Udostępnij za pośrednictwem

Konfigurowanie kontrolek identyfikacji i uwierzytelniania w celu spełnienia poziomu fedRAMP High Impact przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Identyfikacja i uwierzytelnianie są kluczem do osiągnięcia poziomu wysokiego wpływu programu FedRAMP (Federal Risk and Authorization Management Program ).

Poniższa lista kontrolek i ulepszeń kontroli w rodzinie identyfikacji i uwierzytelniania (IA) może wymagać konfiguracji w dzierżawie firmy Microsoft Entra.

Rodzina kontrolek opis
IA-2 Identyfikacja i uwierzytelnianie (użytkownicy organizacji)
IA-3 Identyfikacja i uwierzytelnianie urządzeń
IA-4 Zarządzanie identyfikatorami
IA-5 Zarządzanie modułem Authenticator
IA-6 Opinia wystawcy uwierzytelnienia
IA-7 Uwierzytelnianie modułu kryptograficznego
IA-8 Identyfikacja i uwierzytelnianie (użytkownicy nieorganizacyjny)

Każdy wiersz w poniższej tabeli zawiera normatywne wskazówki ułatwiające opracowywanie odpowiedzi organizacji na wszelkie wspólne obowiązki dotyczące ulepszenia kontroli lub kontroli.

Konfiguracje

Identyfikator i opis kontrolki FedRAMP Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft)
Identyfikacja i uwierzytelnianie użytkowników IA-2
System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników organizacji (lub procesy działające w imieniu użytkowników organizacji).		 Unikatowe identyfikowanie i uwierzytelnianie użytkowników lub procesów działających dla użytkowników.

Identyfikator Entra firmy Microsoft jednoznacznie identyfikuje obiekty użytkownika i jednostki usługi bezpośrednio. Identyfikator Entra firmy Microsoft udostępnia wiele metod uwierzytelniania i można skonfigurować metody zgodne z poziomem uwierzytelniania National Institute of Standards and Technology (NIST) 3.

Identyfikatory

  • Użytkownicy: praca z użytkownikami w programie Microsoft Graph: właściwość ID
  • Jednostki usługi: typ zasobu ServicePrincipal: właściwość ID

    Uwierzytelnianie i uwierzytelnianie wieloskładnikowe

  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft
    		•
    IA-2(1)
    System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu sieciowego do kont uprzywilejowanych.

    IA-2(3)
    System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu lokalnego do kont uprzywilejowanych.    		 Uwierzytelnianie wieloskładnikowe dla wszystkich dostępu do kont uprzywilejowanych.

    Skonfiguruj następujące elementy dla kompletnego rozwiązania, aby zapewnić, że cały dostęp do uprzywilejowanych kont wymaga uwierzytelniania wieloskładnikowego.

    Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
    Zaimplementuj usługę Microsoft Entra Privileged Identity Management, aby wymagać uwierzytelniania wieloskładnikowego na potrzeby aktywacji uprzywilejowanego przypisania roli przed użyciem.

    W przypadku wymagania aktywacji usługi Privileged Identity Management aktywacja konta uprzywilejowanego nie jest możliwa bez dostępu do sieci, więc dostęp lokalny nigdy nie jest uprzywilejowany.

    uwierzytelnianie wieloskładnikowe i usługa Privileged Identity Management

  • Dostęp warunkowy: wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników
  • Konfigurowanie ustawień roli entra firmy Microsoft w usłudze Privileged Identity Management
    		•
    IA-2(2)
    System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu sieciowego do kont niezaufakturowanych.

    IA-2(4)
    System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu lokalnego do kont nieuprzywilejowanych.    		 Implementowanie uwierzytelniania wieloskładnikowego dla całego dostępu do kont nieuprzywilejowanych

    Skonfiguruj następujące elementy jako ogólne rozwiązanie, aby zapewnić, że cały dostęp do kont nieuprzywilejowanych wymaga uwierzytelniania wieloskładnikowego.

    Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
    Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Microsoft Endpoint Manager (MEM) lub obiektów zasad grupy (GPO), aby wymusić użycie określonych metod uwierzytelniania.
    Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń.

