Konfigurowanie identyfikatora entra firmy Microsoft w celu spełnienia poziomu CMMC Level 2
Identyfikator Entra firmy Microsoft pomaga spełnić wymagania dotyczące praktyk związanych z tożsamościami na każdym poziomie certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC). Aby zapewnić zgodność z wymaganiami na poziomie 2.0 cmMC 2, to odpowiedzialność firm wykonujących pracę w imieniu działu obrony (DoD) w celu ukończenia innych konfiguracji lub procesów.
W programie CMMC Level 2 istnieją 13 domen, które mają co najmniej jedną praktykę związaną z tożsamością:
- Kontrola dostępu (AC)
- Inspekcja i odpowiedzialność (AU)
- Zarządzanie konfiguracją (CM)
- Identyfikacja i uwierzytelnianie (IA)
- Reagowanie na zdarzenia (IR)
- Konserwacja (MA)
- Ochrona multimediów (MP)
- Zabezpieczenia personelu (PS)
- Ochrona fizyczna (PE)
- Ocena ryzyka (RA)
- Ocena zabezpieczeń (CA)
- Ochrona systemu i komunikacji (SC)
- Integralność systemu i informacji (SI)
Pozostała część tego artykułu zawiera wskazówki dotyczące wszystkich domen z wyjątkiem kontroli dostępu (AC) i identyfikacji i uwierzytelniania (IA), które zostały omówione w innych artykułach. Dla każdej domeny znajduje się tabela zawierająca linki do zawartości, która zawiera szczegółowe wskazówki dotyczące wykonywania tej praktyki.
Inspekcja i odpowiedzialność
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| AU. L2-3.3.1 Instrukcja praktyki: Tworzenie i zachowywanie dzienników inspekcji systemu oraz rekordów w celu umożliwienia monitorowania, analizy, badania i raportowania bezprawnych lub nieautoryzowanych działań systemowych. Cele: Ustal, czy: [a.] dzienniki inspekcji (na przykład typy zdarzeń do zarejestrowania) umożliwiające monitorowanie, analizę, badanie i raportowanie bezprawnych lub nieautoryzowanych działań systemowych; [b.] zdefiniowano zawartość rekordów inspekcji potrzebnych do wspierania monitorowania, analizy, badania i raportowania bezprawnych lub nieautoryzowanych działań systemowych; [c.] rekordy inspekcji są tworzone (generowane); [d.] rekordy inspekcji, po utworzeniu, zawierają zdefiniowaną zawartość; [e.] zdefiniowano wymagania dotyczące przechowywania rekordów inspekcji; i [f.] rekordy inspekcji są zachowywane zgodnie z definicją. AU. L2-3.3.2 Instrukcja praktyki: Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. Cele: Ustal, czy: [a.] zdefiniowana jest zawartość rekordów inspekcji wymaganych do obsługi możliwości unikatowego śledzenia użytkowników w ich działaniach; i [b.] rekordy inspekcji, po utworzeniu, zawierają zdefiniowaną zawartość. |
Wszystkie operacje są poddawane inspekcji w dziennikach inspekcji firmy Microsoft Entra. Każdy wpis dziennika inspekcji zawiera niezmienny identyfikator objectID użytkownika, który może służyć do unikatowego śledzenia poszczególnych użytkowników systemu do każdej akcji. Dzienniki można zbierać i analizować przy użyciu rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takiego jak Microsoft Sentinel. Alternatywnie możesz użyć usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm w celu włączenia monitorowania i powiadomień. Raporty dotyczące inspekcji w witrynie Azure Portal Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure |
| AU. L2-3.3.4 Instrukcja praktyki: Alert, jeśli proces rejestrowania inspekcji zakończy się niepowodzeniem. Cele: Ustal, czy: [a.] personel lub role, które mają być powiadamiane, jeśli zostanie zidentyfikowany błąd procesu rejestrowania inspekcji; [b.] typy błędów procesu rejestrowania inspekcji, dla których zostanie wygenerowany alert, są zdefiniowane; i [c] zidentyfikowany personel lub role są powiadamiane w przypadku niepowodzenia procesu rejestrowania inspekcji. |
