Udostępnij za pośrednictwem


Spełnianie wymagań dotyczących autoryzacji protokołu memorandum 22-09

W tej serii artykułów przedstawiono wskazówki dotyczące stosowania identyfikatora Entra firmy Microsoft jako scentralizowanego systemu zarządzania tożsamościami podczas implementowania zasad zero trust. Zobacz, Us Office of Management and Budget (OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies (Us Office of Management and Budget, OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies.See, US Office of Management and Budget (OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies (Us Office of Management

Wymagania dotyczące noty to typy wymuszania w zasadach uwierzytelniania wieloskładnikowego oraz mechanizmy kontroli dotyczące urządzeń, ról, atrybutów i zarządzania dostępem uprzywilejowanym.

Kontrolki oparte na urządzeniach

Wymaganie memorandum 22-09 jest co najmniej jednym sygnałem opartym na urządzeniu w celu podejmowania decyzji dotyczących autoryzacji dostępu do systemu lub aplikacji. Wymuś wymaganie przy użyciu dostępu warunkowego. Zastosuj kilka sygnałów urządzenia podczas autoryzacji. Zapoznaj się z poniższą tabelą dla sygnału i wymaganiami dotyczącymi pobierania sygnału.

Sygnał Pobieranie sygnału
Urządzenie jest zarządzane Integracja z usługą Intune lub innym rozwiązaniem do zarządzania urządzeniami przenośnymi (MDM) obsługującymi integrację.
Przyłączono hybrydową usługę Microsoft Entra Usługa Active Directory zarządza urządzeniem i kwalifikuje się.
Urządzenie jest zgodne Integracja z usługą Intune lub innym rozwiązaniem MDM obsługującym integrację. Zobacz Tworzenie zasad zgodności w usłudze Microsoft Intune.
Sygnały zagrożeń Ochrona punktu końcowego w usłudze Microsoft Defender i inne narzędzia wykrywanie i reagowanie w punktach końcowych (EDR) mają integrację microsoft Entra ID i Intune, które wysyłają sygnały zagrożenia w celu odmowy dostępu. Sygnały zagrożeń obsługują sygnał stanu zgodności.
Zasady dostępu między dzierżawami (publiczna wersja zapoznawcza) Ufaj sygnałom urządzenia z urządzeń w innych organizacjach.

Kontrolki oparte na rolach

Użyj kontroli dostępu opartej na rolach (RBAC), aby wymusić autoryzacje za pośrednictwem przypisań ról w określonym zakresie. Na przykład przypisz dostęp przy użyciu funkcji zarządzania upoważnieniami, w tym pakietów dostępu i przeglądów dostępu. Zarządzanie autoryzacjami przy użyciu żądań samoobsługi i używanie automatyzacji do zarządzania cyklem życia. Na przykład automatycznie zakończ dostęp na podstawie kryteriów.

Więcej informacji:

Kontrolki oparte na atrybutach

Kontrola dostępu oparta na atrybutach (ABAC) używa metadanych przypisanych do użytkownika lub zasobu w celu zezwolenia lub odmowy dostępu podczas uwierzytelniania. W poniższych sekcjach opisano tworzenie autoryzacji przy użyciu wymuszania abAC dla danych i zasobów za pomocą uwierzytelniania.

Atrybuty przypisane do użytkowników

Użyj atrybutów przypisanych do użytkowników, przechowywanych w identyfikatorze Entra firmy Microsoft, aby utworzyć autoryzacje użytkowników. Użytkownicy są automatycznie przypisywani do dynamicznych grup członkostwa w oparciu o zestaw reguł zdefiniowany podczas tworzenia grupy. Reguły dodają lub usuń użytkownika z grupy na podstawie oceny reguły względem użytkownika i ich atrybutów. Zalecamy utrzymywanie atrybutów i nie ustawianie atrybutów statycznych w dniu tworzenia.

Dowiedz się więcej: Tworzenie lub aktualizowanie grupy dynamicznej w identyfikatorze Entra firmy Microsoft

Atrybuty przypisane do danych

Dzięki identyfikatorowi Entra firmy Microsoft możesz zintegrować autoryzację z danymi. Zobacz poniższe sekcje, aby zintegrować autoryzację. Uwierzytelnianie można skonfigurować w zasadach dostępu warunkowego: ogranicz akcje podejmowane przez użytkowników w aplikacji lub na danych. Te zasady uwierzytelniania są następnie mapowane w źródle danych.

Źródła danych mogą być plikami pakietu Microsoft Office, takimi jak Word, Excel lub Witryny programu SharePoint mapowane na uwierzytelnianie. Użyj uwierzytelniania przypisanego do danych w aplikacjach. Takie podejście wymaga integracji z kodem aplikacji i dla deweloperów w celu wdrożenia możliwości. Integracja uwierzytelniania z usługą Microsoft Defender dla Chmury Apps umożliwia kontrolowanie akcji wykonywanych na danych za pomocą kontrolek sesji.

Połącz dynamiczne grupy członkostwa z kontekstem uwierzytelniania, aby kontrolować mapowania dostępu użytkowników między danymi a atrybutami użytkownika.

Więcej informacji:

Atrybuty przypisane do zasobów

Platforma Azure obejmuje kontrolę dostępu opartą na atrybutach (Azure ABAC) dla magazynu. Przypisz tagi metadanych na danych przechowywanych na koncie usługi Azure Blob Storage. Przypisz metadane do użytkowników przy użyciu przypisań ról w celu udzielenia dostępu.

Dowiedz się więcej: Co to jest kontrola dostępu oparta na atrybutach platformy Azure?

Zarządzanie dostępem uprzywilejowanym

Notatka przytacza nieefektywność korzystania z narzędzi do zarządzania dostępem uprzywilejowanym z poświadczeniami efemerycznym z pojedynczymi czynnikami w celu uzyskania dostępu do systemów. Te technologie obejmują magazyny haseł, które akceptują logowanie za pomocą uwierzytelniania wieloskładnikowego dla administratora. Te narzędzia generują hasło dla alternatywnego konta w celu uzyskania dostępu do systemu. Dostęp do systemu występuje z jednym czynnikiem.

Narzędzia firmy Microsoft implementują usługę Privileged Identity Management (PIM) dla systemów uprzywilejowanych z identyfikatorem Entra firmy Microsoft jako centralnym systemem zarządzania tożsamościami. Wymuszanie uwierzytelniania wieloskładnikowego w przypadku większości uprzywilejowanych systemów, które są aplikacjami, elementami infrastruktury lub urządzeniami.

Użyj usługi PIM dla roli uprzywilejowanej, gdy jest ona implementowana z tożsamościami firmy Microsoft Entra. Zidentyfikuj systemy uprzywilejowane, które wymagają ochrony, aby zapobiec ruchowi bocznemu.

Więcej informacji:

Następne kroki