    Firma Microsoft zaleca używanie wieloskładnikowego wystawcy uwierzytelniającego sprzęt (na przykład kluczy zabezpieczeń FIDO2, Windows Hello dla firm (ze sprzętowym modułem TPM) lub karty inteligentnej w celu osiągnięcia usługi AAL3. Jeśli Twoja organizacja jest oparta na chmurze, zalecamy używanie kluczy zabezpieczeń FIDO2 lub Windows Hello dla firm.

    Windows Hello dla firm nie został zweryfikowany na wymaganym poziomie zabezpieczeń FIPS 140 i jako taki klienci federalni musieliby przeprowadzić ocenę ryzyka i ocenę przed zaakceptowaniem go jako AAL3. Aby uzyskać więcej informacji na temat weryfikacji Windows Hello dla firm FIPS 140, zobacz Microsoft NIST AALs.

    Zapoznaj się z poniższymi wskazówkami dotyczącymi zasad zarządzania urządzeniami przenośnymi różnią się nieznacznie w zależności od metod uwierzytelniania.

    Karta inteligentna/Windows Hello dla firm
    Strategia bez hasła — wymaganie Windows Hello dla firm lub karty inteligentnej
    Wymagaj, aby urządzenie było oznaczone jako zgodne
    Dostęp warunkowy — wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

    Tylko hybryda
    Strategia bez hasła — konfigurowanie kont użytkowników w celu uniemożliwienia uwierzytelniania haseł

    Tylko karta inteligentna
    Tworzenie reguły do wysyłania oświadczenia metody uwierzytelniania
    Konfigurowanie zasad uwierzytelniania

    Klucz zabezpieczeń FIDO2
    Strategia bez hasła — wykluczanie dostawcy poświadczeń haseł
    Wymagaj, aby urządzenie było oznaczone jako zgodne
    Dostęp warunkowy — wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

    Metody uwierzytelniania
    Logowanie bez hasła firmy Microsoft (wersja zapoznawcza) | Klucze zabezpieczeń FIDO2
    Logowanie za pomocą klucza zabezpieczeń bez hasła w systemie Windows — Microsoft Entra ID
    ADFS: Uwierzytelnianie certyfikatu przy użyciu identyfikatora Firmy Microsoft i usługi Office 365
    Jak działa logowanie za pomocą karty inteligentnej w systemie Windows (Windows 10)
    omówienie Windows Hello dla firm (Windows 10)

    Zasoby dodatkowe:
    Dostawca usługi konfiguracji zasad — zarządzanie klientami systemu Windows
    Planowanie wdrożenia uwierzytelniania bez hasła przy użyciu identyfikatora Entra firmy Microsoft
    IA-2(5)
    Organizacja wymaga uwierzytelnienia osób za pomocą indywidualnego wystawcy uwierzytelnienia, gdy jest zatrudniony wystawca uwierzytelnienia grupy.    		 Jeśli wielu użytkowników ma dostęp do hasła konta udostępnionego lub grupowego, wymagaj od każdego użytkownika uprzedniego uwierzytelnienia przy użyciu indywidualnego wystawcy uwierzytelnienia.

    Użyj indywidualnego konta na użytkownika. Jeśli wymagane jest konto udostępnione, identyfikator Entra firmy Microsoft zezwala na powiązanie wielu wystawców uwierzytelnienia z kontem, tak aby każdy użytkownik miał indywidualny wystawcę uwierzytelnienia.

    Zasoby

  • Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft
  • Zarządzanie metodami uwierzytelniania dla uwierzytelniania wieloskładnikowego firmy Microsoft
    		•
    IA-2(8)
    System informacyjny implementuje mechanizmy uwierzytelniania odpornego na odtwarzanie na potrzeby dostępu sieciowego do uprzywilejowanych kont.    		 Zaimplementuj mechanizmy uwierzytelniania odpornego na odtwarzanie na potrzeby dostępu sieciowego do kont uprzywilejowanych.

    Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. Wszystkie metody uwierzytelniania entra firmy Microsoft na poziomie uwierzytelniania 2 i 3 używają rozwiązań innych niż lub wyzwań i są odporne na ataki powtarzane.

    Informacje

  • Dostęp warunkowy: wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników
  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft
    		•
    IA-2(11)
    System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu zdalnego do uprzywilejowanych i nieuprzywilejowanych kont, tak aby jedno z tych czynników było udostępniane przez urządzenie niezależnie od systemu uzyskującego dostęp, a urządzenie spełnia wymagania [Przypisanie FedRAMP: FIPS 140-2, certyfikacja NIAP lub zatwierdzenie NSA*].

    *Krajowe partnerstwo w zakresie zapewniania informacji (NIAP)
    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP:
    Wskazówki: PIV = oddzielne urządzenie. Zapoznaj się z wytycznymi NIST SP 800-157 dotyczącymi pochodnych poświadczeń weryfikacji tożsamości osobistej (PIV). Standard FIPS 140-2 oznacza zweryfikowany przez program weryfikacji modułu kryptograficznego (CMVP).    		 Zaimplementuj uwierzytelnianie wieloskładnikowe firmy Microsoft w celu zdalnego uzyskiwania dostępu do zasobów wdrożonych przez klienta, dzięki czemu jedno z czynników jest udostępniane przez urządzenie niezależnie od systemu uzyskującego dostęp, w którym urządzenie spełnia wymagania standardu FIPS-140-2, certyfikacji NIAP lub zatwierdzenia przez NSA.

    Zobacz wskazówki dotyczące IA-02(1-4). Metody uwierzytelniania firmy Microsoft Entra, które należy wziąć pod uwagę w usłudze AAL3, spełniają oddzielne wymagania dotyczące urządzeń:

    Klucze zabezpieczeń FIDO2

  • Windows Hello dla firm ze sprzętowym modułem TPM (moduł TPM jest rozpoznawany jako prawidłowy czynnik "coś, co masz" przez NIST 800-63B Sekcja 5.1.7.1.1).
  • Karta inteligentna

    Informacje

  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft
  • NIST 800-63B Sekcja 5.1.7.1
    		•
    **IA-2(12)*
    System informacyjny akceptuje i elektronicznie weryfikuje poświadczenia weryfikacji tożsamości osobistej (PIV).

    IA-2 (12) Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP:
    Wskazówki: obejmują wspólną kartę dostępu (CAC), czyli techniczną implementację usługi DoD PIV/FIPS 201/HSPD-12.    		 Zaakceptuj i zweryfikuj poświadczenia weryfikacji tożsamości osobistej (PIV). Ta kontrolka nie ma zastosowania, jeśli klient nie wdraża poświadczeń piv.

    Skonfiguruj uwierzytelnianie federacyjne przy użyciu usług Active Directory Federation Services (AD FS) do akceptowania uwierzytelniania piV (uwierzytelniania certyfikatu) jako metod uwierzytelniania podstawowego i wieloskładnikowego oraz wystawiania oświadczenia uwierzytelniania wieloskładnikowego (MultipleAuthN), gdy jest używana usługa PIV. Skonfiguruj domenę federacyjną w usłudze Microsoft Entra ID z ustawieniem federatedIdpMfaBehavior na enforceMfaByFederatedIdp (zalecane) lub SupportsMfa w celu $True kierowania żądań uwierzytelniania wieloskładnikowego pochodzącego z identyfikatora Entra firmy Microsoft do usług Federacyjnych Active Directory. Alternatywnie możesz użyć usługi PIV do logowania się na urządzeniach z systemem Windows, a później użyć zintegrowanego uwierzytelniania systemu Windows wraz z bezproblemowym logowaniem jednokrotnym. System Windows Server i klient weryfikują certyfikaty domyślnie, gdy są używane do uwierzytelniania.

