Konfigurowanie mechanizmów kontroli dostępu do tożsamości w celu spełnienia poziomu wysokiego wpływu fedRAMP

Artykuł
10/24/2024

Kontrola dostępu jest główną częścią osiągnięcia federalnego poziomu wysokiego wpływu programu zarządzania ryzykiem i autoryzacją (FedRAMP).

Poniższa lista kontrolek i ulepszeń kontroli w rodzinie kontroli dostępu (AC) może wymagać konfiguracji w dzierżawie firmy Microsoft Entra.

Rodzina kontrolek	opis
AC-2	Zarządzanie klientami
AC-6	Zasada najniższych uprawnień
AC-7	Nieudane próby logowania
AC-8	Powiadomienie o użyciu systemu
AC-10	Współbieżna kontrola sesji
AC-11	Blokada sesji
AC-12	Zakończenie sesji
AC-20	Korzystanie z zewnętrznych systemów informacyjnych

Każdy wiersz w poniższej tabeli zawiera normatywne wskazówki ułatwiające opracowywanie odpowiedzi organizacji na wszelkie wspólne obowiązki dotyczące ulepszenia kontroli lub kontroli.

Konfiguracje

Identyfikator i opis kontrolki FedRAMP	Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
ZARZĄDZANIE KONTAMI AC-2 Organizacja (a.) Identyfikuje i wybiera następujące typy kont systemu informacyjnego do obsługi misji organizacyjnych/funkcji biznesowych: [Przypisanie: typy kont systemu informacyjnego zdefiniowane przez organizację]; (b.) Przypisuje menedżerów kont dla kont systemu informacyjnego; (c.) Ustanawia warunki członkostwa w grupach i rolach; (d.) Określa autoryzowanych użytkowników systemu informacyjnego, członkostwa w grupie i roli oraz autoryzacji dostępu (tj. uprawnień) i innych atrybutów (zgodnie z wymaganiami) dla każdego konta; (e.) Wymaga zatwierdzeń przez [Przypisanie: personel lub role zdefiniowane przez organizację] w celu żądania utworzenia kont systemu informacyjnego; (f.) Tworzy, włącza, modyfikuje, wyłącza i usuwa konta systemu informacyjnego zgodnie z [Przypisanie: procedury lub warunki zdefiniowane przez organizację]; (g.) Monitoruje korzystanie z kont systemu informacyjnego; (h.) Powiadamia menedżerów kont: (1.) Jeśli konta nie są już wymagane; (2.) Gdy użytkownicy zostaną przerwani lub przeniesieni; i (3.) W przypadku zmiany użycia poszczególnych systemów informacyjnych lub konieczności znajomości; (i.) Autoryzuje dostęp do systemu informacyjnego na podstawie: (1.) Prawidłowa autoryzacja dostępu; (2.) Zamierzone użycie systemu; i (3.) Inne atrybuty wymagane przez organizację lub skojarzone misje/funkcje biznesowe; (j.) Przeglądy kont pod kątem zgodności z wymaganiami dotyczącymi zarządzania kontami [Przypisanie FedRAMP: miesięczne dla uprzywilejowanego dostępu, co sześć (6) miesięcy dla dostępu bez uprawnień]; i (k.) Ustanawia proces ponownego tworzenia poświadczeń konta udostępnionego/grupy (jeśli wdrożono) po usunięciu osób z grupy.	Zaimplementuj zarządzanie cyklem życia konta dla kont kontrolowanych przez klienta. Monitorowanie korzystania z kont i powiadamianie menedżerów kont o zdarzeniach cyklu życia konta. Przejrzyj konta pod kątem zgodności z wymaganiami dotyczącymi zarządzania kontami co miesiąc w przypadku dostępu uprzywilejowanego i co sześć miesięcy dla dostępu nieuprzywilejowanego. Użyj identyfikatora Entra firmy Microsoft, aby aprowizować konta z zewnętrznych systemów KADR, lokalna usługa Active Directory lub bezpośrednio w chmurze. Wszystkie operacje cyklu życia konta są poddawane inspekcji w dziennikach inspekcji firmy Microsoft Entra. Dzienniki można zbierać i analizować przy użyciu rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takiego jak Microsoft Sentinel. Alternatywnie możesz użyć usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm w celu włączenia monitorowania i powiadomień. Użyj zarządzania upoważnieniami firmy Microsoft z przeglądami dostępu, aby zapewnić stan zgodności kont. Aprowizuj konta Planowanie aprowizacji użytkowników w chmurze w usłudze Microsoft Entra Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji Dodawanie lub usuwanie użytkowników przy użyciu Microsoft Entra ID Monitorowanie kont Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure Przeglądanie kont Co to jest zarządzanie upoważnieniami firmy Microsoft Entra? Tworzenie przeglądu dostępu pakietu dostępu w usłudze Microsoft Entra entitlement management Przeglądanie dostępu do pakietu dostępu w rozwiązaniu Microsoft Entra entitlement management Zasoby Uprawnienia roli Administora w usłudze Microsoft Entra ID Grupy dynamiczne w identyfikatorze Entra firmy Microsoft
AC-2(1) Organizacja wykorzystuje zautomatyzowane mechanizmy do obsługi zarządzania kontami systemu informacyjnego.	Stosowanie zautomatyzowanych mechanizmów do obsługi zarządzania kontami kontrolowanymi przez klienta. Skonfiguruj automatyczną aprowizację kont kontrolowanych przez klienta z zewnętrznych systemów KADR lub lokalna usługa Active Directory. W przypadku aplikacji obsługujących aprowizację aplikacji skonfiguruj identyfikator Entra firmy Microsoft, aby automatycznie tworzyć tożsamości użytkowników i role w oprogramowaniu w chmurze jako aplikacjach saaS, do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról. Aby ułatwić monitorowanie użycia konta, możesz przesyłać strumieniowo dzienniki Ochrona tożsamości Microsoft Entra, które pokazują ryzykownych użytkowników, ryzykowne logowania i wykrywanie ryzyka oraz dzienniki inspekcji bezpośrednio w usłudze Microsoft Sentinel lub Event Hubs. Inicjowanie Planowanie aprowizacji użytkowników w chmurze w usłudze Microsoft Entra Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji Co to jest automatyczna aprowizacja użytkowników aplikacji SaaS w identyfikatorze Entra firmy Microsoft? Samouczki integracji aplikacji SaaS do użycia z identyfikatorem Entra firmy Microsoft Monitorowanie i inspekcja Badanie ryzyka Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra Co to jest usługa Microsoft Sentinel? Microsoft Sentinel: łączenie danych z identyfikatora Entra firmy Microsoft Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure
AC-2(2) System informacyjny automatycznie [Wybór FedRAMP: wyłącza] konta tymczasowe i awaryjne po [Przypisanie FedRAMP: 24 godziny od ostatniego użycia]. AC-02(3) System informacyjny automatycznie wyłącza nieaktywne konta po [Przypisanie FedRAMP: trzydzieści pięć (35) dni dla kont użytkowników]. Ac-2 (3) Dodatkowe wymagania i wskazówki FedRAMP: Wymaganie: Dostawca usług definiuje okres dla kont innych niż użytkownicy (np. kont skojarzonych z urządzeniami). Okresy są zatwierdzane i akceptowane przez JAB/AO. W przypadku gdy zarządzanie użytkownikami jest funkcją usługi, udostępniane są raporty o aktywności użytkowników konsumentów.	Stosowanie zautomatyzowanych mechanizmów do automatycznego usuwania lub wyłączania kont tymczasowych i awaryjnych po 24 godzinach od ostatniego użycia i wszystkich kont kontrolowanych przez klienta po 35 dniach braku aktywności. Zaimplementuj automatyzację zarządzania kontami za pomocą programu Microsoft Graph i programu Microsoft Graph PowerShell. Użyj programu Microsoft Graph, aby monitorować aktywność logowania i program Microsoft Graph PowerShell, aby podejmować działania na kontach w wymaganym przedziale czasu. Określanie braku aktywności Zarządzanie nieaktywnym kontami użytkowników w identyfikatorze Microsoft Entra ID Zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft Usuwanie lub wyłączanie kont Praca z użytkownikami w programie Microsoft Graph Pobieranie użytkownika Aktualizowanie użytkownika Usuwanie użytkownika Praca z urządzeniami w programie Microsoft Graph Pobieranie urządzenia Aktualizowanie urządzenia Usuwanie urządzenia Zobacz dokumentację programu PowerShell dla programu Microsoft Graph Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) System informacyjny automatycznie przeprowadza inspekcję tworzenia, modyfikowania, włączania, wyłączania i usuwania akcji oraz powiadamia [FedRAMP Assignment: organization and/or service provider system owner].	Zaimplementuj zautomatyzowany system inspekcji i powiadomień na potrzeby cyklu życia zarządzania kontami kontrolowanymi przez klienta. Wszystkie operacje cyklu życia konta, takie jak tworzenie konta, modyfikowanie, włączanie, wyłączanie i akcje usuwania, są poddawane inspekcji w dziennikach inspekcji platformy Azure. Dzienniki można przesyłać strumieniowo bezpośrednio do usługi Microsoft Sentinel lub Event Hubs, aby ułatwić wysyłanie powiadomień. Audit Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra Microsoft Sentinel: łączenie danych z identyfikatora Entra firmy Microsoft Powiadomienie Co to jest usługa Microsoft Sentinel? Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure
AC-2(5) Organizacja wymaga, aby użytkownicy wylogowywali się, gdy [Przypisanie FedRAMP: brak aktywności może przekroczyć piętnaście (15) minut]. Ac-2 (5) Dodatkowe wymagania i wskazówki FedRAMP: Wskazówki: Należy użyć krótszego przedziału czasu niż AC-12	Zaimplementuj wylogowanie urządzenia po 15-minutowym okresie braku aktywności. Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, które ograniczają dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić blokadę urządzenia na poziomie systemu operacyjnego przy użyciu rozwiązań do zarządzania urządzeniami przenośnymi (MDM), takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Częstotliwość logowania użytkownika Zasady zarządzania urządzeniami przenośnymi Skonfiguruj urządzenia przez maksymalną liczbę minut braku aktywności do momentu zablokowania ekranu i wymaga hasła do odblokowania (Android, iOS, Windows 10).
AC-2(7) Organizacja: (a.) Ustanawia i zarządza uprzywilejowanymi kontami użytkowników zgodnie z schematem dostępu opartego na rolach, który organizuje dozwolony dostęp systemu informacji i uprawnienia do ról; b) Monitoruje przypisania ról uprzywilejowanych; i (c) Pobiera [Przypisanie FedRAMP: wyłącza/odwołuje dostęp w określonym czasie w organizacji], gdy przypisania ról uprzywilejowanych nie są już odpowiednie.	Administrowanie i monitorowanie przypisań ról uprzywilejowanych przez wykonanie schematu dostępu opartego na rolach dla kont kontrolowanych przez klienta. Wyłącz lub odwołaj dostęp uprzywilejowany dla kont, jeśli nie są już odpowiednie. Zaimplementuj usługę Microsoft Entra Privileged Identity Management z przeglądami dostępu dla ról uprzywilejowanych w usłudze Microsoft Entra ID, aby monitorować przypisania ról i usuwać przypisania ról, gdy nie są już odpowiednie. Dzienniki inspekcji można przesyłać strumieniowo bezpośrednio do usługi Microsoft Sentinel lub Event Hubs, aby ułatwić monitorowanie. Administrowanie Co to jest microsoft Entra Privileged Identity Management? Maksymalny czas trwania aktywacji Monitor Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management Wyświetlanie historii inspekcji ról usługi Microsoft Entra w usłudze Privileged Identity Management Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra Co to jest usługa Microsoft Sentinel? Łączenie danych z identyfikatora Entra firmy Microsoft Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure
AC-2(11) System informacyjny wymusza [Przypisanie: okoliczności zdefiniowane przez organizację i/lub warunki użycia] dla [Przypisanie: konta systemu informacyjnego zdefiniowane przez organizację].	Wymuszanie użycia kont kontrolowanych przez klienta w celu spełnienia warunków lub okoliczności zdefiniowanych przez klienta. Tworzenie zasad dostępu warunkowego w celu wymuszania decyzji dotyczących kontroli dostępu między użytkownikami i urządzeniami. Dostęp warunkowy Tworzenie zasady dostępu warunkowego Co to jest dostęp warunkowy?
AC-2(12) Organizacja: a) Monitoruje konta systemu informacyjnego [Przypisanie: użycie nietypowe zdefiniowane przez organizację]; i b) Zgłasza nietypowe użycie kont systemu informacyjnego do [Przypisanie FedRAMP: co najmniej logowanie jednokrotne i/lub podobną rolę w organizacji]. Ac-2 (12) (a) i AC-2 (12) (b) Dodatkowe wymagania i wskazówki FedRAMP: Wymagane dla kont uprzywilejowanych.	Monitorowanie i zgłaszanie kont kontrolowanych przez klienta przy użyciu uprzywilejowanego dostępu do nietypowego użycia. Aby uzyskać pomoc dotyczącą monitorowania nietypowego użycia, możesz przesyłać strumieniowo dzienniki Ochrona tożsamości Microsoft Entra, które pokazują ryzykownych użytkowników, ryzykowne logowania i wykrycia ryzyka oraz dzienniki inspekcji, które ułatwiają korelację z przypisaniem uprawnień, bezpośrednio do rozwiązania SIEM, takiego jak Microsoft Sentinel. Usługi Event Hubs można również używać do integrowania dzienników z rozwiązaniami SIEM innych firm. Ochrona identyfikatorów Co to jest Ochrona usługi Microsoft Entra ID? Badanie ryzyka powiadomienia Ochrona tożsamości Microsoft Entra Monitorowanie kont Co to jest usługa Microsoft Sentinel? Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure
AC-2(13) Organizacja wyłącza konta użytkowników stwarzających znaczne ryzyko w [Przydział FedRAMP: jedna (1) godzina] odnajdywania ryzyka.	Wyłącz konta użytkowników kontrolowane przez klienta, które stanowią znaczne ryzyko w ciągu jednej godziny. W Ochrona tożsamości Microsoft Entra skonfiguruj i włącz zasady ryzyka użytkownika z progiem ustawionym na Wysoki. Utwórz zasady dostępu warunkowego, aby zablokować dostęp dla ryzykownych użytkowników i ryzykownych logów. Skonfiguruj zasady ryzyka, aby umożliwić użytkownikom samodzielne korygowanie i odblokowywanie kolejnych prób logowania. Ochrona identyfikatorów Co to jest Ochrona usługi Microsoft Entra ID? Dostęp warunkowy Co to jest dostęp warunkowy? Tworzenie zasady dostępu warunkowego Dostęp warunkowy: dostęp warunkowy oparty na ryzyku użytkownika Dostęp warunkowy: dostęp warunkowy oparty na ryzyku logowania Samodzielne korygowanie przy użyciu zasad ryzyka
