Configure os controles de identificação e autenticação para atender ao nível de alto impacto do FedRAMP com o Microsoft Entra ID
A identificação e a autenticação são fundamentais para alcançar um nível de Alto Impacto do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).
A lista a seguir de controles e aprimoramentos de controle na família de identificação e autenticação (IA) pode exigir configuração em seu locatário do Microsoft Entra.
Família de controlos | Description |
---|---|
IA-2 | Identificação e autenticação (utilizadores organizacionais) |
IA-3 | Identificação e autenticação do dispositivo |
IA-4 | Gestão de identificadores |
IA-5 | Gestão de autenticadores |
IA-6 | Feedback do autenticador |
IA-7 | Autenticação de módulo criptográfico |
IA-8 | Identificação e autenticação (utilizadores não organizacionais) |
Cada linha na tabela a seguir fornece orientação prescritiva para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o controle ou aprimoramento do controle.
Configurações
ID de controle FedRAMP e descrição | Orientações e recomendações do Microsoft Entra |
---|---|
IA-2 Identificação e Autenticação de Utilizadores O sistema de informação identifica e autentica exclusivamente os usuários organizacionais (ou processos que atuam em nome dos usuários organizacionais). |
Identifique e autentique exclusivamente usuários ou processos que atuam para os usuários. O Microsoft Entra ID identifica exclusivamente os objetos principais do usuário e do serviço diretamente. O Microsoft Entra ID fornece vários métodos de autenticação e você pode configurar métodos que aderem ao nível de garantia de autenticação (AAL) 3 do National Institute of Standards and Technology (NIST). Identificadores Autenticação e autenticação multifator |
IA-2(1) O sistema de informação implementa autenticação multifator para acesso à rede a contas privilegiadas. IA-2(3) O sistema de informação implementa autenticação multifator para acesso local a contas privilegiadas. |
Autenticação multifator para todos os acessos a contas privilegiadas. Configure os seguintes elementos para uma solução completa para garantir que todo o acesso a contas privilegiadas exija autenticação multifator. Configure políticas de Acesso Condicional para exigir autenticação multifator para todos os usuários. Com o requisito de ativação do Privileged Identity Management, a ativação da conta de privilégios não é possível sem acesso à rede, portanto, o acesso local nunca é privilegiado. autenticação multifator e gerenciamento privilegiado de identidades |
IA-2(2) O sistema de informação implementa autenticação multifator para acesso à rede a contas não privilegiadas. IA-2(4) O sistema de informação implementa autenticação multifator para acesso local a contas sem privilégios. |
Implementar autenticação multifator para todos os acessos a contas sem privilégios Configure os seguintes elementos como uma solução geral para garantir que todo o acesso a contas sem privilégios exija MFA. Configure políticas de Acesso Condicional para exigir MFA para todos os usuários. A Microsoft recomenda o uso de um autenticador de hardware criptográfico multifator (por exemplo, chaves de segurança FIDO2, Windows Hello for Business (com TPM de hardware) ou cartão inteligente) para obter AAL3. Se a sua organização for baseada na nuvem, recomendamos o uso de chaves de segurança FIDO2 ou do Windows Hello for Business. O Windows Hello for Business não foi validado no nível de segurança FIPS 140 exigido e, como tal, os clientes federais precisariam realizar avaliação e avaliação de risco antes de aceitá-lo como AAL3. Para obter mais informações sobre a validação FIPS 140 do Windows Hello for Business, consulte Microsoft NIST AALs. Consulte as orientações a seguir sobre as políticas de MDM diferem ligeiramente com base nos métodos de autenticação. Smart Card / Windows Hello para Empresas Apenas híbrido Apenas cartão inteligente Chave de Segurança FIDO2 Métodos de Autenticação Recursos Adicionais: |
IA-2(5) A organização exige que os indivíduos sejam autenticados com um autenticador individual quando um autenticador de grupo é empregado. |