Usługa Azure Service Health powiadamia o zdarzeniach usługi platformy Azure, aby można było podjąć działania w celu ograniczenia przestojów. Skonfiguruj dostosowywalne alerty w chmurze dla identyfikatora Entra firmy Microsoft. What is Azure Service Health? (Co to jest usługa Azure Service Health?) Trzy sposoby otrzymywania powiadomień o problemach z usługą platformy Azure Azure Service Health |
| AU. L2-3.3.6 Instrukcja praktyki: zapewnianie redukcji rekordów inspekcji i generowania raportów w celu obsługi analizy i raportowania na żądanie. Cele: Ustal, czy: [a.] zapewniana jest możliwość redukcji rekordów inspekcji, która obsługuje analizę na żądanie; i [b.] Zapewniana jest funkcja generowania raportów, która obsługuje raportowanie na żądanie. |
Upewnij się, że zdarzenia entra firmy Microsoft są uwzględnione w strategii rejestrowania zdarzeń. Dzienniki można zbierać i analizować przy użyciu rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takiego jak Microsoft Sentinel. Alternatywnie możesz użyć usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm w celu włączenia monitorowania i powiadomień. Użyj zarządzania upoważnieniami firmy Microsoft z przeglądami dostępu, aby zapewnić stan zgodności kont. Raporty dotyczące inspekcji w witrynie Azure Portal Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure |
| AU. L2-3.3.8 Instrukcja praktyki: ochrona informacji inspekcji i narzędzi rejestrowania inspekcji przed nieautoryzowanym dostępem, modyfikacją i usunięciem. Cele: Ustal, czy: [a.] informacje inspekcji są chronione przed nieautoryzowanym dostępem; [b.] informacje inspekcji są chronione przed nieautoryzowaną modyfikacją; [c.] informacje inspekcji są chronione przed nieautoryzowanym usunięciem; [d.] narzędzia rejestrowania inspekcji są chronione przed nieautoryzowanym dostępem; [e.] Narzędzia rejestrowania inspekcji są chronione przed nieautoryzowanymi modyfikacjami; i [f.] Narzędzia rejestrowania inspekcji są chronione przed nieautoryzowanym usunięciem. AU. L2-3.3.9 Instrukcja praktyki: Ograniczanie zarządzania funkcjami rejestrowania inspekcji do podzbioru uprzywilejowanych użytkowników. Cele: Ustal, czy: [a.] zdefiniowano podzestaw uprzywilejowanych użytkowników, którym udzielono dostępu do zarządzania funkcjami rejestrowania inspekcji; i [b.] zarządzanie funkcjami rejestrowania inspekcji jest ograniczona do zdefiniowanego podzestawu uprzywilejowanych użytkowników. |
Dzienniki firmy Microsoft Entra są domyślnie przechowywane przez 30 dni. Te dzienniki nie mogą modyfikować ani usuwać i są dostępne tylko dla ograniczonego zestawu ról uprzywilejowanych. Dzienniki logowania w usłudze identyfikatora Microsoft Entra Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft |
Zarządzanie konfiguracją (CM)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| CM.L2-3.4.2 Instrukcja praktyki: Ustanawianie i wymuszanie ustawień konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. Cele: Ustal, czy: [a.] ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemie są ustanawiane i uwzględniane w konfiguracji odniesienia; i [b.] Wymuszane są ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemie. |
Przyjęcie stanu zabezpieczeń o zerowym zaufaniu. Użyj zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić ustawienia konfiguracji zabezpieczeń na urządzeniu przy użyciu rozwiązań MDM, takich jak Microsoft Intune. Program Microsoft Configuration Manager lub obiekty zasad grupy mogą być również brane pod uwagę we wdrożeniach hybrydowych i w połączeniu z dostępem warunkowym wymagają urządzenia przyłączonego hybrydowego firmy Microsoft Entra. Zero zaufania Zabezpieczanie tożsamości przy użyciu zera zaufania Dostęp warunkowy Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft? Udzielanie kontrolek w zasadach dostępu warunkowego Zasady urządzeń Co to jest usługa Microsoft Intune? Co to jest Defender dla Chmury Apps? Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune? Rozwiązania do zarządzania punktami końcowymi firmy Microsoft |