AC-6(7) Organizacja: (a.) Przeglądy [Przypisanie FedRAMP: co najmniej co roku] uprawnienia przypisane do [Przypisanie FedRAMP: wszyscy użytkownicy z uprawnieniami] w celu zweryfikowania potrzeby takich uprawnień; i (b.) Ponowne przypisywanie lub usuwanie uprawnień w razie potrzeby w celu poprawnego odzwierciedlenia misji organizacji/potrzeb biznesowych.	Co roku przejrzyj i zweryfikuj wszystkich użytkowników z uprzywilejowanym dostępem. Upewnij się, że uprawnienia są ponownie przypisywane (lub usuwane w razie potrzeby), aby dopasować je do wymagań biznesowych i misji organizacji. Użyj zarządzania upoważnieniami firmy Microsoft z przeglądami dostępu dla uprzywilejowanych użytkowników, aby sprawdzić, czy wymagany jest uprzywilejowany dostęp. Przeglądy dostępu Co to jest zarządzanie upoważnieniami firmy Microsoft Entra? Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management Przeglądanie dostępu do pakietu dostępu w rozwiązaniu Microsoft Entra entitlement management
Ac-7 nieudane próby logowania Organizacja: (a.) Wymusza limit [Przypisanie FedRAMP: nie więcej niż trzy (3)] kolejne nieprawidłowe próby logowania przez użytkownika podczas [Przypisania FedRAMP: piętnaście (15)* minut]; i (b.)* Automatycznie [Wybór: blokuje konto/węzeł dla [Przypisania FedRAMP: co najmniej trzy (3) godziny lub do momentu odblokowania przez administratora]; opóźnia następny monit logowania zgodnie z [Przypisanie: algorytm opóźnienia zdefiniowanego przez organizację]] po przekroczeniu maksymalnej liczby nieudanych prób.	Wymuszanie limitu nie więcej niż trzech kolejnych nieudanych prób logowania dla zasobów wdrożonych przez klienta w ciągu 15 minut. Zablokuj konto przez co najmniej trzy godziny lub do momentu odblokowania przez administratora. Włącz niestandardowe ustawienia blokady inteligentnej. Skonfiguruj próg blokady i czas trwania blokady w sekundach, aby zaimplementować te wymagania. Inteligentna blokada Ochrona kont użytkowników przed atakami za pomocą inteligentnej blokady Microsoft Entra Zarządzanie wartościami inteligentnej blokady firmy Microsoft
Powiadomienie o użyciu systemu AC-8 System informacyjny: (a.) Wyświetla użytkownikom [Przypisanie: system zdefiniowany przez organizację używa komunikatu powiadomienia lub baneru (Przypisanie FedRAMP: zobacz dodatkowe wymagania i wskazówki)] przed udzieleniem dostępu do systemu, który zapewnia powiadomienia o ochronie prywatności i zabezpieczeń zgodne z obowiązującymi przepisami federalnymi, nakazami wykonawczymi, dyrektywami, zasadami, przepisami, standardami i wskazówkami i wskazówkami, które: (1.) Użytkownicy uzyskują dostęp do systemu informacyjnego dla instytucji rządowych USA; (2.) Użycie systemu informacyjnego może być monitorowane, rejestrowane i poddawane inspekcji; (3.) Nieautoryzowane korzystanie z systemu informacyjnego jest zabronione i podlega karze karnej i cywilnej; i (4.) Korzystanie z systemu informacyjnego wskazuje zgodę na monitorowanie i nagrywanie; (b.) Zachowuje komunikat powiadomienia lub baner na ekranie do momentu potwierdzenia warunków użytkowania przez użytkowników i podjęcia jawnych akcji w celu zalogowania się do systemu informacyjnego lub dalszego uzyskiwania do nich dostępu; i (c.) W przypadku systemów dostępnych publicznie: (1.) Wyświetla informacje o użyciu systemu [Przypisanie: warunki zdefiniowane przez organizację (Przypisanie FedRAMP: zobacz dodatkowe wymagania i wskazówki)], przed udzieleniem dalszego dostępu; (2.) Przedstawia odniesienia, jeśli istnieją, do monitorowania, rejestrowania lub inspekcji, które są zgodne z zakwaterowaniem prywatności w takich systemach, które na ogół zabraniają tych działań; i (3.) Zawiera opis autoryzowanych zastosowań systemu. Ac-8 Dodatkowe wymagania i wskazówki FedRAMP: Wymaganie: Dostawca usług określa elementy środowiska chmury, które wymagają kontroli użycia powiadomień systemowych. Elementy środowiska chmury, które wymagają powiadomienia o użyciu systemu, są zatwierdzane i akceptowane przez jaB/AO. Wymaganie: Usługodawca określa, w jaki sposób będzie weryfikowane powiadomienie o użyciu systemu i zapewnia odpowiednie okresowe sprawdzanie. Weryfikacja i okresowość użycia powiadomień systemowych są zatwierdzane i akceptowane przez JAB/AO. Wskazówki: Jeśli wykonano je w ramach sprawdzania linii bazowej konfiguracji, można podać % elementów wymagających ustawienia, które są sprawdzane i czy można sprawdzić powodzenie (lub niepowodzenie). Wymaganie: Jeśli nie zostało przeprowadzone w ramach kontroli linii bazowej konfiguracji, należy udokumentować umowę dotyczącą sposobu dostarczania wyników weryfikacji i niezbędnej okresowości weryfikacji przez dostawcę usług. Udokumentowana umowa dotycząca sposobu zapewnienia weryfikacji wyników jest zatwierdzana i akceptowana przez JAB/AO.	Wyświetlanie i wymaganie potwierdzenia przez użytkownika informacji o ochronie prywatności i zabezpieczeniach przed udzieleniem dostępu do systemów informacyjnych. Za pomocą identyfikatora Entra firmy Microsoft można dostarczać powiadomienia lub komunikaty banerów dla wszystkich aplikacji, które wymagają potwierdzenia i rejestrują je przed udzieleniem dostępu. Możesz szczegółowo kierować te zasady użytkowania do określonych użytkowników (członka lub gościa). Można je również dostosować na aplikację za pomocą zasad dostępu warunkowego. Warunki użytkowania Warunki użytkowania usługi Microsoft Entra Wyświetlanie raportu o tym, kto zaakceptował i odrzucił
AC-10 Concurrent Session Control System informacyjny ogranicza liczbę równoczesnych sesji dla każdego [Przypisania: konto zdefiniowane przez organizację i/lub typ konta] do [Przypisanie FedRAMP: trzy (3) sesje dla uprzywilejowanego dostępu i dwie sesje (2) dla dostępu nieuprzywilejowanego].	Ogranicz współbieżne sesje do trzech sesji na potrzeby dostępu uprzywilejowanego i dwóch dla dostępu nieuprzywilejowanego. Obecnie użytkownicy łączą się z wielu urządzeń, czasami jednocześnie. Ograniczenie współbieżnych sesji prowadzi do obniżonej wydajności środowiska użytkownika i zapewnia ograniczoną wartość zabezpieczeń. Lepszym podejściem do rozwiązania tej kontroli jest przyjęcie stanu zabezpieczeń o zerowym zaufaniu. Warunki są jawnie weryfikowane przed utworzeniem sesji i stale weryfikowane przez cały czas trwania sesji. Ponadto należy użyć następujących kontrolek wyrównywujących. Użyj zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić ograniczenia logowania użytkownika na poziomie systemu operacyjnego przy użyciu rozwiązań MDM, takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy. Użyj usługi Privileged Identity Management, aby dodatkowo ograniczyć i kontrolować konta uprzywilejowane. Skonfiguruj blokadę konta inteligentnego pod kątem nieprawidłowych prób logowania. Wskazówki dotyczące implementacji Zero Trust Zabezpieczanie tożsamości przy użyciu zera zaufania Ciągła ocena dostępu w usłudze Microsoft Entra ID Dostęp warunkowy Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft? Wymagaj, aby urządzenie było oznaczone jako zgodne Częstotliwość logowania użytkownika Zasady urządzeń Inne ustawienia zasad grupy kart inteligentnych i klucze rejestru Omówienie programu Microsoft Endpoint Manager Zasoby Co to jest microsoft Entra Privileged Identity Management? Ochrona kont użytkowników przed atakami za pomocą inteligentnej blokady Microsoft Entra Zobacz AC-12, aby uzyskać więcej wskazówek dotyczących ponownej oceny sesji i ograniczania ryzyka.
