.) Controleert accounts op naleving van accountbeheervereisten [FedRAMP-toewijzing: maandelijks voor bevoegde toegang, elke zes (6) maanden voor niet-bevoegde toegang]; en (k.) Hiermee wordt een proces vastgesteld voor het opnieuw uitgeven van referenties voor gedeelde/groepsaccounts (indien geïmplementeerd) wanneer personen uit de groep worden verwijderd. |
Beheer van de accountlevenscycli implementeren voor door de klant beheerde accounts. Bewaak het gebruik van accounts en informeer accountmanagers over levenscyclus-gebeurtenissen van accounts. Controleer accounts op naleving van accountbeheervereisten, maandelijks voor bevoegde toegang, en elke zes maanden voor niet-gemachtigde toegang. Gebruik Microsoft Entra ID om accounts van externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud in te richten. Alle levenscyclusbewerkingen van accounts worden gecontroleerd in de Microsoft Entra-auditlogboeken. U kunt logboeken verzamelen en analyseren met behulp van een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden, om bewaking en meldingen in te schakelen. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen om de nalevingsstatus van accounts te garanderen. Accounts inrichten Accounts bewaken Rekeningen controleren Resources
|
| AC-2(1) De organisatie maakt gebruik van geautomatiseerde mechanismen ter ondersteuning van het beheer van informatiesysteemaccounts. |
Gebruik geautomatiseerde mechanismen ter ondersteuning van het beheer van door de klant beheerde accounts. Configureer geautomatiseerde inrichting van door de klant beheerde accounts van externe HR-systemen of on-premises Active Directory. Voor toepassingen die ondersteuning bieden voor het inrichten van toepassingen, configureert u Microsoft Entra-id om automatisch gebruikersidentiteiten en -rollen te maken in cloudsoftware als oplossingstoepassingen (SaaS) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Als u de bewaking van het accountgebruik wilt vereenvoudigen, kunt u Logboeken van Microsoft Entra ID Protection streamen, die riskante gebruikers, riskante aanmeldingen en risicodetecties en auditlogboeken rechtstreeks in Microsoft Sentinel of Event Hubs tonen. inrichten Bewaken en controleren |
| AC-2(2) Het informatiesysteem wordt automatisch [FedRAMP Selection: uitgeschakeld] tijdelijke en noodaccounts na [FedRAMP Assignment: 24 uur na laatste gebruik]. AC-02(3) AC-2 (3) Aanvullende FedRAMP-vereisten en richtlijnen: |
Gebruik geautomatiseerde mechanismen ter ondersteuning van het automatisch verwijderen of uitschakelen van tijdelijke accounts en noodaccounts 24 uur na het laatste gebruik, en alle door de klant beheerde accounts na 35 dagen inactiviteit. Automatisering van accountbeheer implementeren met Microsoft Graph en Microsoft Graph PowerShell. Gebruik Microsoft Graph om aanmeldingsactiviteiten en Microsoft Graph PowerShell te controleren om binnen het vereiste tijdsbestek actie te ondernemen op accounts. Inactiviteit bepalen Accounts verwijderen of uitschakelen Werken met apparaaten in Microsoft Graph |
| AC-2(4) Het informatiesysteem controleert automatisch het maken, wijzigen, inschakelen, uitschakelen en verwijderen van accounts en meldt [FedRAMP Assignment: organisatie- en/of serviceprovidersysteemeigenaar]. |
Implementeer een geautomatiseerd controle- en meldingssysteem voor de levenscyclus van het beheren van door de klant beheerde accounts. Alle levenscyclusbewerkingen van accounts, zoals account maken, wijzigen, inschakelen, uitschakelen en verwijderen, worden gecontroleerd in de Azure-auditlogboeken. U kunt de logboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met meldingen. Audit Melding |
| AC-2(5) De organisatie vereist dat gebruikers zich afmelden wanneer [FedRAMP Assignment: inactiviteit naar verwachting langer is dan vijftien (15) minuten]. AC-2 (5) Aanvullende FedRAMP-vereisten en richtlijnen: |
Implementeer het afmelden van apparaten na een periode van 15 minuten inactiviteit. Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang waarmee de toegang tot compatibele apparaten wordt beperkt. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen (Mobile Device Management) zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren. Voorwaardelijke toegang MDM-beleid |
| AC-2(7) De organisatie: |