Quando vários usuários tiverem acesso a uma senha de conta compartilhada ou de grupo, exija que cada usuário primeiro se autentique usando um autenticador individual. Use uma conta individual por usuário. Se uma conta compartilhada for necessária, o Microsoft Entra ID permitirá a vinculação de vários autenticadores a uma conta para que cada usuário tenha um autenticador individual. Recursos |
IA-2(8) O sistema de informação implementa mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas. |
Implemente mecanismos de autenticação resistentes a repetição para acesso à rede a contas privilegiadas. Configure políticas de Acesso Condicional para exigir autenticação multifator para todos os usuários. Todos os métodos de autenticação do Microsoft Entra nos níveis de garantia de autenticação 2 e 3 usam nonce ou desafios e são resistentes a ataques de repetição. Referências |
IA-2(11) O sistema de informação implementa autenticação multifator para acesso remoto a contas privilegiadas e não privilegiadas, de modo que um dos fatores é fornecido por um dispositivo separado do sistema que obtém acesso e o dispositivo atende [Atribuição FedRAMP: FIPS 140-2, Certificação NIAP ou aprovação NSA*]. *Parceria Nacional de Garantia da Informação (NIAP) Requisitos e orientações adicionais do FedRAMP: Orientação: PIV = dispositivo separado. Consulte as Diretrizes do NIST SP 800-157 para credenciais derivadas de verificação de identidade pessoal (PIV). FIPS 140-2 significa validado pelo Cryptographic Module Validation Program (CMVP). |
Implemente a autenticação multifator Microsoft Entra para acessar recursos implantados pelo cliente remotamente para que um dos fatores seja fornecido por um dispositivo separado do sistema que obtém acesso onde o dispositivo atende ao FIPS-140-2, certificação NIAP ou aprovação NSA. Ver orientações para IA-02(1-4). Os métodos de autenticação do Microsoft Entra a serem considerados no AAL3 atendendo aos requisitos de dispositivo separados são: Chaves de segurança FIDO2 Referências |
**IA-2(12)* O sistema de informação aceita e verifica eletronicamente as credenciais de Verificação de Identidade Pessoal (PIV). IA-2 (12) Requisitos e orientações adicionais do FedRAMP: Orientação: Incluir o Common Access Card (CAC), ou seja, a implementação técnica do DoD do PIV/FIPS 201/HSPD-12. |
Aceite e verifique as credenciais de verificação de identidade pessoal (PIV). Esse controle não é aplicável se o cliente não implantar credenciais PIP. Configure a autenticação federada usando os Serviços de Federação do Ative Directory (AD FS) para aceitar PIV (autenticação de certificado) como métodos de autenticação primária e multifator e emitir a declaração de autenticação multifator (MultipleAuthN) quando o PIV for usado. Configure o domínio federado no Microsoft Entra ID com a configuração federatedIdpMfaBehavior como Recursos |
IA-3 Identificação e autenticação de dispositivos O sistema de informação identifica e autentica exclusivamente [Atribuição: específicos definidos pela organização e/ou tipos de dispositivos] antes de estabelecer uma conexão [Seleção (um ou mais): local; remoto; rede]. |
Implemente a identificação e autenticação do dispositivo antes de estabelecer uma conexão. Configure a ID do Microsoft Entra para identificar e autenticar dispositivos registrados do Microsoft Entra, do Microsoft Entra ingressados e híbridos do Microsoft Entra. Recursos |
IA-04 Gestão de Identificadores A organização gerencia identificadores do sistema de informações para usuários e dispositivos: a) Receber autorização de [FedRAMP Assignment, no mínimo, o ISSO (ou função semelhante dentro da organização)] para atribuir um identificador de indivíduo, grupo, função ou dispositivo; b) Selecionar um identificador que identifique um indivíduo, grupo, função ou dispositivo; c) Atribuir o identificador ao indivíduo, grupo, função ou dispositivo pretendido; d) Impedir a reutilização de identificadores para [Atribuição FedRAMP: pelo menos dois (2) anos]; e) Desativando o identificador após [Atribuição FedRAMP: trinta e cinco (35) dias (consulte os requisitos e orientações)] IA-4e Requisitos e orientações adicionais do FedRAMP: Requisito: O prestador de serviços define o período de inatividade para os identificadores de dispositivos. Orientação: Para nuvens do DoD, consulte o site da nuvem do DoD para obter os requisitos específicos do DoD que vão além do FedRAMP. IA-4(4) A organização gerencia identificadores individuais identificando exclusivamente cada indivíduo como [Atribuição FedRAMP: contratados; estrangeiros]. |