Blokada sesji AC-11 System informacyjny: (a) Uniemożliwia dalszy dostęp do systemu, inicjując blokadę sesji po [Przydział FedRAMP: piętnaście (15) minut] braku aktywności lub po otrzymaniu żądania od użytkownika; i (b) Zachowuje blokadę sesji do momentu ponownego ustanowienia dostępu przez użytkownika przy użyciu ustalonych procedur identyfikacji i uwierzytelniania. AC-11(1) System informacyjny ukrywa informacje, za pośrednictwem blokady sesji, informacje widoczne wcześniej na wyświetlaczu z widocznym publicznie obrazem.	Zaimplementuj blokadę sesji po 15-minutowym okresie braku aktywności lub po otrzymaniu żądania od użytkownika. Zachowaj blokadę sesji, dopóki użytkownik nie ponownie uwierzytelnia się. Ukrywanie wcześniej widocznych informacji podczas inicjowania blokady sesji. Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić blokadę urządzenia na poziomie systemu operacyjnego przy użyciu rozwiązań MDM, takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Częstotliwość logowania użytkownika Zasady zarządzania urządzeniami przenośnymi Skonfiguruj urządzenia przez maksymalną liczbę minut braku aktywności do momentu zablokowania ekranu (Android, iOS, Windows 10).
Zakończenie sesji AC-12 System informacyjny automatycznie kończy sesję użytkownika po [Przypisanie: warunki zdefiniowane przez organizację lub zdarzenia wyzwalające wymagające rozłączenia sesji].	Automatyczne kończenie sesji użytkownika po wystąpieniu zdefiniowanych przez organizację warunków lub zdarzeń wyzwalacza. Zaimplementuj automatyczną ocenę sesji użytkownika za pomocą funkcji firmy Microsoft Entra, takich jak dostęp warunkowy oparty na ryzyku i ciągła ocena dostępu. Warunki braku aktywności można zaimplementować na poziomie urządzenia zgodnie z opisem w artykule AC-11. Zasoby Dostęp warunkowy oparty na ryzyku logowania Dostęp warunkowy oparty na ryzyku użytkownika Ciągła ocena dostępu
AC-12(1) System informacyjny: (a.) Zapewnia możliwość wylogowywanie sesji komunikacji inicjowanych przez użytkownika za każdym razem, gdy uwierzytelnianie jest używane do uzyskiwania dostępu do [Przypisania: zasoby informacyjne zdefiniowane przez organizację]; i (b.) Wyświetla jawny komunikat wylogowania dla użytkowników wskazujący niezawodne zakończenie uwierzytelnionych sesji komunikacji. Ac-8 Dodatkowe wymagania i wskazówki FedRAMP: Wskazówki: Testowanie funkcji wylogowywanie (OTG-SESS-006) Testowanie funkcji wylogowywanie	Podaj możliwość wylogowywanie dla wszystkich sesji i wyświetl jawny komunikat wylogowywanie. Wszystkie interfejsy internetowe microsoft Entra ID udostępniają możliwości wylogowywanie sesji komunikacji inicjowanych przez użytkownika. Gdy aplikacje SAML są zintegrowane z identyfikatorem Microsoft Entra ID, zaimplementuj wylogowanie jednokrotne. Możliwość wylogowywanie Gdy użytkownik wybierze pozycję Wyloguj się wszędzie, wszystkie bieżące wystawione tokeny zostaną odwołane. Wyświetl komunikat Identyfikator entra firmy Microsoft automatycznie wyświetla komunikat po wylogowaniu zainicjowanym przez użytkownika. Zasoby Wyświetlanie i wyszukiwanie ostatnich działań logowania na stronie Moje logowania Wylogowanie jednokrotne — protokół SAML
AC-20 Korzystanie z systemów informacyjnych zewnętrznych Organizacja ustanawia warunki i postanowienia, zgodnie z wszelkimi relacjami zaufania ustalonymi z innymi organizacjami posiadającymi, operacyjnymi i/lub utrzymującymi zewnętrzne systemy informacyjne, umożliwiając autoryzowanym osobom: (a.) Dostęp do systemu informacyjnego z zewnętrznych systemów informacyjnych; i (b.) Przetwarzanie, przechowywanie lub przesyłanie informacji kontrolowanych przez organizację przy użyciu zewnętrznych systemów informacyjnych. AC-20(1) Organizacja zezwala autoryzowanym osobom na korzystanie z zewnętrznego systemu informacyjnego w celu uzyskania dostępu do systemu informacyjnego lub przetwarzania, przechowywania lub przesyłania informacji kontrolowanych przez organizację tylko wtedy, gdy organizacja: (a.) Weryfikuje implementację wymaganych mechanizmów kontroli zabezpieczeń w systemie zewnętrznym, jak określono w zasadach zabezpieczeń informacji i planie zabezpieczeń organizacji; lub (b.) Zachowuje zatwierdzone połączenie systemu informacyjnego lub umowy dotyczące przetwarzania z jednostką organizacyjną hostująca zewnętrzny system informacyjny.	Ustanów warunki i postanowienia, które umożliwiają autoryzowanym osobom dostęp do zasobów wdrożonych przez klienta z zewnętrznych systemów informacyjnych, takich jak urządzenia niezarządzane i sieci zewnętrzne. Wymagaj akceptacji warunków użytkowania dla autoryzowanych użytkowników, którzy uzyskują dostęp do zasobów z systemów zewnętrznych. Zaimplementuj zasady dostępu warunkowego, aby ograniczyć dostęp z systemów zewnętrznych. Zasady dostępu warunkowego można zintegrować z aplikacjami Defender dla Chmury w celu zapewnienia kontroli aplikacji w chmurze i lokalnych z systemów zewnętrznych. Zarządzanie aplikacjami mobilnymi w usłudze Intune może chronić dane organizacji na poziomie aplikacji, w tym aplikacje niestandardowe i aplikacje ze sklepu, z zarządzanych urządzeń, które współdziałają z systemami zewnętrznymi. Przykładem może być uzyskiwanie dostępu do usług w chmurze. Zarządzanie aplikacjami można używać na urządzeniach należących do organizacji i urządzeniach osobistych. Postanowienia Warunki użytkowania: Microsoft Entra ID Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Warunki w zasadach dostępu warunkowego: stan urządzenia (wersja zapoznawcza) Ochrona za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps Warunek lokalizacji w usłudze Microsoft Entra — dostęp warunkowy MDM Co to jest usługa Microsoft Intune? Co to jest Defender dla Chmury Apps? Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune? Zasób Integrowanie aplikacji lokalnych z aplikacjami Defender dla Chmury