| CM.L2-3.4.5 Instrukcja praktyki: Definiowanie, dokumentowanie, zatwierdzanie i wymuszanie ograniczeń dostępu fizycznego i logicznego skojarzonych ze zmianami w systemach organizacyjnych. Cele: Ustal, czy: [a.] ograniczenia dostępu fizycznego skojarzone ze zmianami w systemie są definiowane; [b.] ograniczenia dostępu fizycznego skojarzone ze zmianami w systemie są udokumentowane; [c.] ograniczenia dostępu fizycznego skojarzone ze zmianami w systemie są zatwierdzane; [d.] ograniczenia dostępu fizycznego skojarzone ze zmianami w systemie są wymuszane; [e.] definiowane są ograniczenia dostępu logicznego skojarzone ze zmianami w systemie; [f.] udokumentowane są ograniczenia dostępu logicznego skojarzone ze zmianami systemu; [g.] ograniczenia dostępu logicznego skojarzone ze zmianami w systemie są zatwierdzane; i [h.] wymuszane są ograniczenia dostępu logicznego skojarzone ze zmianami systemu. |
Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem. Klienci nie mają fizycznego dostępu do centrów danych firmy Microsoft Entra. W związku z tym każde ograniczenie dostępu fizycznego jest spełnione przez firmę Microsoft i dziedziczone przez klientów microsoft Entra ID. Zaimplementuj mechanizmy kontroli dostępu opartej na rolach firmy Microsoft. Wyeliminuj stały dostęp uprzywilejowany, zapewnij dostęp just in time z przepływami pracy zatwierdzania za pomocą usługi Privileged Identity Management. Omówienie kontroli dostępu opartej na rolach (RBAC) firmy Microsoft Co to jest usługa Privileged Identity Management? Zatwierdzanie lub odrzucanie żądań dotyczących ról firmy Microsoft w usłudze PIM |
| CM.L2-3.4.6 Instrukcja praktyki: zastosuj zasadę najmniejszych funkcji, konfigurując systemy organizacyjne w celu zapewnienia tylko podstawowych możliwości. Cele: Ustal, czy: [a.] podstawowe możliwości systemowe są definiowane na podstawie zasady najmniejszej funkcjonalności; i [b.] system jest skonfigurowany tak, aby zapewniał tylko zdefiniowane podstawowe możliwości. |
Skonfiguruj rozwiązania do zarządzania urządzeniami (takie jak usługa Microsoft Intune), aby zaimplementować niestandardowy punkt odniesienia zabezpieczeń zastosowany do systemów organizacyjnych w celu usunięcia nieistotnych aplikacji i wyłączenia niepotrzebnych usług. Pozostaw tylko najmniejsze możliwości niezbędne do efektywnego działania systemów. Skonfiguruj dostęp warunkowy, aby ograniczyć dostęp do zgodnych urządzeń lub urządzeń dołączonych hybrydo do firmy Microsoft. Co to jest usługa Microsoft Intune Wymagaj, aby urządzenie było oznaczone jako zgodne Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie urządzenia dołączonego hybrydowo do firmy Microsoft |
| CM.L2-3.4.7 Instrukcja praktyki: ograniczanie, wyłączanie lub zapobieganie używaniu programów, funkcji, portów, protokołów i usług. Cele: Ustal, czy: [a.]Podstawowe programy są zdefiniowane; [b.] definiowane jest użycie programów bezskutecznościowych; [c.] korzystanie z programów bezgłośnych jest ograniczone, wyłączone lub zablokowane zgodnie z definicją; [d.] podstawowe funkcje są definiowane; [e.] zdefiniowano użycie funkcji bezociągowych; [f.] korzystanie z funkcji bezociągowych jest ograniczone, wyłączone lub zablokowane zgodnie z definicją; [g.] zdefiniowano podstawowe porty; [h.] zdefiniowano użycie portów bezskuteczności; [i.] korzystanie z portów bezgłośnych jest ograniczone, wyłączone lub zablokowane zgodnie z definicją; [j.] zdefiniowano podstawowe protokoły; [k.] zdefiniowano użycie protokołów bezskuteczności; [l.] korzystanie z protokołów bezgłośnych jest ograniczone, wyłączone lub zablokowane zgodnie z definicją; [m.] zdefiniowano podstawowe usługi; [n.] zdefiniowano korzystanie z usług bezskuteczności; i [o.] korzystanie z usług bezskuteczności jest ograniczone, wyłączone lub zablokowane zgodnie z definicją. |
