Udostępnij za pośrednictwem

Konfigurowanie kontrolek na poziomie 1 cmMC

  • Artykuł

Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na każdym poziomie certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC). Aby zapewnić zgodność z wymaganiami w usłudze CMMC, to odpowiedzialność firm wykonujących pracę z amerykańską częścią działu obrony (DoD) w celu ukończenia innych konfiguracji lub procesów. W programie CMMC Level 1 istnieją trzy domeny, które mają co najmniej jedną praktykę związaną z tożsamością:

  • Kontrola dostępu (AC)
  • Identyfikacja i uwierzytelnianie (IA)
  • Integralność systemu i informacji (SI)

Więcej informacji:

Pozostała część tej zawartości jest zorganizowana przez domenę i skojarzone rozwiązania. Dla każdej domeny znajduje się tabela zawierająca linki do zawartości, która zawiera szczegółowe wskazówki dotyczące wykonywania tej praktyki.

Domena kontroli dostępu

Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.

Instrukcja i cele praktyki CMMC Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
Prąd zmienny. L1-3.1.1

Instrukcja praktyki: Ograniczanie dostępu systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników lub urządzeń (w tym innych systemów informacyjnych).

Cele:
Ustal, czy:
[a.] zidentyfikowani są autoryzowani użytkownicy;
[b.] zidentyfikowano procesy działające w imieniu autoryzowanych użytkowników;
[c.] urządzenia (i inne systemy) upoważnione do łączenia się z systemem są identyfikowane;
[d.] dostęp do systemu jest ograniczony do autoryzowanych użytkowników;
[e.] dostęp do systemu jest ograniczony do procesów działających w imieniu autoryzowanych użytkowników; i
[f.] dostęp do systemu jest ograniczony do autoryzowanych urządzeń (w tym innych systemów).		 Odpowiadasz za konfigurowanie kont firmy Microsoft Entra, które są wykonywane z zewnętrznych systemów kadrowych, lokalna usługa Active Directory lub bezpośrednio w chmurze. Dostęp warunkowy można skonfigurować tak, aby udzielał dostępu tylko ze znanego (zarejestrowanego/zarządzanego) urządzenia. Ponadto należy zastosować koncepcję najniższych uprawnień podczas udzielania uprawnień aplikacji. Jeśli to możliwe, użyj uprawnień delegowanych.

Skonfiguruj użytkowników
  • Planowanie aprowizacji użytkowników w chmurze w usłudze Microsoft Entra
  • Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji
  • Dodawanie lub usuwanie użytkowników — identyfikator entra firmy Microsoft

    Konfigurowanie urządzeń
  • Co to jest tożsamość urządzenia w identyfikatorze Entra firmy Microsoft

    Konfigurowanie aplikacji
  • Szybki start: rejestrowanie aplikacji w Platforma tożsamości Microsoft
  • Platforma tożsamości Microsoft zakresy, uprawnienia i zgoda
  • Zabezpieczanie jednostek usługi w identyfikatorze Microsoft Entra

    Dostęp warunkowy
  • Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft
  • Dostęp warunkowy wymaga urządzenia zarządzanego
    		•
    Prąd zmienny. L1-3.1.2

    Instrukcja praktyki: Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać.

    Cele:
    Ustal, czy:
    [a.] definiowane są typy transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać; i
    [b.] dostęp do systemu jest ograniczony do zdefiniowanych typów transakcji i funkcji dla autoryzowanych użytkowników.    		 Odpowiadasz za konfigurowanie kontroli dostępu, takich jak kontrola dostępu oparta na rolach (RBAC) z wbudowanymi lub niestandardowymi rolami. Użyj grup z możliwością przypisania ról, aby zarządzać przypisaniami ról dla wielu użytkowników wymagających tego samego dostępu. Skonfiguruj kontrolki dostępu oparte na atrybutach (ABAC) z domyślnymi lub niestandardowymi atrybutami zabezpieczeń. Celem jest szczegółowa kontrola dostępu do zasobów chronionych za pomocą identyfikatora Entra firmy Microsoft.

    Konfigurowanie kontroli dostępu opartej na rolach (RBAC)
  • Omówienie kontroli dostępu opartej na rolach w usłudze Active Directory— wbudowane role firmy Microsoft
  • Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft

    Konfigurowanie usługi ABAC
  • Co to jest kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC)
  • Co to są niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy Microsoft?

