Partilhar via


Configure os controles de identificação e autenticação para atender ao nível de alto impacto do FedRAMP com o Microsoft Entra ID

A identificação e a autenticação são fundamentais para alcançar um nível de Alto Impacto do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).

A lista a seguir de controles e aprimoramentos de controle na família de identificação e autenticação (IA) pode exigir configuração em seu locatário do Microsoft Entra.

Família de controlos Description
IA-2 Identificação e autenticação (utilizadores organizacionais)
IA-3 Identificação e autenticação do dispositivo
IA-4 Gestão de identificadores
IA-5 Gestão de autenticadores
IA-6 Feedback do autenticador
IA-7 Autenticação de módulo criptográfico
IA-8 Identificação e autenticação (utilizadores não organizacionais)

Cada linha na tabela a seguir fornece orientação prescritiva para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o controle ou aprimoramento do controle.

Configurações

ID de controle FedRAMP e descrição Orientações e recomendações do Microsoft Entra
IA-2 Identificação e Autenticação de Utilizadores
O sistema de informação identifica e autentica exclusivamente os usuários organizacionais (ou processos que atuam em nome dos usuários organizacionais).
Identifique e autentique exclusivamente usuários ou processos que atuam para os usuários.

O Microsoft Entra ID identifica exclusivamente os objetos principais do usuário e do serviço diretamente. O Microsoft Entra ID fornece vários métodos de autenticação e você pode configurar métodos que aderem ao nível de garantia de autenticação (AAL) 3 do National Institute of Standards and Technology (NIST).

Identificadores

  • Usuários: Trabalhando com usuários no Microsoft Graph: propriedade ID
  • Entidades de serviço: Tipo de recurso ServicePrincipal : propriedade ID

    Autenticação e autenticação multifator

  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft
  • IA-2(1)
    O sistema de informação implementa autenticação multifator para acesso à rede a contas privilegiadas.

    IA-2(3)
    O sistema de informação implementa autenticação multifator para acesso local a contas privilegiadas.
    Autenticação multifator para todos os acessos a contas privilegiadas.

    Configure os seguintes elementos para uma solução completa para garantir que todo o acesso a contas privilegiadas exija autenticação multifator.

    Configure políticas de Acesso Condicional para exigir autenticação multifator para todos os usuários.
    Implemente o Microsoft Entra Privileged Identity Management para exigir autenticação multifator para ativação da atribuição de função privilegiada antes do uso.

    Com o requisito de ativação do Privileged Identity Management, a ativação da conta de privilégios não é possível sem acesso à rede, portanto, o acesso local nunca é privilegiado.

    autenticação multifator e gerenciamento privilegiado de identidades

  • Acesso condicional: requer autenticação multifator para todos os usuários
  • Definir configurações de função do Microsoft Entra no Gerenciamento de Identidades Privilegiadas
  • IA-2(2)
    O sistema de informação implementa autenticação multifator para acesso à rede a contas não privilegiadas.

    IA-2(4)
    O sistema de informação implementa autenticação multifator para acesso local a contas sem privilégios.
    Implementar autenticação multifator para todos os acessos a contas sem privilégios

    Configure os seguintes elementos como uma solução geral para garantir que todo o acesso a contas sem privilégios exija MFA.

    Configure políticas de Acesso Condicional para exigir MFA para todos os usuários.
    Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), Microsoft Endpoint Manager (MEM) ou objetos de política de grupo (GPO) para impor o uso de métodos de autenticação específicos.
    Configure políticas de Acesso Condicional para impor a conformidade do dispositivo.

    A Microsoft recomenda o uso de um autenticador de hardware criptográfico multifator (por exemplo, chaves de segurança FIDO2, Windows Hello for Business (com TPM de hardware) ou cartão inteligente) para obter AAL3. Se a sua organização for baseada na nuvem, recomendamos o uso de chaves de segurança FIDO2 ou do Windows Hello for Business.

    O Windows Hello for Business não foi validado no nível de segurança FIPS 140 exigido e, como tal, os clientes federais precisariam realizar avaliação e avaliação de risco antes de aceitá-lo como AAL3. Para obter mais informações sobre a validação FIPS 140 do Windows Hello for Business, consulte Microsoft NIST AALs.

    Consulte as orientações a seguir sobre as políticas de MDM diferem ligeiramente com base nos métodos de autenticação.