Użyj roli Administrator aplikacji, aby delegować autoryzowane użycie podstawowych aplikacji. Użyj ról aplikacji lub oświadczeń grup, aby zarządzać dostępem do najniższych uprawnień w aplikacji. Skonfiguruj zgodę użytkownika, aby wymagać zatwierdzenia przez administratora i nie zezwalaj na zgodę właściciela grupy. Skonfiguruj przepływy pracy żądań zgody administratora, aby umożliwić użytkownikom żądanie dostępu do aplikacji, które wymagają zgody administratora. Użyj usługi Microsoft Defender dla Chmury Apps, aby zidentyfikować niezaakceptowane/nieznane użycie aplikacji. Użyj tej telemetrii, aby następnie określić niezbędne/nie niezbędne aplikacje. Wbudowane role firmy Microsoft — Administrator aplikacji Role aplikacji Firmy Microsoft Entra — role aplikacji a grupy Konfigurowanie sposobu, w jaki użytkownicy wyrażają zgodę na aplikacje Konfigurowanie zgody właściciela grupy na aplikacje, które uzyskują dostęp do danych grupy Konfigurowanie przepływu pracy zgody administratora Co to jest Defender dla Chmury Apps? Odnajdywanie usługi Shadow IT i zarządzanie nim — samouczek |
| CM.L2-3.4.8 Instrukcja praktyki: stosowanie zasad odmów po wyjątku (lista zablokowanych), aby zapobiec używaniu nieautoryzowanego oprogramowania lub odmowy wszystkich, zasad dozwolonych (dozwolonych) zezwalania na wykonywanie autoryzowanego oprogramowania. Cele: Ustal, czy: [a.] zasady określające, czy lista dozwolonych lub lista zablokowanych ma zostać zaimplementowana, jest określona; [b.] oprogramowanie dozwolone do wykonania w ramach listy dozwolonych lub odmowy użycia w obszarze listy zablokowanych jest określone; i [c.] lista dozwolonych zezwala na wykonywanie autoryzowanego oprogramowania lub listy zablokowanych w celu zapobiegania używaniu nieautoryzowanego oprogramowania jest implementowana zgodnie z określonymi wymaganiami. CM.L2-3.4.9 Instrukcja praktyki: Kontrolowanie i monitorowanie oprogramowania zainstalowanego przez użytkownika. Cele: Ustal, czy: [a.] ustanowiono zasady kontrolowania instalacji oprogramowania przez użytkowników; [b.] instalacja oprogramowania przez użytkowników jest kontrolowana na podstawie ustalonych zasad; i [c.] instalacja oprogramowania przez użytkowników jest monitorowana. |
Skonfiguruj zasady zarządzania urządzeniami przenośnymi/konfiguracją, aby zapobiec używaniu nieautoryzowanego oprogramowania. Skonfiguruj mechanizmy kontroli udzielania dostępu warunkowego, aby wymagać zgodnego lub dołączonego hybrydowego urządzenia w celu uwzględnienia zgodności urządzeń z zasadami zarządzania urządzeniami przenośnymi/konfiguracją w decyzji autoryzacji dostępu warunkowego. Co to jest usługa Microsoft Intune Dostęp warunkowy — wymaganie zgodnych lub hybrydowych urządzeń przyłączonych |
Reagowanie na zdarzenia (IR)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| IR. L2-3.6.1 Instrukcja praktyki: ustanów możliwości obsługi zdarzeń operacyjnych dla systemów organizacyjnych, które obejmują działania związane z przygotowywaniem, wykrywaniem, analizą, ograniczaniem, odzyskiwaniem i reagowaniem na użytkownika. Cele: Ustal, czy: [a.] ustanowiono funkcję obsługi zdarzeń operacyjnych; [b.] możliwość obsługi zdarzeń operacyjnych obejmuje przygotowanie; [c.] możliwość obsługi zdarzeń operacyjnych obejmuje wykrywanie; [d.] możliwość obsługi zdarzeń operacyjnych obejmuje analizę; [e.] możliwość obsługi zdarzeń operacyjnych obejmuje zawieranie; [f.] możliwość obsługi zdarzeń operacyjnych obejmuje odzyskiwanie; i [g.] możliwość obsługi zdarzeń operacyjnych obejmuje działania reagowania na użytkownika. |