Identyfikator i opis kontrolki FedRAMP

Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)

ZARZĄDZANIE KONTAMI AC-2

Organizacja
(a.) Identyfikuje i wybiera następujące typy kont systemu informacyjnego do obsługi misji organizacyjnych/funkcji biznesowych: [Przypisanie: typy kont systemu informacyjnego zdefiniowane przez organizację];

(b.) Przypisuje menedżerów kont dla kont systemu informacyjnego;

(c.) Ustanawia warunki członkostwa w grupach i rolach;

(d.) Określa autoryzowanych użytkowników systemu informacyjnego, członkostwa w grupie i roli oraz autoryzacji dostępu (tj. uprawnień) i innych atrybutów (zgodnie z wymaganiami) dla każdego konta;

(e.) Wymaga zatwierdzeń przez [Przypisanie: personel lub role zdefiniowane przez organizację] w celu żądania utworzenia kont systemu informacyjnego;

(f.) Tworzy, włącza, modyfikuje, wyłącza i usuwa konta systemu informacyjnego zgodnie z [Przypisanie: procedury lub warunki zdefiniowane przez organizację];

(g.) Monitoruje korzystanie z kont systemu informacyjnego;

(h.) Powiadamia menedżerów kont:
(1.) Jeśli konta nie są już wymagane;
(2.) Gdy użytkownicy zostaną przerwani lub przeniesieni; i
(3.) W przypadku zmiany użycia poszczególnych systemów informacyjnych lub konieczności znajomości;

(i.) Autoryzuje dostęp do systemu informacyjnego na podstawie:
(1.) Prawidłowa autoryzacja dostępu;
(2.) Zamierzone użycie systemu; i
(3.) Inne atrybuty wymagane przez organizację lub skojarzone misje/funkcje biznesowe;

(j.) Przeglądy kont pod kątem zgodności z wymaganiami dotyczącymi zarządzania kontami [Przypisanie FedRAMP: miesięczne dla uprzywilejowanego dostępu, co sześć (6) miesięcy dla dostępu bez uprawnień]; i

(k.) Ustanawia proces ponownego tworzenia poświadczeń konta udostępnionego/grupy (jeśli wdrożono) po usunięciu osób z grupy.

Zaimplementuj zarządzanie cyklem życia konta dla kont kontrolowanych przez klienta. Monitorowanie korzystania z kont i powiadamianie menedżerów kont o zdarzeniach cyklu życia konta. Przejrzyj konta pod kątem zgodności z wymaganiami dotyczącymi zarządzania kontami co miesiąc w przypadku dostępu uprzywilejowanego i co sześć miesięcy dla dostępu nieuprzywilejowanego.

Użyj identyfikatora Entra firmy Microsoft, aby aprowizować konta z zewnętrznych systemów KADR, lokalna usługa Active Directory lub bezpośrednio w chmurze. Wszystkie operacje cyklu życia konta są poddawane inspekcji w dziennikach inspekcji firmy Microsoft Entra. Dzienniki można zbierać i analizować przy użyciu rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takiego jak Microsoft Sentinel. Alternatywnie możesz użyć usługi Azure Event Hubs, aby zintegrować dzienniki z rozwiązaniami SIEM innych firm w celu włączenia monitorowania i powiadomień. Użyj zarządzania upoważnieniami firmy Microsoft z przeglądami dostępu, aby zapewnić stan zgodności kont.

Aprowizuj konta

Planowanie aprowizacji użytkowników w chmurze w usłudze Microsoft Entra

Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji

Dodawanie lub usuwanie użytkowników przy użyciu Microsoft Entra ID

Monitorowanie kont

Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra

Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel

Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure

Przeglądanie kont

Co to jest zarządzanie upoważnieniami firmy Microsoft Entra?

Tworzenie przeglądu dostępu pakietu dostępu w usłudze Microsoft Entra entitlement management

Przeglądanie dostępu do pakietu dostępu w rozwiązaniu Microsoft Entra entitlement management

Zasoby

Uprawnienia roli Administora w usłudze Microsoft Entra ID

Grupy dynamiczne w identyfikatorze Entra firmy Microsoft

AC-2(1)
Organizacja wykorzystuje zautomatyzowane mechanizmy do obsługi zarządzania kontami systemu informacyjnego.

Stosowanie zautomatyzowanych mechanizmów do obsługi zarządzania kontami kontrolowanymi przez klienta.

Skonfiguruj automatyczną aprowizację kont kontrolowanych przez klienta z zewnętrznych systemów KADR lub lokalna usługa Active Directory. W przypadku aplikacji obsługujących aprowizację aplikacji skonfiguruj identyfikator Entra firmy Microsoft, aby automatycznie tworzyć tożsamości użytkowników i role w oprogramowaniu w chmurze jako aplikacjach saaS, do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról. Aby ułatwić monitorowanie użycia konta, możesz przesyłać strumieniowo dzienniki Ochrona tożsamości Microsoft Entra, które pokazują ryzykownych użytkowników, ryzykowne logowania i wykrywanie ryzyka oraz dzienniki inspekcji bezpośrednio w usłudze Microsoft Sentinel lub Event Hubs.

Inicjowanie

Planowanie aprowizacji użytkowników w chmurze w usłudze Microsoft Entra

Microsoft Entra Connect Sync: Omówienie i dostosowywanie synchronizacji

Co to jest automatyczna aprowizacja użytkowników aplikacji SaaS w identyfikatorze Entra firmy Microsoft?

Samouczki integracji aplikacji SaaS do użycia z identyfikatorem Entra firmy Microsoft

Monitorowanie i inspekcja

Badanie ryzyka

Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra

Co to jest usługa Microsoft Sentinel?

Microsoft Sentinel: łączenie danych z identyfikatora Entra firmy Microsoft

Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure

AC-2(2)
System informacyjny automatycznie [Wybór FedRAMP: wyłącza] konta tymczasowe i awaryjne po [Przypisanie FedRAMP: 24 godziny od ostatniego użycia].

AC-02(3)
System informacyjny automatycznie wyłącza nieaktywne konta po [Przypisanie FedRAMP: trzydzieści pięć (35) dni dla kont użytkowników].

Ac-2 (3) Dodatkowe wymagania i wskazówki FedRAMP:
Wymaganie: Dostawca usług definiuje okres dla kont innych niż użytkownicy (np. kont skojarzonych z urządzeniami). Okresy są zatwierdzane i akceptowane przez JAB/AO. W przypadku gdy zarządzanie użytkownikami jest funkcją usługi, udostępniane są raporty o aktywności użytkowników konsumentów.

Stosowanie zautomatyzowanych mechanizmów do automatycznego usuwania lub wyłączania kont tymczasowych i awaryjnych po 24 godzinach od ostatniego użycia i wszystkich kont kontrolowanych przez klienta po 35 dniach braku aktywności.

Zaimplementuj automatyzację zarządzania kontami za pomocą programu Microsoft Graph i programu Microsoft Graph PowerShell. Użyj programu Microsoft Graph, aby monitorować aktywność logowania i program Microsoft Graph PowerShell, aby podejmować działania na kontach w wymaganym przedziale czasu.

Określanie braku aktywności

Zarządzanie nieaktywnym kontami użytkowników w identyfikatorze Microsoft Entra ID

Zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft

Usuwanie lub wyłączanie kont

Praca z użytkownikami w programie Microsoft Graph

Pobieranie użytkownika

Aktualizowanie użytkownika

Usuwanie użytkownika

Praca z urządzeniami w programie Microsoft Graph

Pobieranie urządzenia

Aktualizowanie urządzenia

Usuwanie urządzenia

Zobacz dokumentację programu PowerShell dla programu Microsoft Graph

AC-2(4)
System informacyjny automatycznie przeprowadza inspekcję tworzenia, modyfikowania, włączania, wyłączania i usuwania akcji oraz powiadamia [FedRAMP Assignment: organization and/or service provider system owner].