    Smart Card / Windows Hello para Empresas
    Estratégia sem senha - Requer o Windows Hello for Business ou cartão inteligente
    Exigir que o dispositivo seja marcado como conforme
    Acesso condicional - Requer MFA para todos os usuários

    Apenas híbrido
    Estratégia sem senha - Configurar contas de usuário para não permitir autenticação de senha

    Apenas cartão inteligente
    Criar uma regra para enviar uma declaração de método de autenticação
    Configurar políticas de autenticação

    Chave de Segurança FIDO2
    Estratégia sem senha - Excluindo o provedor de credenciais de senha
    Exigir que o dispositivo seja marcado como conforme
    Acesso condicional - Requer MFA para todos os usuários

    Métodos de Autenticação
    Entrada sem senha do Microsoft Entra (visualização) | Chaves de segurança FIDO2
    Entrada com chave de segurança sem senha do Windows - Microsoft Entra ID
    ADFS: Autenticação de certificado com ID do Microsoft Entra e Office 365
    Como funciona o início de sessão com cartão inteligente no Windows (Windows 10)
    Visão geral do Windows Hello for Business (Windows 10)

    Recursos Adicionais:
    CSP de políticas - Gerenciamento de clientes Windows
    Planejar uma implantação de autenticação sem senha com o Microsoft Entra ID

    IA-2(5)
    A organização exige que os indivíduos sejam autenticados com um autenticador individual quando um autenticador de grupo é empregado.
    Quando vários usuários tiverem acesso a uma senha de conta compartilhada ou de grupo, exija que cada usuário primeiro se autentique usando um autenticador individual.

    Use uma conta individual por usuário. Se uma conta compartilhada for necessária, o Microsoft Entra ID permitirá a vinculação de vários autenticadores a uma conta para que cada usuário tenha um autenticador individual.

    Recursos

  • Como funciona: Autenticação multifator Microsoft Entra
  • Gerenciar métodos de autenticação para autenticação multifator do Microsoft Entra
  • IA-2(8)
    O sistema de informação implementa mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas.
    Implemente mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas.

    Configure políticas de Acesso Condicional para exigir autenticação multifator para todos os usuários. Todos os métodos de autenticação do Microsoft Entra nos níveis de garantia de autenticação 2 e 3 usam nonce ou desafios e são resistentes a ataques de repetição.

    Referências

  • Acesso condicional: requer autenticação multifator para todos os usuários
  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft
  • IA-2(11)
    O sistema de informação implementa autenticação multifator para acesso remoto a contas privilegiadas e não privilegiadas, de modo que um dos fatores é fornecido por um dispositivo separado do sistema que obtém acesso e o dispositivo atende [Atribuição FedRAMP: FIPS 140-2, Certificação NIAP ou aprovação NSA*].

    *Parceria Nacional de Garantia da Informação (NIAP)
    Requisitos e orientações adicionais do FedRAMP:
    Orientação: PIV = dispositivo separado. Consulte as Diretrizes do NIST SP 800-157 para credenciais derivadas de verificação de identidade pessoal (PIV). FIPS 140-2 significa validado pelo Cryptographic Module Validation Program (CMVP).
    Implemente a autenticação multifator Microsoft Entra para acessar recursos implantados pelo cliente remotamente para que um dos fatores seja fornecido por um dispositivo separado do sistema que obtém acesso onde o dispositivo atende ao FIPS-140-2, certificação NIAP ou aprovação NSA.

    Ver orientações para IA-02(1-4). Os métodos de autenticação do Microsoft Entra a serem considerados no AAL3 atendendo aos requisitos de dispositivo separados são:

    Chaves de segurança FIDO2

  • Windows Hello for Business com TPM de hardware (o TPM é reconhecido como um fator "algo que você tem" válido pelo NIST 800-63B Seção 5.1.7.1.)
  • Smart card

    Referências

  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft
  • NIST 800-63B Secção 5.1.7.1
  • **IA-2(12)*
    O sistema de informação aceita e verifica eletronicamente as credenciais de Verificação de Identidade Pessoal (PIV).