    Konfigurowanie grup na potrzeby przypisywania ról
  • Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra
    		•
    Prąd zmienny. L1-3.1.20

    Instrukcja praktyki: Weryfikowanie i kontrolowanie/ograniczanie połączeń z zewnętrznymi systemami informacyjnym i korzystanie z nich.

    Cele:
    Ustal, czy:
    [a.] zidentyfikowano połączenia z systemami zewnętrznymi;
    [b.] zidentyfikowano użycie systemów zewnętrznych;
    [c.] połączenia z systemami zewnętrznymi są weryfikowane;
    [d.] weryfikowane jest użycie systemów zewnętrznych;
    [e.] połączenia z systemami zewnętrznymi są kontrolowane lub ograniczone; i
    [f.] korzystanie z systemów zewnętrznych jest kontrolowane i ograniczone.    		 Odpowiadasz za konfigurowanie zasad dostępu warunkowego przy użyciu kontrolek urządzeń i lub lokalizacji sieciowych w celu kontrolowania i ograniczania połączeń i używania systemów zewnętrznych. Skonfiguruj warunki użytkowania (TOU) dla zarejestrowanego potwierdzenia przez użytkownika warunków i postanowień dotyczących używania systemów zewnętrznych w celu uzyskania dostępu.

    Konfigurowanie dostępu warunkowego zgodnie z wymaganiami
  • Co to jest dostęp warunkowy?
  • Wymaganie urządzeń zarządzanych na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego
  • Wymagaj, aby urządzenie było oznaczone jako zgodne
  • Dostęp warunkowy: filtrowanie urządzeń

    Blokowanie dostępu przy użyciu dostępu warunkowego
  • Dostęp warunkowy — blokowanie dostępu według lokalizacji

    Konfigurowanie warunków użytkowania
  • Warunki użytkowania
  • Dostęp warunkowy wymaga warunków użytkowania
    		•
    Prąd zmienny. L1-3.1.22

    Instrukcja praktyki: Informacje dotyczące kontroli publikowane lub przetwarzane w publicznie dostępnych systemach informacyjnych.

    Cele:
    Ustal, czy:
    [a.] zidentyfikowane są osoby uprawnione do publikowania lub przetwarzania informacji o systemach dostępnych publicznie;
    [b.] zidentyfikowano procedury zapewniające, że wystąpienia klastra trybu failover nie są publikowane ani przetwarzane w systemach dostępnych publicznie;
    [c.] proces przeglądu odbywa się przed opublikowaniem jakiejkolwiek zawartości w publicznie dostępnych systemach; i
    [d.] zawartość publicznie dostępnych systemów jest przeglądana w celu zapewnienia, że nie zawiera informacji o umowie federalnej (FCI).    		 Odpowiadasz za skonfigurowanie usługi Privileged Identity Management (PIM) w celu zarządzania dostępem do systemów, w których opublikowane informacje są publicznie dostępne. Wymagaj zatwierdzeń z uzasadnieniem przed przypisaniem roli w usłudze PIM. Skonfiguruj warunki użytkowania (TOU) dla systemów, w których opublikowane informacje są publicznie dostępne dla zarejestrowanego potwierdzenia warunków i postanowień dotyczących publikowania publicznie dostępnych informacji.

    Planowanie wdrożenia usługi PIM
  • Co to jest usługa Privileged Identity Management?
  • Planowanie wdrożenia usługi Privileged Identity Management

    Konfigurowanie warunków użytkowania
  • Warunki użytkowania
  • Dostęp warunkowy wymaga warunków użytkowania
  • Konfigurowanie ustawień roli entra firmy Microsoft w usłudze PIM — wymagaj uzasadnienia
    		•

    Domena identyfikacji i uwierzytelniania (IA)

    Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.

    Instrukcja i cele praktyki CMMC Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
    IA. L1-3.5.1

    Instrukcja praktyki: identyfikowanie użytkowników systemu informacyjnego, procesów działających w imieniu użytkowników lub urządzeń.

    Cele:
    Ustal, czy:
    [a.] zidentyfikowano użytkowników systemu;
    [b.] zidentyfikowano procesy działające w imieniu użytkowników; i
    [c.] zidentyfikowano urządzenia, które uzyskują dostęp do systemu.    		 Identyfikator entra firmy Microsoft jednoznacznie identyfikuje użytkowników, procesy (tożsamości jednostki usługi/obciążenia) i urządzenia za pośrednictwem właściwości ID w odpowiednich obiektach katalogu. Pliki dziennika można filtrować, aby ułatwić ocenę, korzystając z poniższych linków. Skorzystaj z poniższej dokumentacji, aby osiągnąć cele oceny.