    Zasoby

  • Co to jest federacja z identyfikatorem Entra firmy Microsoft?
  • Konfigurowanie obsługi usług AD FS na potrzeby uwierzytelniania certyfikatu użytkownika
  • Konfigurowanie zasad uwierzytelniania
  • Zabezpieczanie zasobów za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft i usług AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect: bezproblemowe logowanie jednokrotne
    		•
    IA-3 Device Identification and Authentication
    System informacyjny jednoznacznie identyfikuje i uwierzytelnia [Przypisanie: określone przez organizację i/lub typy urządzeń] przed ustanowieniem połączenia [Wybór (co najmniej jeden): połączenie lokalne; zdalne; sieciowe].    		 Zaimplementuj identyfikację urządzenia i uwierzytelnianie przed nawiązaniem połączenia.

    Skonfiguruj identyfikator Entra firmy Microsoft w celu identyfikowania i uwierzytelniania zarejestrowanych w firmie Microsoft Entra, dołączonych do firmy Microsoft Entra oraz urządzeń dołączonych hybrydowych do firmy Microsoft Entra.

    Zasoby

  • Co to jest tożsamość urządzenia?
  • Planowanie wdrożenia urządzeń firmy Microsoft Entra
  • Wymaganie urządzeń zarządzanych na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego
    		•
    Zarządzanie identyfikatorami IA-04
    Organizacja zarządza identyfikatorami systemu informacyjnego dla użytkowników i urządzeń przez:
    (a.) Odbieranie autoryzacji z [Przypisanie FedRAMP co najmniej, logowanie jednokrotne (lub podobna rola w organizacji)] w celu przypisania pojedynczej osoby, grupy, roli lub identyfikatora urządzenia;
    (b.) Wybranie identyfikatora identyfikującego jednostkę, grupę, rolę lub urządzenie;
    (c.) Przypisywanie identyfikatora do zamierzonej osoby, grupy, roli lub urządzenia;
    (d.) Zapobieganie ponownemu używaniu identyfikatorów dla [Przypisania FedRAMP: co najmniej dwa (2) lata]; i
    (e.) Wyłączenie identyfikatora po [Przypisanie FedRAMP: trzydzieści pięć (35) dni (zobacz wymagania i wskazówki)]
    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP i IA-4e:
    Wymaganie: Dostawca usług definiuje okres braku aktywności dla identyfikatorów urządzeń.
    Wskazówki: w przypadku chmur DoD zobacz witrynę internetową platformy DoD w chmurze, aby uzyskać szczegółowe wymagania dotyczące usługi DoD, które wykraczają poza fedRAMP.

    IA-4(4)
    Organizacja zarządza poszczególnymi identyfikatorami, jednoznacznie identyfikując każdą osobę jako [FedRAMP Assignment: contractors; foreign nationals].    		 Wyłącz identyfikatory kont po upływie 35 dni braku aktywności i zapobiegaj ich ponownemu używaniu przez dwa lata. Zarządzaj poszczególnymi identyfikatorami, identyfikując każdą osobę (na przykład wykonawcy i cudzoziemcy).

    Przypisz i zarządzaj poszczególnymi identyfikatorami i stanami kont w identyfikatorze Entra firmy Microsoft zgodnie z istniejącymi zasadami organizacyjnymi zdefiniowanymi w ac-02. Postępuj zgodnie z instrukcjami AC-02(3), aby automatycznie wyłączyć konta użytkowników i urządzeń po upływie 35 dni braku aktywności. Upewnij się, że zasady organizacyjne zachowują wszystkie konta, które pozostają w stanie wyłączonym przez co najmniej dwa lata. Po tym czasie można je usunąć.