Zaimplementuj zautomatyzowany system inspekcji i powiadomień na potrzeby cyklu życia zarządzania kontami kontrolowanymi przez klienta.

Wszystkie operacje cyklu życia konta, takie jak tworzenie konta, modyfikowanie, włączanie, wyłączanie i akcje usuwania, są poddawane inspekcji w dziennikach inspekcji platformy Azure. Dzienniki można przesyłać strumieniowo bezpośrednio do usługi Microsoft Sentinel lub Event Hubs, aby ułatwić wysyłanie powiadomień.

Audit

Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra

Microsoft Sentinel: łączenie danych z identyfikatora Entra firmy Microsoft

Powiadomienie

Co to jest usługa Microsoft Sentinel?

Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure

AC-2(5)
Organizacja wymaga, aby użytkownicy wylogowywali się, gdy [Przypisanie FedRAMP: brak aktywności może przekroczyć piętnaście (15) minut].

Ac-2 (5) Dodatkowe wymagania i wskazówki FedRAMP:
Wskazówki: Należy użyć krótszego przedziału czasu niż AC-12

Zaimplementuj wylogowanie urządzenia po 15-minutowym okresie braku aktywności.

Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, które ograniczają dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić blokadę urządzenia na poziomie systemu operacyjnego przy użyciu rozwiązań do zarządzania urządzeniami przenośnymi (MDM), takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników.

Dostęp warunkowy

Wymagaj, aby urządzenie było oznaczone jako zgodne

Częstotliwość logowania użytkownika

Zasady zarządzania urządzeniami przenośnymi

Skonfiguruj urządzenia przez maksymalną liczbę minut braku aktywności do momentu zablokowania ekranu i wymaga hasła do odblokowania (Android, iOS, Windows 10).

AC-2(7)

Organizacja:
(a.) Ustanawia i zarządza uprzywilejowanymi kontami użytkowników zgodnie z schematem dostępu opartego na rolach, który organizuje dozwolony dostęp systemu informacji i uprawnienia do ról;
b) Monitoruje przypisania ról uprzywilejowanych; i
(c) Pobiera [Przypisanie FedRAMP: wyłącza/odwołuje dostęp w określonym czasie w organizacji], gdy przypisania ról uprzywilejowanych nie są już odpowiednie.

Administrowanie i monitorowanie przypisań ról uprzywilejowanych przez wykonanie schematu dostępu opartego na rolach dla kont kontrolowanych przez klienta. Wyłącz lub odwołaj dostęp uprzywilejowany dla kont, jeśli nie są już odpowiednie.

Zaimplementuj usługę Microsoft Entra Privileged Identity Management z przeglądami dostępu dla ról uprzywilejowanych w usłudze Microsoft Entra ID, aby monitorować przypisania ról i usuwać przypisania ról, gdy nie są już odpowiednie. Dzienniki inspekcji można przesyłać strumieniowo bezpośrednio do usługi Microsoft Sentinel lub Event Hubs, aby ułatwić monitorowanie.

Administrowanie

Co to jest microsoft Entra Privileged Identity Management?

Maksymalny czas trwania aktywacji

Monitor

Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management

Wyświetlanie historii inspekcji ról usługi Microsoft Entra w usłudze Privileged Identity Management

Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra

Co to jest usługa Microsoft Sentinel?

Łączenie danych z identyfikatora Entra firmy Microsoft

Samouczek: przesyłanie strumieniowe dzienników usługi Microsoft Entra do centrum zdarzeń platformy Azure

AC-2(11)
System informacyjny wymusza [Przypisanie: okoliczności zdefiniowane przez organizację i/lub warunki użycia] dla [Przypisanie: konta systemu informacyjnego zdefiniowane przez organizację].

Wymuszanie użycia kont kontrolowanych przez klienta w celu spełnienia warunków lub okoliczności zdefiniowanych przez klienta.

Tworzenie zasad dostępu warunkowego w celu wymuszania decyzji dotyczących kontroli dostępu między użytkownikami i urządzeniami.

Dostęp warunkowy

Tworzenie zasady dostępu warunkowego

Co to jest dostęp warunkowy?

AC-2(12)

Organizacja:
a) Monitoruje konta systemu informacyjnego [Przypisanie: użycie nietypowe zdefiniowane przez organizację]; i
b) Zgłasza nietypowe użycie kont systemu informacyjnego do [Przypisanie FedRAMP: co najmniej logowanie jednokrotne i/lub podobną rolę w organizacji].

Ac-2 (12) (a) i AC-2 (12) (b) Dodatkowe wymagania i wskazówki FedRAMP:
Wymagane dla kont uprzywilejowanych.

Monitorowanie i zgłaszanie kont kontrolowanych przez klienta przy użyciu uprzywilejowanego dostępu do nietypowego użycia.

Aby uzyskać pomoc dotyczącą monitorowania nietypowego użycia, możesz przesyłać strumieniowo dzienniki Ochrona tożsamości Microsoft Entra, które pokazują ryzykownych użytkowników, ryzykowne logowania i wykrycia ryzyka oraz dzienniki inspekcji, które ułatwiają korelację z przypisaniem uprawnień, bezpośrednio do rozwiązania SIEM, takiego jak Microsoft Sentinel. Usługi Event Hubs można również używać do integrowania dzienników z rozwiązaniami SIEM innych firm.

Ochrona identyfikatorów

Co to jest Ochrona usługi Microsoft Entra ID?

Badanie ryzyka

powiadomienia Ochrona tożsamości Microsoft Entra

Monitorowanie kont

Co to jest usługa Microsoft Sentinel?

Raporty aktywności inspekcji w centrum administracyjnym usługi Microsoft Entra

Łączenie danych firmy Microsoft Entra z usługą Microsoft Sentinel

Samouczek: przesyłanie strumieniowe dzienników do centrum zdarzeń platformy Azure

AC-2(13)
Organizacja wyłącza konta użytkowników stwarzających znaczne ryzyko w [Przydział FedRAMP: jedna (1) godzina] odnajdywania ryzyka.

Wyłącz konta użytkowników kontrolowane przez klienta, które stanowią znaczne ryzyko w ciągu jednej godziny.

W Ochrona tożsamości Microsoft Entra skonfiguruj i włącz zasady ryzyka użytkownika z progiem ustawionym na Wysoki. Utwórz zasady dostępu warunkowego, aby zablokować dostęp dla ryzykownych użytkowników i ryzykownych logów. Skonfiguruj zasady ryzyka, aby umożliwić użytkownikom samodzielne korygowanie i odblokowywanie kolejnych prób logowania.

Ochrona identyfikatorów

Co to jest Ochrona usługi Microsoft Entra ID?

Dostęp warunkowy

Co to jest dostęp warunkowy?

Tworzenie zasady dostępu warunkowego

Dostęp warunkowy: dostęp warunkowy oparty na ryzyku użytkownika

Dostęp warunkowy: dostęp warunkowy oparty na ryzyku logowania

Samodzielne korygowanie przy użyciu zasad ryzyka

AC-6(7)

Organizacja:
(a.) Przeglądy [Przypisanie FedRAMP: co najmniej co roku] uprawnienia przypisane do [Przypisanie FedRAMP: wszyscy użytkownicy z uprawnieniami] w celu zweryfikowania potrzeby takich uprawnień; i
(b.) Ponowne przypisywanie lub usuwanie uprawnień w razie potrzeby w celu poprawnego odzwierciedlenia misji organizacji/potrzeb biznesowych.