Implementowanie możliwości obsługi i monitorowania zdarzeń. Dzienniki inspekcji rejestrują wszystkie zmiany konfiguracji. Zdarzenia uwierzytelniania i autoryzacji są poddawane inspekcji w dziennikach logowania, a wszelkie wykryte zagrożenia są poddawane inspekcji w dziennikach Ochrona tożsamości Microsoft Entra. Każdy z tych dzienników można przesyłać strumieniowo bezpośrednio do rozwiązania SIEM, takiego jak Microsoft Sentinel. Alternatywnie użyj usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm. Inspekcja zdarzeń Raporty dotyczące inspekcji w witrynie Azure Portal Raporty aktywności logowania w witrynie Azure Portal Instrukcje: Badanie ryzyka Integracje rozwiązania SIEM Microsoft Sentinel: łączenie danych z usługi Microsoft Entra IDStream z centrum zdarzeń platformy Azure i innych programów SIEM |
Konserwacja (MA)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| MA. L2-3.7.5 Instrukcja praktyki: Wymagaj uwierzytelniania wieloskładnikowego w celu ustanowienia nielokalnego sesji konserwacji za pośrednictwem połączeń sieci zewnętrznych i zakończenia takich połączeń po zakończeniu konserwacji nielokacyjną. Cele: Ustal, czy: [a.] Uwierzytelnianie wieloskładnikowe służy do ustanawiania nielokacyjnych sesji konserwacji za pośrednictwem połączeń sieci zewnętrznych; i [b.] nielokalne sesje konserwacji ustanowione za pośrednictwem połączeń sieci zewnętrznych są przerywane po zakończeniu konserwacji nielokacyjnej. |
Do kont przypisanych praw administracyjnych są kierowane osoby atakujące, w tym konta używane do ustanawiania sesji konserwacji nielokalnych. Wymaganie uwierzytelniania wieloskładnikowego (MFA) na tych kontach jest łatwym sposobem zmniejszenia ryzyka naruszenia tych kont. Dostęp warunkowy — wymaganie uwierzytelniania wieloskładnikowego dla administratorów |
| MP. L2-3.8.7 Instrukcja praktyki: kontrolowanie użycia nośnika wymiennego w składnikach systemu. Cele: Ustal, czy: [a.] użycie nośnika wymiennego w składnikach systemu jest kontrolowane. |
Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby kontrolować użycie nośnika wymiennego w systemach. Wdrażanie wymiennej kontroli dostępu do magazynu i zarządzanie nią przy użyciu usługi Intune, programu Configuration Manager lub zasad grupy. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Intune Zasady zgodności urządzeń w usłudze Microsoft Intune Wymienna kontrola dostępu do magazynu Wdrażanie wymiennej kontroli dostępu do magazynu i zarządzanie nią przy użyciu usługi Intune Wdrażanie wymiennej kontroli dostępu do magazynu i zarządzanie nią przy użyciu zasad grupy |
Zabezpieczenia personelu (PS)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| PS. L2-3.9.2 Instrukcja praktyki: Upewnij się, że systemy organizacyjne zawierające cuI są chronione podczas i po działaniach personelu, takich jak zakończenia i transfery. Cele: Ustal, czy: [a.] ustanowiono zasady i/lub proces zakończenia dostępu systemu i wszelkich poświadczeń zbiegających się z akcjami personelu; [b.] dostęp do systemu i poświadczenia są przerywane zgodnie z działaniami personelu, takimi jak zakończenie lub przeniesienie; i [c] system jest chroniony podczas akcji transferu personelu i po nich. |
Skonfiguruj aprowizację (w tym wyłączenie po zakończeniu) kont w usłudze Microsoft Entra ID z zewnętrznych systemów hr, lokalna usługa Active Directory lub bezpośrednio w chmurze. Zakończ cały dostęp do systemu, odwołując istniejące sesje. Aprowizowanie konta Co to jest aprowizowanie tożsamości za pomocą identyfikatora Entra firmy Microsoft? Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji Czym jest synchronizacja w chmurze Microsoft Entra Connect? Odwoływanie wszystkich skojarzonych wystawców uwierzytelnień Odwoływanie dostępu użytkowników w nagłych wypadkach w identyfikatorze Entra firmy Microsoft |
Ochrona systemu i komunikacji (SC)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| SC. L2-3.13.3 Instrukcja praktyki: Oddzielne funkcje zarządzania systemem formularzy użytkownika. Cele: Ustal, czy: [a.] zidentyfikowano funkcjonalność użytkownika; [b.] zidentyfikowano funkcje zarządzania systemem; i [c.] funkcjonalność użytkownika jest oddzielona od funkcji zarządzania systemem. |