    IA-2 (12) Requisitos e orientações adicionais do FedRAMP:
    Orientação: Incluir o Common Access Card (CAC), ou seja, a implementação técnica do DoD do PIV/FIPS 201/HSPD-12.
    Aceite e verifique as credenciais de verificação de identidade pessoal (PIV). Esse controle não é aplicável se o cliente não implantar credenciais PIP.

    Configure a autenticação federada usando os Serviços de Federação do Ative Directory (AD FS) para aceitar PIV (autenticação de certificado) como métodos de autenticação primária e multifator e emitir a declaração de autenticação multifator (MultipleAuthN) quando o PIV for usado. Configure o domínio federado no Microsoft Entra ID com a configuração federatedIdpMfaBehavior como enforceMfaByFederatedIdp (recomendado) ou SupportsMfa para $True direcionar solicitações de autenticação multifator originadas no Microsoft Entra ID para os Serviços de Federação do Ative Directory. Como alternativa, você pode usar o PIV para entrar em dispositivos Windows e, posteriormente, usar a autenticação integrada do Windows, juntamente com o logon único contínuo. O Windows Server e o cliente verificam os certificados por padrão quando usados para autenticação.

    Recursos

  • O que é federação com o Microsoft Entra ID?
  • Configurar o suporte do AD FS para autenticação de certificado de usuário
  • Configurar políticas de autenticação
  • Recursos seguros com a autenticação multifator do Microsoft Entra e o AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect: Logon único contínuo
  • IA-3 Identificação e autenticação de dispositivos
    O sistema de informação identifica e autentica exclusivamente [Atribuição: específicos definidos pela organização e/ou tipos de dispositivos] antes de estabelecer uma conexão [Seleção (um ou mais): local; remoto; rede].
    Implemente a identificação e autenticação do dispositivo antes de estabelecer uma conexão.

    Configure a ID do Microsoft Entra para identificar e autenticar dispositivos registrados do Microsoft Entra, do Microsoft Entra ingressados e híbridos do Microsoft Entra.

    Recursos

  • O que é um ID do dispositivo?
  • Planejar uma implantação de dispositivos Microsoft Entra
  • Exigir dispositivos gerenciados para acesso a aplicativos na nuvem com acesso condicional
  • IA-04 Gestão de Identificadores
    A organização gerencia identificadores do sistema de informações para usuários e dispositivos:
    a) Receber autorização de [FedRAMP Assignment, no mínimo, o ISSO (ou função semelhante dentro da organização)] para atribuir um identificador de indivíduo, grupo, função ou dispositivo;
    b) Selecionar um identificador que identifique um indivíduo, grupo, função ou dispositivo;
    c) Atribuir o identificador ao indivíduo, grupo, função ou dispositivo pretendido;
    d) Impedir a reutilização de identificadores para [Atribuição FedRAMP: pelo menos dois (2) anos];
    e) Desativando o identificador após [Atribuição FedRAMP: trinta e cinco (35) dias (consulte os requisitos e orientações)]
    IA-4e Requisitos e orientações adicionais do FedRAMP:
    Requisito: O prestador de serviços define o período de inatividade para os identificadores de dispositivos.
    Orientação: Para nuvens do DoD, consulte o site da nuvem do DoD para obter os requisitos específicos do DoD que vão além do FedRAMP.

    IA-4(4)
    A organização gerencia identificadores individuais identificando exclusivamente cada indivíduo como [Atribuição FedRAMP: contratados; estrangeiros].
    Desative os identificadores de conta após 35 dias de inatividade e impeça a sua reutilização durante dois anos. Gerencie identificadores individuais identificando exclusivamente cada indivíduo (por exemplo, contratantes e estrangeiros).

    Atribua e gerencie identificadores de conta individuais e status no Microsoft Entra ID de acordo com as políticas organizacionais existentes definidas no AC-02. Siga o AC-02(3) para desativar automaticamente as contas de usuário e dispositivo após 35 dias de inatividade. Certifique-se de que a política organizacional mantém todas as contas que permanecem no estado desativado por pelo menos dois anos. Após esse tempo, você pode removê-los.