Beheer en bewaak toewijzingen van bevoorrechte rollen door een op rollen gebaseerd toegangsschema te volgen voor door de klant beheerde accounts. Schakel toegang tot bevoegdheden voor accounts uit of trek deze bevoegdheid in wanneer ze niet meer geschikt zijn. Implementeer Microsoft Entra Privileged Identity Management met toegangsbeoordelingen voor bevoorrechte rollen in Microsoft Entra ID om roltoewijzingen te bewaken en roltoewijzingen te verwijderen wanneer deze niet meer geschikt zijn. U kunt de auditlogboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met bewaken. Beheren Monitor |
| AC-2(11) Het informatiesysteem dwingt [Toewijzing: door de organisatie gedefinieerde omstandigheden en/of gebruiksvoorwaarden] af voor [Toewijzing: door de organisatie gedefinieerde informatiesysteemaccounts]. |
Dwing het gebruik van door de klant beheerde accounts af, om te voldoen aan door de klant gedefinieerde voorwaarden of omstandigheden. Maak beleid voor voorwaardelijke toegang om beslissingen voor toegangsbeheer af te dwingen voor gebruikers en apparaten. Voorwaardelijke toegang |
| AC-2(12) De organisatie: AC-2 (12) (a) en AC-2 (12) (b) Aanvullende FedRAMP-vereisten en richtlijnen: |
Bewaak en rapporteer door de klant beheerde accounts met bevoegde toegang voor atypisch gebruik. Voor hulp bij het bewaken van atypisch gebruik kunt u Microsoft Entra ID Protection-logboeken streamen, waarin riskante gebruikers, riskante aanmeldingen en risicodetecties worden weergegeven, en auditlogboeken, die helpen bij correlatie met bevoegdheidstoewijzing, rechtstreeks in een SIEM-oplossing zoals Microsoft Sentinel. U kunt ook Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden. Id-beveiliging Accounts bewaken |
| AC-2(13) De organisatie schakelt accounts uit van gebruikers die een aanzienlijk risico vormen in [FedRAMP Assignment: één (1) uur] van de detectie van het risico. |
Schakel door de klant beheerde accounts van gebruikers uit die in één uur een aanzienlijk risico vormen. Configureer en schakel in Microsoft Entra ID Protection een beleid voor gebruikersrisico's in met de drempelwaarde die is ingesteld op Hoog. Maak beleid voor voorwaardelijke toegang om de toegang voor riskante gebruikers en riskante aanmeldingen te blokkeren. Configureer risicobeleid zodat gebruikers de volgende aanmeldingspogingen zelf kunnen herstellen en deblokkeren. Id-beveiliging Voorwaardelijke toegang |
| AC-6(7) De organisatie: |
Controleer en valideer alle gebruikers met bevoegde toegang elk jaar. Zorg ervoor dat bevoegdheden opnieuw worden toegewezen (of indien nodig worden verwijderd) zodat deze zijn uitgelijnd met de missie en bedrijfsvereisten van de organisatie. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen voor bevoegde gebruikers om te controleren of bevoegde toegang is vereist. Toegangsbeoordelingen |
| Mislukte aanmeldingspogingen voor AC-7 De organisatie: |
Dwing een limiet af van maximaal drie opeenvolgende mislukte aanmeldingspogingen binnen een periode van 15 minuten bij door de klant geïmplementeerde resources. Vergrendel het account minimaal drie uur of totdat het is ontgrendeld door een beheerder. Schakel aangepaste instellingen voor slimme vergrendeling in. Configureer de vergrendelingsdrempel en vergrendelingsduur in seconden om deze vereisten te implementeren. Slimme vergrendeling |
| Melding voor ac-8-systeemgebruik Het informatiesysteem: (b.) Behoudt het meldingsbericht of de banner op het scherm totdat gebruikers de gebruiksvoorwaarden erkennen en expliciete acties ondernemen om zich aan te melden bij of verder toegang te krijgen tot het informatiesysteem; en (c.) Voor openbaar toegankelijke systemen: AC-8 Aanvullende FedRAMP-vereisten en richtlijnen: |
Toon en vereis gebruikersbevestiging van privacy- en beveiligingsverklaringen voordat toegang wordt verleend tot informatiesystemen. Met Microsoft Entra ID kunt u meldingen of bannerberichten bezorgen voor alle apps die bevestiging vereisen en registreren voordat u toegang verleent. U kunt deze gebruiksvoorwaarden gedetailleerd richten op specifieke gebruikers (leden of gasten). U kunt ze ook per toepassing aanpassen via beleid voor voorwaardelijke toegang. Gebruiksvoorwaarden |
| AC-10 Gelijktijdig sessiebeheer Het informatiesysteem beperkt het aantal gelijktijdige sessies voor elke [Toewijzing: door de organisatie gedefinieerd account en/of accounttype] tot [FedRAMP-toewijzing: drie (3) sessies voor bevoegde toegang en twee (2) sessies voor niet-bevoegde toegang]. |