    Filtrowanie dzienników według właściwości użytkownika
  • Typ zasobu użytkownika: właściwość ID

    Filtrowanie dzienników według właściwości usługi
  • Typ zasobu ServicePrincipal: właściwość ID

    Filtrowanie dzienników według właściwości urządzenia
  • Typ zasobu urządzenia: właściwość ID
    		•
    IA. L1-3.5.2

    Instrukcja praktyki: uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji.

    Cele:
    Ustal, czy:
    [a.] tożsamość każdego użytkownika jest uwierzytelniana lub weryfikowana jako wymaganie wstępne dostępu do systemu;
    [b.] tożsamość każdego procesu działającego w imieniu użytkownika jest uwierzytelniana lub weryfikowana jako wymaganie wstępne dostępu do systemu; i
    [c.] tożsamość każdego urządzenia, które uzyskuje dostęp do systemu lub łączy się z systemem, jest uwierzytelniana lub weryfikowana jako wymaganie wstępne dostępu do systemu.    		 Microsoft Entra ID unikatowo uwierzytelnia lub weryfikuje każdego użytkownika, przetwarza działanie w imieniu użytkownika lub urządzenia jako wymaganie wstępne dostępu do systemu. Skorzystaj z poniższej dokumentacji, aby osiągnąć cele oceny.

    Konfigurowanie kont użytkowników
  • Czym jest uwierzytelnianie usługi Microsoft Entra?

    Konfigurowanie identyfikatora entra firmy Microsoft w celu spełnienia poziomów NIST authenticator assurance

    Konfigurowanie kont jednostek usługi
  • Uwierzytelnianie jednostki usługi

    Konfigurowanie kont urządzeń
  • Co to jest tożsamość urządzenia?
  • Jak to działa: rejestracja urządzenia
  • Co to jest podstawowy token odświeżania?
  • Co zawiera żądanie PRT
    		•

    Domena integralności systemu i informacji (SI)

    Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.

    Instrukcja praktyki cmMC Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
    SI. L1-3.14.1 — identyfikowanie, zgłaszanie i poprawianie błędów systemu informacji i informacji w odpowiednim czasie.

    SI. L1-3.14.2 — zapewnienie ochrony przed złośliwym kodem w odpowiednich lokalizacjach w systemach informacyjnych organizacji.

    SI. L1-3.14.4 — aktualizowanie mechanizmów ochrony złośliwego kodu, gdy są dostępne nowe wersje.

    SI. L1-3.14.5 — wykonywanie okresowych skanów systemu informacyjnego i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym podczas pobierania, otwierania lub wykonywania plików.    		 Skonsolidowane wskazówki dotyczące starszych urządzeń zarządzanych
    Skonfiguruj dostęp warunkowy, aby wymagać urządzenia przyłączonego hybrydowego firmy Microsoft Firmy Microsoft. W przypadku urządzeń przyłączonych do lokalnej usługi AD zakłada się, że kontrola nad tymi urządzeniami jest wymuszana przy użyciu rozwiązań do zarządzania, takich jak program Configuration Manager lub zasady grupy (GP). Ponieważ nie ma metody identyfikatora Entra firmy Microsoft w celu określenia, czy którakolwiek z tych metod została zastosowana do urządzenia, wymaganie urządzenia hybrydowego firmy Microsoft Entra jest stosunkowo słabym mechanizmem wymagającym zarządzanego urządzenia. Administrator ocenia, czy metody stosowane do lokalnych urządzeń przyłączonych do domeny są wystarczająco silne, aby stanowić urządzenie zarządzane, jeśli urządzenie jest również urządzeniem dołączonym hybrydowo firmy Microsoft Entra.

    Skonsolidowane wskazówki dotyczące urządzeń zarządzanych przez chmurę (lub współzarządzania)
    Skonfiguruj dostęp warunkowy, aby wymagać, aby urządzenie było oznaczone jako zgodne, najmocniejszy formularz do żądania zarządzanego urządzenia. Ta opcja wymaga rejestracji urządzeń przy użyciu identyfikatora Entra firmy Microsoft i wskazanej jako zgodnej z usługą Intune lub systemem zarządzania urządzeniami przenośnymi (MDM) innej firmy, który zarządza urządzeniami z systemem Windows 10 za pośrednictwem integracji firmy Microsoft Entra.

    Następne kroki