Co roku przejrzyj i zweryfikuj wszystkich użytkowników z uprzywilejowanym dostępem. Upewnij się, że uprawnienia są ponownie przypisywane (lub usuwane w razie potrzeby), aby dopasować je do wymagań biznesowych i misji organizacji.

Użyj zarządzania upoważnieniami firmy Microsoft z przeglądami dostępu dla uprzywilejowanych użytkowników, aby sprawdzić, czy wymagany jest uprzywilejowany dostęp.

Przeglądy dostępu

Co to jest zarządzanie upoważnieniami firmy Microsoft Entra?

Tworzenie przeglądu dostępu ról usługi Microsoft Entra w usłudze Privileged Identity Management

Przeglądanie dostępu do pakietu dostępu w rozwiązaniu Microsoft Entra entitlement management

Ac-7 nieudane próby logowania

Organizacja:
(a.) Wymusza limit [Przypisanie FedRAMP: nie więcej niż trzy (3)] kolejne nieprawidłowe próby logowania przez użytkownika podczas [Przypisania FedRAMP: piętnaście (15) minut]; i
(b.) Automatycznie [Wybór: blokuje konto/węzeł dla [Przypisania FedRAMP: co najmniej trzy (3) godziny lub do momentu odblokowania przez administratora]; opóźnia następny monit logowania zgodnie z [Przypisanie: algorytm opóźnienia zdefiniowanego przez organizację]] po przekroczeniu maksymalnej liczby nieudanych prób.

Wymuszanie limitu nie więcej niż trzech kolejnych nieudanych prób logowania dla zasobów wdrożonych przez klienta w ciągu 15 minut. Zablokuj konto przez co najmniej trzy godziny lub do momentu odblokowania przez administratora.

Włącz niestandardowe ustawienia blokady inteligentnej. Skonfiguruj próg blokady i czas trwania blokady w sekundach, aby zaimplementować te wymagania.

Inteligentna blokada

Ochrona kont użytkowników przed atakami za pomocą inteligentnej blokady Microsoft Entra

Zarządzanie wartościami inteligentnej blokady firmy Microsoft

Powiadomienie o użyciu systemu AC-8

System informacyjny:
(a.) Wyświetla użytkownikom [Przypisanie: system zdefiniowany przez organizację używa komunikatu powiadomienia lub baneru (Przypisanie FedRAMP: zobacz dodatkowe wymagania i wskazówki)] przed udzieleniem dostępu do systemu, który zapewnia powiadomienia o ochronie prywatności i zabezpieczeń zgodne z obowiązującymi przepisami federalnymi, nakazami wykonawczymi, dyrektywami, zasadami, przepisami, standardami i wskazówkami i wskazówkami, które:
(1.) Użytkownicy uzyskują dostęp do systemu informacyjnego dla instytucji rządowych USA;
(2.) Użycie systemu informacyjnego może być monitorowane, rejestrowane i poddawane inspekcji;
(3.) Nieautoryzowane korzystanie z systemu informacyjnego jest zabronione i podlega karze karnej i cywilnej; i
(4.) Korzystanie z systemu informacyjnego wskazuje zgodę na monitorowanie i nagrywanie;

(b.) Zachowuje komunikat powiadomienia lub baner na ekranie do momentu potwierdzenia warunków użytkowania przez użytkowników i podjęcia jawnych akcji w celu zalogowania się do systemu informacyjnego lub dalszego uzyskiwania do nich dostępu; i

(c.) W przypadku systemów dostępnych publicznie:
(1.) Wyświetla informacje o użyciu systemu [Przypisanie: warunki zdefiniowane przez organizację (Przypisanie FedRAMP: zobacz dodatkowe wymagania i wskazówki)], przed udzieleniem dalszego dostępu;
(2.) Przedstawia odniesienia, jeśli istnieją, do monitorowania, rejestrowania lub inspekcji, które są zgodne z zakwaterowaniem prywatności w takich systemach, które na ogół zabraniają tych działań; i
(3.) Zawiera opis autoryzowanych zastosowań systemu.

Ac-8 Dodatkowe wymagania i wskazówki FedRAMP:
Wymaganie: Dostawca usług określa elementy środowiska chmury, które wymagają kontroli użycia powiadomień systemowych. Elementy środowiska chmury, które wymagają powiadomienia o użyciu systemu, są zatwierdzane i akceptowane przez jaB/AO.
Wymaganie: Usługodawca określa, w jaki sposób będzie weryfikowane powiadomienie o użyciu systemu i zapewnia odpowiednie okresowe sprawdzanie. Weryfikacja i okresowość użycia powiadomień systemowych są zatwierdzane i akceptowane przez JAB/AO.
Wskazówki: Jeśli wykonano je w ramach sprawdzania linii bazowej konfiguracji, można podać % elementów wymagających ustawienia, które są sprawdzane i czy można sprawdzić powodzenie (lub niepowodzenie).
Wymaganie: Jeśli nie zostało przeprowadzone w ramach kontroli linii bazowej konfiguracji, należy udokumentować umowę dotyczącą sposobu dostarczania wyników weryfikacji i niezbędnej okresowości weryfikacji przez dostawcę usług. Udokumentowana umowa dotycząca sposobu zapewnienia weryfikacji wyników jest zatwierdzana i akceptowana przez JAB/AO.

Wyświetlanie i wymaganie potwierdzenia przez użytkownika informacji o ochronie prywatności i zabezpieczeniach przed udzieleniem dostępu do systemów informacyjnych.

Za pomocą identyfikatora Entra firmy Microsoft można dostarczać powiadomienia lub komunikaty banerów dla wszystkich aplikacji, które wymagają potwierdzenia i rejestrują je przed udzieleniem dostępu. Możesz szczegółowo kierować te zasady użytkowania do określonych użytkowników (członka lub gościa). Można je również dostosować na aplikację za pomocą zasad dostępu warunkowego.

Warunki użytkowania

Warunki użytkowania usługi Microsoft Entra

Wyświetlanie raportu o tym, kto zaakceptował i odrzucił

AC-10 Concurrent Session Control
System informacyjny ogranicza liczbę równoczesnych sesji dla każdego [Przypisania: konto zdefiniowane przez organizację i/lub typ konta] do [Przypisanie FedRAMP: trzy (3) sesje dla uprzywilejowanego dostępu i dwie sesje (2) dla dostępu nieuprzywilejowanego].

Ogranicz współbieżne sesje do trzech sesji na potrzeby dostępu uprzywilejowanego i dwóch dla dostępu nieuprzywilejowanego.

Obecnie użytkownicy łączą się z wielu urządzeń, czasami jednocześnie. Ograniczenie współbieżnych sesji prowadzi do obniżonej wydajności środowiska użytkownika i zapewnia ograniczoną wartość zabezpieczeń. Lepszym podejściem do rozwiązania tej kontroli jest przyjęcie stanu zabezpieczeń o zerowym zaufaniu. Warunki są jawnie weryfikowane przed utworzeniem sesji i stale weryfikowane przez cały czas trwania sesji.

Ponadto należy użyć następujących kontrolek wyrównywujących.

Użyj zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić ograniczenia logowania użytkownika na poziomie systemu operacyjnego przy użyciu rozwiązań MDM, takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy.

Użyj usługi Privileged Identity Management, aby dodatkowo ograniczyć i kontrolować konta uprzywilejowane.

Skonfiguruj blokadę konta inteligentnego pod kątem nieprawidłowych prób logowania.

Wskazówki dotyczące implementacji

Zero Trust

Zabezpieczanie tożsamości przy użyciu zera zaufania

Ciągła ocena dostępu w usłudze Microsoft Entra ID

Dostęp warunkowy

Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft?