    Określanie braku aktywności

  • Zarządzanie nieaktywnym kontami użytkowników w identyfikatorze Microsoft Entra ID
  • Zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft
  • Zobacz wskazówki dotyczące ac-02
    		•
    Zarządzanie uwierzytelnianiem IA-5
    Organizacja zarządza wystawcami uwierzytelniań systemu informacyjnego przez:
    (a.) Weryfikowanie, w ramach początkowej dystrybucji wystawcy uwierzytelnienia, tożsamość osoby, grupy, roli lub urządzenia odbierającego uwierzytelnienie;
    (b.) Ustanawianie początkowej zawartości wystawcy uwierzytelnień dla wystawców uwierzytelnień zdefiniowanych przez organizację;
    (c.) Zapewnienie, że wystawcy uwierzytelniania mają wystarczającą siłę mechanizmu do ich zamierzonego użycia;
    (d.) Ustanowienie i wdrożenie procedur administracyjnych dotyczących początkowej dystrybucji wystawców uwierzytelnienia, utraconych/naruszonych lub uszkodzonych wystawców uwierzytelnienia oraz w celu cofnięcia uwierzytelniania;
    (e.) Zmiana domyślnej zawartości wystawców uwierzytelnienia przed instalacją systemu informacyjnego;
    (f.) Ustanowienie minimalnych i maksymalnych ograniczeń okresu istnienia oraz warunków ponownego użycia dla wystawców uwierzytelnienia;
    (g.) Zmienianie/odświeżanie wystawców uwierzytelnienia [Przypisanie: zdefiniowany przez organizację okres według typu wystawcy uwierzytelnienia].
    (h.) Ochrona zawartości wystawcy uwierzytelnienia przed nieautoryzowanym ujawnieniem i modyfikacją;
    (i.) Wymaganie od osób podjęcia i wdrożenia urządzeń określonych zabezpieczeń w celu ochrony wystawców uwierzytelniających; i
    (j.) Zmiana wystawców uwierzytelnień dla kont grup/ról w przypadku zmiany członkostwa w tych kontach.

    Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP i IA-5:
    Wymaganie: Wystawcy uwierzytelnień muszą być zgodne z normą NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. Link https://pages.nist.gov/800-63-3    		 Konfigurowanie wystawców uwierzytelnień systemu informacyjnego i zarządzanie nimi.

    Identyfikator Entra firmy Microsoft obsługuje różne metody uwierzytelniania. Do zarządzania można użyć istniejących zasad organizacyjnych. Zobacz wskazówki dotyczące wyboru wystawcy uwierzytelnienia w IA-02(1-4). Włącz użytkownikom rejestrację połączoną na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft i wymagaj od użytkowników zarejestrowania co najmniej dwóch akceptowalnych metod uwierzytelniania wieloskładnikowego w celu ułatwienia samodzielnego korygowania. Uwierzytelnianie skonfigurowane przez użytkownika można odwołać w dowolnym momencie przy użyciu interfejsu API metod uwierzytelniania.

    Siła wystawcy uwierzytelnienia/ochrona zawartości wystawcy uwierzytelnienia

  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft

    Metody uwierzytelniania i rejestracja połączona

  • Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
  • Rejestracja połączona na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft

    Wystawca uwierzytelniania odwołuje

  • Omówienie interfejsu API metod uwierzytelniania entra firmy Microsoft
    		•
    IA-5(1)
    System informacyjny na potrzeby uwierzytelniania opartego na hasłach:
    (a.) Wymusza minimalną złożoność hasła [Przypisanie: wymagania organizacji dotyczące poufności liter, liczby znaków, kombinacji wielkich liter, małych liter, cyfr i znaków specjalnych, w tym minimalnych wymagań dla każdego typu];
    (b.) Wymusza co najmniej następującą liczbę zmienionych znaków podczas tworzenia nowych haseł: [Przypisanie FedRAMP: co najmniej pięćdziesiąt procent (50%);
    (c.) Przechowuje i przesyła tylko kryptograficznie chronione hasła;
    (d.) Wymusza minimalne i maksymalne ograniczenia okresu istnienia hasła [Przypisanie: numery zdefiniowane przez organizację dla minimalnego okresu istnienia, maksymalny okres istnienia];
    (e.)** Uniemożliwia ponowne użycie hasła dla [Przydział FedRAMP: dwadzieścia cztery (24)] generacje; i
    (f.) Umożliwia używanie tymczasowego hasła do logowania systemu z natychmiastową zmianą w trwałym haśle.

    IA-5 (1) a i d Dodatkowe wymagania i wskazówki FedRAMP:
    Wskazówki: Jeśli zasady haseł są zgodne z zasadami NIST SP 800-63B Wpis tajny do zapamiętania (sekcja 5.1.1), kontrolka może być uważana za zgodną.    		 Zaimplementuj wymagania dotyczące uwierzytelniania opartego na hasłach.