Obsługa oddzielnych kont użytkowników w usłudze Microsoft Entra ID na potrzeby codziennego użytku i zarządzania systemami lub systemami/uprzywilejowanym. Konta uprzywilejowane powinny być kontami tylko w chmurze lub zarządzanymi i nie są synchronizowane ze środowiska lokalnego, aby chronić środowisko chmury przed naruszeniem zabezpieczeń lokalnych. Dostęp systemowy/uprzywilejowany powinien być dozwolony tylko z stacji roboczej z dostępem uprzywilejowanym ze wzmocnionym zabezpieczeniami (PAW). Skonfiguruj filtry urządzeń dostępu warunkowego, aby ograniczyć dostęp do aplikacji administracyjnych z stacji roboczych z dostępem uprzywilejowanym, które są włączone przy użyciu usługi Azure Virtual Desktops. Dlaczego ważne są urządzenia z dostępem uprzywilejowanym Role i profile urządzeń Filtrowanie dla urządzeń jako warunku w zasadach dostępu warunkowego Azure Virtual Desktop |
| SC. L2-3.13.4 Instrukcja praktyki: Zapobieganie nieautoryzowanemu i niezamierzonemu transferowi informacji za pośrednictwem udostępnionych zasobów systemowych. Cele: Ustal, czy: [a.] nieautoryzowany i niezamierzony transfer informacji za pośrednictwem udostępnionych zasobów systemowych jest blokowany. |
Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby upewnić się, że urządzenia są zgodne z procedurami wzmacniania zabezpieczeń systemu. Uwzględnij zgodność z zasadami firmy dotyczącymi poprawek oprogramowania, aby zapobiec wykorzystaniu wad przez osoby atakujące. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Intune Zasady zgodności urządzeń w usłudze Microsoft Intune |
| SC. L2-3.13.13 Instrukcja praktyki: kontrolowanie i monitorowanie użycia kodu mobilnego. Cele: Ustal, czy: [a.] kontrolowane jest użycie kodu mobilnego; i [b.] monitorowanie użycia kodu mobilnego. |
Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby wyłączyć korzystanie z kodu mobilnego. W przypadku, gdy wymagane jest użycie kodu mobilnego, należy monitorować użycie z zabezpieczeniami punktu końcowego, takimi jak Ochrona punktu końcowego w usłudze Microsoft Defender. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Intune Zasady zgodności urządzeń w usłudze Microsoft Intune Defender for Endpoint Ochrona punktu końcowego w usłudze Microsoft Defender |
Integralność systemu i informacji (SI)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| SI. L2-3.14.7 Instrukcja praktyki: Cele: zidentyfikuj nieautoryzowane użycie systemów organizacyjnych. Ustal, czy: [a.] definiowane jest autoryzowane użycie systemu; i [b.] zidentyfikowano nieautoryzowane użycie systemu. |
Konsoliduj dane telemetryczne: dzienniki firmy Microsoft entra w celu strumieniowego przesyłania strumieniowego do rozwiązania SIEM, takiego jak Konfigurowanie zasad zarządzania urządzeniami za pomocą rozwiązania MDM (np. Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby wymagać wykrywania/ochrony włamań (IDS/IPS), takich jak Ochrona punktu końcowego w usłudze Microsoft Defender jest instalowany i używany. Użyj telemetrii dostarczonej przez usługę IDS/IPS, aby zidentyfikować nietypowe działania lub warunki związane z ruchem przychodzącym i wychodzącym lub nieautoryzowanym użyciem. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Intune Zasady zgodności urządzeń w usłudze Microsoft Intune Defender for Endpoint Ochrona punktu końcowego w usłudze Microsoft Defender |
Następne kroki
- Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft?
- Konfigurowanie dodatkowych kontrolek
- Dostęp warunkowy wymaga urządzenia zarządzanego — wymagaj urządzenia dołączonego hybrydowo do firmy Microsoft
- Dostęp warunkowy wymaga urządzenia zarządzanego — wymagaj, aby urządzenie było oznaczone jako zgodne
- Co to jest usługa Microsoft Intune?
- Współzarządzanie urządzeniami z systemem Windows 10