Desative os identificadores de conta após 35 dias de inatividade e impeça a sua reutilização durante dois anos. Gerencie identificadores individuais identificando exclusivamente cada indivíduo (por exemplo, contratantes e estrangeiros). Atribua e gerencie identificadores de conta individuais e status no Microsoft Entra ID de acordo com as políticas organizacionais existentes definidas no AC-02. Siga o AC-02(3) para desativar automaticamente as contas de usuário e dispositivo após 35 dias de inatividade. Certifique-se de que a política organizacional mantém todas as contas que permanecem no estado desativado por pelo menos dois anos. Após esse tempo, você pode removê-los. Determinar inatividade |
IA-5 Gestão de Autenticadores A organização gerencia autenticadores de sistemas de informação ao: a) Verificar, como parte da distribuição inicial do autenticador, a identidade do indivíduo, grupo, função ou dispositivo que recebe o autenticador; b) Estabelecer conteúdo autenticador inicial para autenticadores definidos pela organização; c) Assegurar que os autenticadores dispõem de mecanismos suficientes para a utilização prevista; d) Estabelecer e implementar procedimentos administrativos para a distribuição inicial de autenticadores, para autenticadores perdidos/comprometidos ou danificados e para a revogação de autenticadores; e) Alteração do conteúdo padrão dos autenticadores antes da instalação do sistema de informação; f) Estabelecer restrições mínimas e máximas de vida útil e condições de reutilização para autenticadores; g) Alterando/atualizando autenticadores [Atribuição: período de tempo definido pela organização por tipo de autenticador]. h) Proteger o conteúdo do autenticador contra divulgação e modificação não autorizadas; i) Exigir que as pessoas tomem, e façam com que os dispositivos implementem, salvaguardas de segurança específicas para proteger os autenticadores; e ainda j.) Alterar autenticadores para contas de grupo/função quando a associação a essas contas é alterada. IA-5 Requisitos e orientações adicionais do FedRAMP: Requisito: Os autenticadores devem estar em conformidade com as Diretrizes de Identidade Digital NIST SP 800-63-3 IAL, AAL, FAL nível 3. Ligação https://pages.nist.gov/800-63-3 |
Configure e gerencie autenticadores de sistemas de informação. O Microsoft Entra ID suporta vários métodos de autenticação. Você pode usar suas políticas organizacionais existentes para gerenciamento. Consulte as orientações para a seleção de autenticadores em IA-02(1-4). Habilite os usuários no registro combinado para autenticação multifator SSPR e Microsoft Entra e exija que os usuários registrem um mínimo de dois métodos aceitáveis de autenticação multifator para facilitar a autocorreção. Você pode revogar autenticadores configurados pelo usuário a qualquer momento com a API de métodos de autenticação. Força do autenticador/proteção do conteúdo do autenticador Métodos de autenticação e registo combinado O autenticador revoga |
IA-5(1) O sistema de informação, para autenticação baseada em senha: a) Impõe a complexidade mínima da senha de [Atribuição: requisitos definidos pela organização para diferenciação de maiúsculas e minúsculas, número de caracteres, combinação de letras maiúsculas, letras minúsculas, números e caracteres especiais, incluindo requisitos mínimos para cada tipo]; b) Impõe pelo menos o seguinte número de caracteres alterados quando novas senhas são criadas: [Atribuição FedRAMP: pelo menos cinquenta por cento (50%)]; c) Armazena e transmite apenas senhas protegidas criptograficamente; d) Impõe restrições de tempo de vida mínimo e máximo de senha de [Atribuição: números definidos pela organização para o mínimo vitalício, máximo do tempo de vida]; (e.)** Proíbe a reutilização de senha para [Atribuição FedRAMP: vinte e quatro (24)] gerações; f) Permite o uso de uma senha temporária para logons do sistema com uma alteração imediata para uma senha permanente. IA-5 (1) a e d Requisitos e orientações adicionais do FedRAMP: Orientação: Se as políticas de senha estiverem em conformidade com as diretrizes do NIST SP 800-63B Memorized Secret (Seção 5.1.1), o controle pode ser considerado compatível. |