    Na NIST SP 800-63B Sekcja 5.1.1: Zachowaj listę powszechnie używanych, oczekiwanych lub naruszonych haseł.

    Dzięki ochronie haseł w usłudze Microsoft Entra domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Aby obsługiwać potrzeby biznesowe i związane z zabezpieczeniami, możesz zdefiniować wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł.

    Zdecydowanie zachęcamy do strategii bez hasła. Ta kontrolka ma zastosowanie tylko do wystawców uwierzytelniania haseł, dlatego usunięcie haseł jako dostępnego wystawcy uwierzytelniającego powoduje, że ta kontrolka nie ma zastosowania.

    Dokumenty referencyjne NIST

  • Specjalna publikacja NIST 800-63B
  • Specjalna publikacja NIST 800-53 Wersja 5 — IA-5 — ulepszenia kontroli (1)

    Zasób

  • Eliminowanie nieprawidłowych haseł przy użyciu ochrony haseł firmy Microsoft
    		•
    IA-5(2)
    System informacyjny na potrzeby uwierzytelniania opartego na infrastrukturze kluczy publicznych:
    (a.) Weryfikuje certyfikaty, konstruując i weryfikując ścieżkę certyfikacji do zaakceptowanej kotwicy zaufania, w tym sprawdzając informacje o stanie certyfikatu;
    (b.) Wymusza autoryzowany dostęp do odpowiedniego klucza prywatnego;
    (c.) Mapuje uwierzytelniona tożsamość na konto osoby lub grupy; i
    (d.) Implementuje lokalną pamięć podręczną danych odwołania w celu obsługi odnajdywania i walidacji ścieżki podczas braku możliwości uzyskania dostępu do informacji o odwołaniu za pośrednictwem sieci.    		 Implementowanie wymagań dotyczących uwierzytelniania opartego na infrastrukturze PKI.

    Federate Microsoft Entra ID via AD FS to implementowanie uwierzytelniania opartego na infrastrukturze PKI. Domyślnie usługi AD FS weryfikuje certyfikaty, lokalnie buforuje dane odwołania i mapuje użytkowników na uwierzytelnionej tożsamości w usłudze Active Directory.

    Zasoby

  • Co to jest federacja z identyfikatorem Entra firmy Microsoft?
  • Konfigurowanie obsługi usług AD FS na potrzeby uwierzytelniania certyfikatu użytkownika
    		•
    IA-5(4)
    Organizacja stosuje zautomatyzowane narzędzia do określania, czy wystawcy uwierzytelniania haseł są wystarczająco silne, aby spełnić wymagania [Przypisanie FedRAMP: złożoność zidentyfikowana w ulepszeniach kontroli IA-5 (1) (H) Część A].

    IA-5(4) Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP:
    Wskazówki: Jeśli zautomatyzowane mechanizmy wymuszające siłę wystawcy uwierzytelniania haseł podczas tworzenia nie są używane, zautomatyzowane mechanizmy muszą być używane do przeprowadzania inspekcji sił utworzonych wystawców uwierzytelnienia haseł.    		 Stosowanie zautomatyzowanych narzędzi do weryfikowania wymagań dotyczących siły hasła.

    Microsoft Entra ID implementuje zautomatyzowane mechanizmy wymuszające siłę wystawcy uwierzytelniania haseł podczas tworzenia. Ten zautomatyzowany mechanizm można również rozszerzyć, aby wymusić siłę wystawcy uwierzytelniania haseł dla lokalna usługa Active Directory. Poprawka 5 NIST 800-53 wycofała IA-04(4) i wprowadziła wymóg do IA-5(1).

    Zasoby

  • Eliminowanie nieprawidłowych haseł przy użyciu ochrony haseł firmy Microsoft
  • Ochrona haseł firmy Microsoft dla usług domena usługi Active Directory
  • Specjalna publikacja NIST 800-53 Wersja 5 — IA-5 — ulepszenia kontroli (4)
    		•
    IA-5(6)
    Organizacja chroni wystawców uwierzytelnień proporcjonalnie do kategorii zabezpieczeń informacji, do których korzystanie z wystawcy uwierzytelniającego zezwala na dostęp.    		 Chroń wystawcy uwierzytelnień zgodnie z definicją na poziomie FedRAMP High Impact.