    Determinar inatividade

  • Gerenciar contas de usuário inativas no Microsoft Entra ID
  • Gerenciar dispositivos obsoletos no Microsoft Entra ID
  • Ver orientações AC-02
  • IA-5 Gestão de Autenticadores
    A organização gerencia autenticadores de sistemas de informação ao:
    a) Verificar, como parte da distribuição inicial do autenticador, a identidade do indivíduo, grupo, função ou dispositivo que recebe o autenticador;
    b) Estabelecer conteúdo autenticador inicial para autenticadores definidos pela organização;
    c) Assegurar que os autenticadores dispõem de mecanismos suficientes para a utilização prevista;
    d) Estabelecer e implementar procedimentos administrativos para a distribuição inicial de autenticadores, para autenticadores perdidos/comprometidos ou danificados e para a revogação de autenticadores;
    e) Alteração do conteúdo padrão dos autenticadores antes da instalação do sistema de informação;
    f) Estabelecer restrições mínimas e máximas de vida útil e condições de reutilização para autenticadores;
    g) Alterando/atualizando autenticadores [Atribuição: período de tempo definido pela organização por tipo de autenticador].
    h) Proteger o conteúdo do autenticador contra divulgação e modificação não autorizadas;
    i) Exigir que as pessoas tomem, e façam com que os dispositivos implementem, salvaguardas de segurança específicas para proteger os autenticadores; e ainda
    j.) Alterar autenticadores para contas de grupo/função quando a associação a essas contas é alterada.

    IA-5 Requisitos e orientações adicionais do FedRAMP:
    Requisito: Os autenticadores devem estar em conformidade com as Diretrizes de Identidade Digital NIST SP 800-63-3 IAL, AAL, FAL nível 3. Ligação https://pages.nist.gov/800-63-3
    Configure e gerencie autenticadores de sistemas de informação.

    O Microsoft Entra ID suporta vários métodos de autenticação. Você pode usar suas políticas organizacionais existentes para gerenciamento. Consulte as orientações para a seleção de autenticadores em IA-02(1-4). Habilite os usuários no registro combinado para autenticação multifator SSPR e Microsoft Entra e exija que os usuários registrem um mínimo de dois métodos aceitáveis de autenticação multifator para facilitar a autocorreção. Você pode revogar autenticadores configurados pelo usuário a qualquer momento com a API de métodos de autenticação.

    Força do autenticador/proteção do conteúdo do autenticador

  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft

    Métodos de autenticação e registo combinado

  • Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
  • Registro combinado para autenticação multifator SSPR e Microsoft Entra

    O autenticador revoga

  • Visão geral da API de métodos de autenticação do Microsoft Entra
  • IA-5(1)
    O sistema de informação, para autenticação baseada em senha:
    a) Impõe a complexidade mínima da senha de [Atribuição: requisitos definidos pela organização para diferenciação de maiúsculas e minúsculas, número de caracteres, combinação de letras maiúsculas, letras minúsculas, números e caracteres especiais, incluindo requisitos mínimos para cada tipo];
    b) Impõe pelo menos o seguinte número de caracteres alterados quando novas senhas são criadas: [Atribuição FedRAMP: pelo menos cinquenta por cento (50%)];
    c) Armazena e transmite apenas senhas protegidas criptograficamente;
    d) Impõe restrições de tempo de vida mínimo e máximo de senha de [Atribuição: números definidos pela organização para o mínimo vitalício, máximo do tempo de vida];
    (e.)** Proíbe a reutilização de senha para [Atribuição FedRAMP: vinte e quatro (24)] gerações;
    f) Permite o uso de uma senha temporária para logons do sistema com uma alteração imediata para uma senha permanente.

    IA-5 (1) a e d Requisitos e orientações adicionais do FedRAMP:
    Orientação: Se as políticas de senha estiverem em conformidade com as diretrizes do NIST SP 800-63B Memorized Secret (Seção 5.1.1), o controle pode ser considerado compatível.
    Implemente requisitos de autenticação baseados em senha.

    Por NIST SP 800-63B Seção 5.1.1: Mantenha uma lista de senhas comumente usadas, esperadas ou comprometidas.

    Com a proteção por senha do Microsoft Entra, as listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Para dar suporte às suas necessidades comerciais e de segurança, você pode definir entradas em uma lista personalizada de senhas proibidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes.

    Encorajamos vivamente estratégias sem palavra-passe. Esse controle só é aplicável a autenticadores de senha, portanto, remover senhas como um autenticador disponível torna esse controle não aplicável.