Wymagaj, aby urządzenie było oznaczone jako zgodne

Częstotliwość logowania użytkownika

Zasady urządzeń

Inne ustawienia zasad grupy kart inteligentnych i klucze rejestru

Omówienie programu Microsoft Endpoint Manager

Zasoby

Co to jest microsoft Entra Privileged Identity Management?

Ochrona kont użytkowników przed atakami za pomocą inteligentnej blokady Microsoft Entra

Zobacz AC-12, aby uzyskać więcej wskazówek dotyczących ponownej oceny sesji i ograniczania ryzyka.

Blokada sesji AC-11
System informacyjny:
(a) Uniemożliwia dalszy dostęp do systemu, inicjując blokadę sesji po [Przydział FedRAMP: piętnaście (15) minut] braku aktywności lub po otrzymaniu żądania od użytkownika; i
(b) Zachowuje blokadę sesji do momentu ponownego ustanowienia dostępu przez użytkownika przy użyciu ustalonych procedur identyfikacji i uwierzytelniania.

AC-11(1)
System informacyjny ukrywa informacje, za pośrednictwem blokady sesji, informacje widoczne wcześniej na wyświetlaczu z widocznym publicznie obrazem.

Zaimplementuj blokadę sesji po 15-minutowym okresie braku aktywności lub po otrzymaniu żądania od użytkownika. Zachowaj blokadę sesji, dopóki użytkownik nie ponownie uwierzytelnia się. Ukrywanie wcześniej widocznych informacji podczas inicjowania blokady sesji.

Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych urządzeń. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić blokadę urządzenia na poziomie systemu operacyjnego przy użyciu rozwiązań MDM, takich jak usługa Intune. W przypadku wdrożeń hybrydowych można również rozważyć obiekty zasad punktu końcowego lub grupy. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników.

Dostęp warunkowy

Wymagaj, aby urządzenie było oznaczone jako zgodne

Częstotliwość logowania użytkownika

Zasady zarządzania urządzeniami przenośnymi

Skonfiguruj urządzenia przez maksymalną liczbę minut braku aktywności do momentu zablokowania ekranu (Android, iOS, Windows 10).

Zakończenie sesji AC-12
System informacyjny automatycznie kończy sesję użytkownika po [Przypisanie: warunki zdefiniowane przez organizację lub zdarzenia wyzwalające wymagające rozłączenia sesji].

Automatyczne kończenie sesji użytkownika po wystąpieniu zdefiniowanych przez organizację warunków lub zdarzeń wyzwalacza.

Zaimplementuj automatyczną ocenę sesji użytkownika za pomocą funkcji firmy Microsoft Entra, takich jak dostęp warunkowy oparty na ryzyku i ciągła ocena dostępu. Warunki braku aktywności można zaimplementować na poziomie urządzenia zgodnie z opisem w artykule AC-11.

Zasoby

Dostęp warunkowy oparty na ryzyku logowania

Dostęp warunkowy oparty na ryzyku użytkownika

Ciągła ocena dostępu

AC-12(1)
System informacyjny:
(a.) Zapewnia możliwość wylogowywanie sesji komunikacji inicjowanych przez użytkownika za każdym razem, gdy uwierzytelnianie jest używane do uzyskiwania dostępu do [Przypisania: zasoby informacyjne zdefiniowane przez organizację]; i
(b.) Wyświetla jawny komunikat wylogowania dla użytkowników wskazujący niezawodne zakończenie uwierzytelnionych sesji komunikacji.

Ac-8 Dodatkowe wymagania i wskazówki FedRAMP:
Wskazówki: Testowanie funkcji wylogowywanie (OTG-SESS-006) Testowanie funkcji wylogowywanie

Podaj możliwość wylogowywanie dla wszystkich sesji i wyświetl jawny komunikat wylogowywanie.

Wszystkie interfejsy internetowe microsoft Entra ID udostępniają możliwości wylogowywanie sesji komunikacji inicjowanych przez użytkownika. Gdy aplikacje SAML są zintegrowane z identyfikatorem Microsoft Entra ID, zaimplementuj wylogowanie jednokrotne.

Możliwość wylogowywanie

Gdy użytkownik wybierze pozycję Wyloguj się wszędzie, wszystkie bieżące wystawione tokeny zostaną odwołane.

Wyświetl komunikat
Identyfikator entra firmy Microsoft automatycznie wyświetla komunikat po wylogowaniu zainicjowanym przez użytkownika.

Zrzut ekranu przedstawiający komunikat kontroli dostępu.

Zasoby

Wyświetlanie i wyszukiwanie ostatnich działań logowania na stronie Moje logowania

Wylogowanie jednokrotne — protokół SAML

AC-20 Korzystanie z systemów informacyjnych zewnętrznych
Organizacja ustanawia warunki i postanowienia, zgodnie z wszelkimi relacjami zaufania ustalonymi z innymi organizacjami posiadającymi, operacyjnymi i/lub utrzymującymi zewnętrzne systemy informacyjne, umożliwiając autoryzowanym osobom:
(a.) Dostęp do systemu informacyjnego z zewnętrznych systemów informacyjnych; i
(b.) Przetwarzanie, przechowywanie lub przesyłanie informacji kontrolowanych przez organizację przy użyciu zewnętrznych systemów informacyjnych.

AC-20(1)
Organizacja zezwala autoryzowanym osobom na korzystanie z zewnętrznego systemu informacyjnego w celu uzyskania dostępu do systemu informacyjnego lub przetwarzania, przechowywania lub przesyłania informacji kontrolowanych przez organizację tylko wtedy, gdy organizacja:
(a.) Weryfikuje implementację wymaganych mechanizmów kontroli zabezpieczeń w systemie zewnętrznym, jak określono w zasadach zabezpieczeń informacji i planie zabezpieczeń organizacji; lub
(b.) Zachowuje zatwierdzone połączenie systemu informacyjnego lub umowy dotyczące przetwarzania z jednostką organizacyjną hostująca zewnętrzny system informacyjny.

Ustanów warunki i postanowienia, które umożliwiają autoryzowanym osobom dostęp do zasobów wdrożonych przez klienta z zewnętrznych systemów informacyjnych, takich jak urządzenia niezarządzane i sieci zewnętrzne.

Wymagaj akceptacji warunków użytkowania dla autoryzowanych użytkowników, którzy uzyskują dostęp do zasobów z systemów zewnętrznych. Zaimplementuj zasady dostępu warunkowego, aby ograniczyć dostęp z systemów zewnętrznych. Zasady dostępu warunkowego można zintegrować z aplikacjami Defender dla Chmury w celu zapewnienia kontroli aplikacji w chmurze i lokalnych z systemów zewnętrznych. Zarządzanie aplikacjami mobilnymi w usłudze Intune może chronić dane organizacji na poziomie aplikacji, w tym aplikacje niestandardowe i aplikacje ze sklepu, z zarządzanych urządzeń, które współdziałają z systemami zewnętrznymi. Przykładem może być uzyskiwanie dostępu do usług w chmurze. Zarządzanie aplikacjami można używać na urządzeniach należących do organizacji i urządzeniach osobistych.

Postanowienia

Warunki użytkowania: Microsoft Entra ID

Dostęp warunkowy

Wymagaj, aby urządzenie było oznaczone jako zgodne

Warunki w zasadach dostępu warunkowego: stan urządzenia (wersja zapoznawcza)

Ochrona za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps

Warunek lokalizacji w usłudze Microsoft Entra — dostęp warunkowy

MDM

Co to jest usługa Microsoft Intune?

Co to jest Defender dla Chmury Apps?

Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune?

Zasób