    Aby uzyskać więcej informacji na temat ochrony wystawców uwierzytelnień w usłudze Microsoft Entra ID, zobacz Microsoft Entra data security considerations (Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft Entra).
    IA-05(7)
    Organizacja zapewnia, że niezaszyfrowane statyczne uwierzytelnianie nie jest osadzone w aplikacjach ani skryptach dostępu ani przechowywanych na kluczach funkcji.    		 Upewnij się, że nieszyfrowane statyczne uwierzytelnianie (na przykład hasło) nie są osadzone w aplikacjach ani skryptach dostępu ani przechowywane w kluczach funkcji.

    Zaimplementuj tożsamości zarządzane lub obiekty jednostki usługi (skonfigurowane tylko przy użyciu certyfikatu).

    Zasoby

  • Co to są tożsamości zarządzane dla zasobów platformy Azure?
  • Tworzenie aplikacji i jednostki usługi Microsoft Entra w portalu
    		•
    IA-5(8)
    Organizacja implementuje [Przypisanie FedRAMP: różne wystawcy uwierzytelnienia w różnych systemach] w celu zarządzania ryzykiem naruszenia z powodu osób mających konta w wielu systemach informacyjnych.    		 Zaimplementuj zabezpieczenia zabezpieczeń, gdy osoby mają konta w wielu systemach informacyjnych.

    Zaimplementuj logowanie jednokrotne, łącząc wszystkie aplikacje z identyfikatorem Microsoft Entra ID, a nie z indywidualnymi kontami w wielu systemach informacyjnych.

    Co to jest logowanie jednokrotne platformy Azure?
    IA-5(11)
    System informacyjny na potrzeby uwierzytelniania opartego na tokenach sprzętowych wykorzystuje mechanizmy spełniające [Przypisanie: wymagania dotyczące jakości tokenu zdefiniowanego przez organizację].    		 Wymagaj wymagań dotyczących jakości tokenu sprzętowego zgodnie z wymaganiami na poziomie FedRAMP High Impact.

    Wymagaj użycia tokenów sprzętowych spełniających usługę AAL3.

    Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft
    IA-5(13)
    System informacyjny uniemożliwia korzystanie z buforowanych wystawców uwierzytelnień po [Przypisanie: zdefiniowany przez organizację okres].    		 Wymusić wygaśnięcie buforowanych wystawców uwierzytelnienia.

    Buforowane uwierzytelnianie jest używane do uwierzytelniania na komputerze lokalnym, gdy sieć nie jest dostępna. Aby ograniczyć korzystanie z buforowanych wystawców uwierzytelnień, skonfiguruj urządzenia z systemem Windows, aby wyłączyć ich używanie. Jeśli ta akcja nie jest możliwa lub praktyczna, należy użyć następujących mechanizmów kontroli wyrównywujących:

    Konfigurowanie kontroli sesji dostępu warunkowego przy użyciu ograniczeń wymuszanych przez aplikację dla aplikacja pakietu Office licacji.
    Skonfiguruj dostęp warunkowy przy użyciu kontrolek aplikacji dla innych aplikacji.

    Zasoby

  • Interakcyjny numer logowania poprzedniego logowania do pamięci podręcznej
  • Kontrolki sesji w zasadach dostępu warunkowego: ograniczenia wymuszane przez aplikację
  • Kontrolki sesji w zasadach dostępu warunkowego: kontrola aplikacji dostępu warunkowego
    		•
    IA-6 Authenticator Feedback
    System informacyjny zaciemnia informacje zwrotne informacji o uwierzytelnianiu podczas procesu uwierzytelniania w celu ochrony informacji przed możliwym wykorzystaniem/użyciem przez nieautoryzowane osoby.    		 Niejasne informacje zwrotne dotyczące uwierzytelniania podczas procesu uwierzytelniania.