Beperk gelijktijdige sessies tot drie sessies voor bevoegde toegang, en twee voor niet-bevoegde toegang. Momenteel maken gebruikers verbinding vanaf meerdere apparaten, soms tegelijkertijd. Het beperken van gelijktijdige sessies leidt tot een verminderde gebruikerservaring en biedt beperkte beveiliging. Een betere methode voor het aanpakken van de intentie achter dit besturingselement is de ingebruikname van een Zero-Trust-beveiligingspostuur. Voorwaarden worden expliciet gevalideerd voordat een sessie is gemaakt, en voortdurend gevalideerd gedurende de hele levensduur van een sessie. Gebruik bovendien de volgende compenserende besturingselementen. Gebruik beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om aanmeldingsbeperkingen voor gebruikers af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Gebruik Privileged Identity Management om bevoegde accounts verder te beperken en te beheren. Configureer slimme accountvergrendeling voor ongeldige aanmeldingspogingen. Begeleiding bij implementatie Zero Trust Voorwaardelijke toegang Beleidsregels voor apparaten Resources Zie AC-12 voor meer richtlijnen voor herwaardering van sessies en voor risicobeperking. |
| AC-11 Sessievergrendeling Het informatiesysteem: a) Voorkomt verdere toegang tot het systeem door een sessievergrendeling te starten na [FedRAMP Assignment: vijftien (15) minuten] van inactiviteit of bij ontvangst van een verzoek van een gebruiker; en (b) Behoudt de sessievergrendeling totdat de gebruiker opnieuw toegang treedt met behulp van vastgestelde identificatie- en verificatieprocedures. AC-11(1) |
Implementeer een sessievergrendeling na een periode van 15 minuten inactiviteit, of bij het ontvangen van een aanvraag van een gebruiker. Behoud de sessievergrendeling totdat de gebruiker opnieuw verificatie uitvoert. Verberg eerder zichtbare informatie wanneer een sessievergrendeling wordt gestart. Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren. Voorwaardelijke toegang MDM-beleid |
| BEËINDIGING VAN AC-12-sessie Het informatiesysteem beëindigt automatisch een gebruikerssessie na [Toewijzing: door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen waarvoor sessie-verbinding is verbroken]. |
Beëindig gebruikerssessies automatisch wanneer door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen plaatsvinden. Implementeer automatische herwaardering van gebruikerssessies met Microsoft Entra-functies, zoals op risico's gebaseerde voorwaardelijke toegang en continue toegangsevaluatie. U kunt inactiviteitsvoorwaarden implementeren op apparaatniveau, zoals beschreven in AC-11. Resources |
| AC-12(1) Het informatiesysteem: (a.) Biedt een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies wanneer verificatie wordt gebruikt om toegang te krijgen tot [Toewijzing: door de organisatie gedefinieerde informatiebronnen]; en (b.) Geeft een expliciet afmeldingsbericht weer aan gebruikers die de betrouwbare beëindiging van geverifieerde communicatiesessies aangeven. AC-8 Aanvullende FedRAMP-vereisten en richtlijnen: |
Bied een afmeldingsmogelijkheid voor alle sessies, en geef een expliciet afmeldingsbericht weer. Alle Microsoft Entra ID-webinterfaces bieden een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies. Wanneer SAML-toepassingen zijn geïntegreerd met Microsoft Entra ID, implementeert u eenmalige afmelding. Afmeldingsmogelijkheid Bericht weergeven
Resources |
| AC-20 Gebruik van externe informatiesystemen De organisatie stelt voorwaarden vast, consistent met alle vertrouwensrelaties die zijn ingesteld met andere organisaties die eigenaar zijn van, werken en/of onderhouden van externe informatiesystemen, zodat geautoriseerde personen: (a.) Toegang tot het informatiesysteem vanuit externe informatiesystemen; en (b.) Door de organisatie beheerde informatie verwerken, opslaan of verzenden met behulp van externe informatiesystemen. AC-20(1) |
Breng voorwaarden tot stand waarmee geautoriseerde personen toegang hebben tot de door de klant geïmplementeerde resources van externe informatiesystemen, zoals onbeheerde apparaten en externe netwerken. Vereis de acceptatie van gebruiksvoorwaarden voor geautoriseerde gebruikers die toegang hebben tot resources van externe systemen. Implementeer beleid voor voorwaardelijke toegang om de toegang van externe systemen te beperken. Beleid voor voorwaardelijke toegang kan worden geïntegreerd met Defender voor Cloud Apps om besturingselementen te bieden voor cloud- en on-premises toepassingen van externe systemen. Mobile Application Management in Intune kan organisatiegegevens beveiligen op toepassingsniveau, inclusief aangepaste apps en store-apps, van beheerde apparaten die communiceren met externe systemen. Een voorbeeld hiervan is het openen van cloudservices. U kunt app-beheer gebruiken op apparaten in bedrijfseigendom en persoonlijke apparaten. Algemene voorwaarden Voorwaardelijke toegang MDM Bron |