    Documentos de referência do NIST

  • Publicação Especial NIST 800-63B
  • Publicação Especial NIST 800-53 Revisão 5 - IA-5 - Melhoria do controlo (1)

    Recurso

  • Elimine senhas incorretas usando a proteção por senha do Microsoft Entra
  • IA-5(2)
    O sistema de informação, para autenticação baseada em PKI:
    a) Valida certificações construindo e verificando um caminho de certificação para uma âncora de confiança aceita, incluindo a verificação das informações de status do certificado;
    b) Impõe o acesso autorizado à chave privada correspondente;
    c) Mapeia a identidade autenticada para a conta do indivíduo ou grupo; e ainda
    d) Implementa um cache local de dados de revogação para dar suporte à descoberta e validação de caminho durante a incapacidade de acessar informações de revogação por meio da rede.
    Implemente requisitos de autenticação baseados em PKI.

    Federar o ID do Microsoft Entra via AD FS para implementar a autenticação baseada em PKI. Por padrão, o AD FS valida certificados, armazena localmente em cache dados de revogação e mapeia os usuários para a identidade autenticada no Ative Directory.

    Recursos

  • O que é federação com o Microsoft Entra ID?
  • Configurar o suporte do AD FS para autenticação de certificado de usuário
  • IA-5(4)
    A organização emprega ferramentas automatizadas para determinar se os autenticadores de senha são suficientemente fortes para satisfazer [Atribuição FedRAMP: complexidade identificada no IA-5 (1) Control Enhancement (H) Part A].

    IA-5(4) Requisitos e orientações adicionais do FedRAMP:
    Orientação: Se os mecanismos automatizados que impõem a força do autenticador de senha na criação não forem usados, mecanismos automatizados deverão ser usados para auditar a força dos autenticadores de senha criados.
    Utilize ferramentas automatizadas para validar os requisitos de força da senha.

    O Microsoft Entra ID implementa mecanismos automatizados que impõem a força do autenticador de senha na criação. Esse mecanismo automatizado também pode ser estendido para impor a força do autenticador de senha para o Ative Directory local. A revisão 5 do NIST 800-53 retirou a IA-04(4) e incorporou o requisito na IA-5(1).

    Recursos

  • Elimine senhas incorretas usando a proteção por senha do Microsoft Entra
  • Proteção por senha do Microsoft Entra para Serviços de Domínio Ative Directory
  • Publicação Especial NIST 800-53 Revisão 5 - IA-5 - Melhoria do controlo (4)
  • IA-5(6)
    A organização protege os autenticadores proporcionalmente à categoria de segurança das informações às quais o uso do autenticador permite o acesso.
    Proteja os autenticadores conforme definido no nível de alto impacto do FedRAMP.

    Para obter mais informações sobre como o Microsoft Entra ID protege os autenticadores, consulte Considerações sobre segurança de dados do Microsoft Entra.

    IA-05(7)
    A organização garante que autenticadores estáticos não criptografados não sejam incorporados em aplicativos ou scripts de acesso ou armazenados em chaves de função.
    Certifique-se de que autenticadores estáticos não criptografados (por exemplo, uma senha) não estejam incorporados em aplicativos ou scripts de acesso ou armazenados em teclas de função.

    Implemente identidades gerenciadas ou objetos de entidade de serviço (configurados apenas com um certificado).

    Recursos

  • O que são identidades geridas para recursos do Azure?
  • Criar uma aplicação e um principal de serviço do Microsoft Entra no portal
  • IA-5(8)
    A organização implementa [FedRAMP Assignment: diferentes autenticadores em sistemas diferentes] para gerenciar o risco de comprometimento devido a indivíduos que têm contas em vários sistemas de informação.
    Implementar salvaguardas de segurança quando os indivíduos têm contas em vários sistemas de informação.

    Implemente o logon único conectando todos os aplicativos ao Microsoft Entra ID, em vez de ter contas individuais em vários sistemas de informação.

    O que é o logon único do Azure?

    IA-5(11)
    O sistema de informações, para autenticação baseada em token de hardware, emprega mecanismos que satisfazem [Atribuição: requisitos de qualidade de token definidos pela organização].
    Exija requisitos de qualidade de token de hardware, conforme exigido pelo nível de Alto Impacto do FedRAMP.

    Requer o uso de tokens de hardware que atendam AAL3.

    Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft

    IA-5(13)
    O sistema de informações proíbe o uso de autenticadores armazenados em cache após [Atribuição: período de tempo definido pela organização].
    Imponha a expiração dos autenticadores armazenados em cache.

    Os autenticadores armazenados em cache são usados para autenticar na máquina local quando a rede não está disponível. Para limitar o uso de autenticadores armazenados em cache, configure dispositivos Windows para desabilitar seu uso. Quando essa ação não for possível ou prática, use os seguintes controles de compensação:

    Configure controles de sessão de Acesso Condicional usando restrições impostas por aplicativo para aplicativos do Office.
    Configure o Acesso Condicional usando controles de aplicativo para outros aplicativos.

    Recursos

  • Número de logon interativo de logons anteriores para cache
  • Controles de sessão na política de Acesso Condicional: restrições impostas pelo aplicativo
  • Controles de sessão na política de Acesso Condicional: controle de aplicativo de Acesso Condicional
  • Feedback do autenticador IA-6
    O sistema de informação obscurece o feedback das informações de autenticação durante o processo de autenticação para proteger as informações de possível exploração/uso por indivíduos não autorizados.
    Informações obscuras de feedback de autenticação durante o processo de autenticação.

    Por padrão, o Microsoft Entra ID obscurece todos os comentários do autenticador.

    Autenticação do módulo criptográfico IA-7
    O sistema de informação implementa mecanismos de autenticação em um módulo criptográfico para requisitos de leis federais aplicáveis, ordens executivas, diretrizes, políticas, regulamentos, normas e orientações para tal autenticação.
    Implementar mecanismos de autenticação em um módulo criptográfico que atenda às leis federais aplicáveis.

    O nível FedRAMP High Impact requer o autenticador AAL3. Todos os autenticadores suportados pelo Microsoft Entra ID no AAL3 fornecem mecanismos para autenticar o acesso do operador ao módulo, conforme necessário. Por exemplo, em uma implantação do Windows Hello for Business com TPM de hardware, configure o nível de autorização do proprietário do TPM.

    Recursos

  • Para mais informações, ver IA-02 (2 e 4).
  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft
  • Configurações da Diretiva de Grupo do TPM
  • IA-8 Identificação e Autenticação (Usuários Não Organizacionais)
    O sistema de informação identifica e autentica exclusivamente usuários não organizacionais (ou processos que atuam em nome de usuários não organizacionais).
    O sistema de informação identifica e autentica exclusivamente usuários não organizacionais (ou processos que atuam para usuários não organizacionais).

    O Microsoft Entra ID identifica e autentica exclusivamente usuários não organizacionais hospedados no locatário da organização ou em diretórios externos usando protocolos aprovados pelo Federal Identity, Credential and Access Management (FICAM).

    Recursos

  • O que é colaboração B2B no Microsoft Entra ID?
  • Federação direta com um provedor de identidade para B2B
  • Propriedades de um usuário convidado B2B
  • IA-8(1)
    O sistema de informação aceita e verifica eletronicamente as credenciais de Verificação de Identidade Pessoal (PIV) de outras agências federais.

    IA-8(4)
    O sistema de informação está em conformidade com os perfis emitidos pela FICAM.
    Aceitar e verificar credenciais PIV emitidas por outras agências federais. Em conformidade com os perfis emitidos pela FICAM.

    Configure o Microsoft Entra ID para aceitar credenciais PIV via federação (OIDC, SAML) ou localmente por meio de autenticação integrada do Windows.

    Recursos

  • O que é federação com o Microsoft Entra ID?
  • Configurar o suporte do AD FS para autenticação de certificado de usuário
  • O que é colaboração B2B no Microsoft Entra ID?
  • Federação direta com um provedor de identidade para B2B
  • IA-8(2)
    O sistema de informação aceita apenas credenciais de terceiros aprovadas pela FICAM.
    Aceite apenas credenciais aprovadas pela FICAM.

    O Microsoft Entra ID suporta autenticadores nas AALs 1, 2 e 3 do NIST. Restringir o uso de autenticadores proporcionais à categoria de segurança do sistema que está sendo acessado.

    O Microsoft Entra ID suporta uma grande variedade de métodos de autenticação.

    Recursos

  • Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
  • Visão geral da API da política de métodos de autenticação do Microsoft Entra
  • Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft                                     
  • Próximos passos