    Domyślnie identyfikator Entra firmy Microsoft ukrywa wszystkie opinie wystawców uwierzytelnienia.
    Uwierzytelnianie modułu kryptograficznego IA-7
    System informacyjny implementuje mechanizmy uwierzytelniania w module kryptograficznym pod kątem wymagań obowiązujących przepisów federalnych, zamówień wykonawczych, dyrektyw, zasad, przepisów, standardów i wskazówek dotyczących takiego uwierzytelniania.    		 Zaimplementuj mechanizmy uwierzytelniania w module kryptograficznym, który spełnia obowiązujące przepisy federalne.

    Poziom FedRAMP High Impact wymaga wystawcy uwierzytelniającego AAL3. Wszystkie wystawcy uwierzytelnienia obsługiwane przez identyfikator entra firmy Microsoft w usłudze AAL3 udostępniają mechanizmy uwierzytelniania dostępu operatora do modułu zgodnie z potrzebami. Na przykład w przypadku wdrożenia Windows Hello dla firm ze sprzętowym modułem TPM skonfiguruj poziom autoryzacji właściciela modułu TPM.

    Zasoby

  • Aby uzyskać więcej informacji, zobacz IA-02 (2 i 4).
  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft
  • Ustawienia zasad grupy modułu TPM
    		•
    Identyfikacja i uwierzytelnianie IA-8 (użytkownicy niebędący organizacją)
    System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników niebędących użytkownikami organizacyjnymi (lub procesami działającymi w imieniu użytkowników innych niż organizacyjne).    		 System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników nieorganizacyjnych (lub procesów działających dla użytkowników nieorganizacyjnych).

    Identyfikator Entra firmy Microsoft jednoznacznie identyfikuje i uwierzytelnia użytkowników nieorganizacyjnych w dzierżawie organizacji lub w katalogach zewnętrznych przy użyciu protokołów zatwierdzonych przez usługę Federal Identity, Credential i Access Management (FICAM).

    Zasoby

  • Co to jest współpraca B2B w usłudze Microsoft Entra ID?
  • Federacja bezpośrednia z dostawcą tożsamości dla B2B
  • Właściwości użytkownika-gościa B2B
    		•
    IA-8(1)
    System informacyjny akceptuje i elektronicznie weryfikuje poświadczenia weryfikacji tożsamości osobistej (PIV) z innych agencji federalnych.

    IA-8(4)
    System informacyjny jest zgodny z profilami wystawionymi przez program FICAM.    		 Zaakceptuj i zweryfikuj poświadczenia PIV wydane przez inne agencje federalne. Zgodność z profilami wydanymi przez FICAM.

    Skonfiguruj identyfikator entra firmy Microsoft, aby akceptował poświadczenia PIV za pośrednictwem federacji (OIDC, SAML) lub lokalnie za pośrednictwem zintegrowanego uwierzytelniania systemu Windows.

    Zasoby

  • Co to jest federacja z identyfikatorem Entra firmy Microsoft?
  • Konfigurowanie obsługi usług AD FS na potrzeby uwierzytelniania certyfikatu użytkownika
  • Co to jest współpraca B2B w usłudze Microsoft Entra ID?
  • Federacja bezpośrednia z dostawcą tożsamości dla B2B
    		•
    IA-8(2)
    System informacyjny akceptuje tylko poświadczenia innych firm zatwierdzone przez fiCAM.    		 Zaakceptuj tylko poświadczenia zatwierdzone przez program FICAM.

    Identyfikator Entra firmy Microsoft obsługuje wystawcy uwierzytelnień w NIST AALs 1, 2 i 3. Ogranicz użycie wystawców uwierzytelnienia proporcjonalnie do kategorii zabezpieczeń używanego systemu.

    Identyfikator Entra firmy Microsoft obsługuje szeroką gamę metod uwierzytelniania.

    Zasoby

  • Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
  • Omówienie interfejsu API zasad metod uwierzytelniania entra firmy Microsoft
  • Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft                                     
    		•

    Następne kroki