Implemente requisitos de autenticação baseados em senha. Por NIST SP 800-63B Seção 5.1.1: Mantenha uma lista de senhas comumente usadas, esperadas ou comprometidas. Com a proteção por senha do Microsoft Entra, as listas de senhas globais proibidas padrão são aplicadas automaticamente a todos os usuários em um locatário do Microsoft Entra. Para dar suporte às suas necessidades comerciais e de segurança, você pode definir entradas em uma lista personalizada de senhas proibidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas proibidas são verificadas para impor o uso de senhas fortes. Encorajamos vivamente estratégias sem palavra-passe. Esse controle só é aplicável a autenticadores de senha, portanto, remover senhas como um autenticador disponível torna esse controle não aplicável. Documentos de referência do NIST Recurso |
IA-5(2) O sistema de informação, para autenticação baseada em PKI: a) Valida certificações construindo e verificando um caminho de certificação para uma âncora de confiança aceita, incluindo a verificação das informações de status do certificado; b) Impõe o acesso autorizado à chave privada correspondente; c) Mapeia a identidade autenticada para a conta do indivíduo ou grupo; e ainda d) Implementa um cache local de dados de revogação para dar suporte à descoberta e validação de caminho durante a incapacidade de acessar informações de revogação por meio da rede. |
Implemente requisitos de autenticação baseados em PKI. Federar o ID do Microsoft Entra via AD FS para implementar a autenticação baseada em PKI. Por padrão, o AD FS valida certificados, armazena localmente em cache dados de revogação e mapeia os usuários para a identidade autenticada no Ative Directory. Recursos |
IA-5(4) A organização emprega ferramentas automatizadas para determinar se os autenticadores de senha são suficientemente fortes para satisfazer [Atribuição FedRAMP: complexidade identificada no IA-5 (1) Control Enhancement (H) Part A]. IA-5(4) Requisitos e orientações adicionais do FedRAMP: Orientação: Se os mecanismos automatizados que impõem a força do autenticador de senha na criação não forem usados, mecanismos automatizados deverão ser usados para auditar a força dos autenticadores de senha criados. |
Utilize ferramentas automatizadas para validar os requisitos de força da senha. O Microsoft Entra ID implementa mecanismos automatizados que impõem a força do autenticador de senha na criação. Esse mecanismo automatizado também pode ser estendido para impor a força do autenticador de senha para o Ative Directory local. A revisão 5 do NIST 800-53 retirou a IA-04(4) e incorporou o requisito na IA-5(1). Recursos |
IA-5(6) A organização protege os autenticadores proporcionalmente à categoria de segurança das informações às quais o uso do autenticador permite o acesso. |
Proteja os autenticadores conforme definido no nível de alto impacto do FedRAMP. Para obter mais informações sobre como o Microsoft Entra ID protege os autenticadores, consulte Considerações sobre segurança de dados do Microsoft Entra. |
IA-05(7) A organização garante que autenticadores estáticos não criptografados não sejam incorporados em aplicativos ou scripts de acesso ou armazenados em chaves de função. |
Certifique-se de que autenticadores estáticos não criptografados (por exemplo, uma senha) não estejam incorporados em aplicativos ou scripts de acesso ou armazenados em teclas de função. Implemente identidades gerenciadas ou objetos de entidade de serviço (configurados apenas com um certificado). Recursos |
IA-5(8) A organização implementa [FedRAMP Assignment: diferentes autenticadores em sistemas diferentes] para gerenciar o risco de comprometimento devido a indivíduos que têm contas em vários sistemas de informação. |
Implementar salvaguardas de segurança quando os indivíduos têm contas em vários sistemas de informação. Implemente o logon único conectando todos os aplicativos ao Microsoft Entra ID, em vez de ter contas individuais em vários sistemas de informação. |
IA-5(11) O sistema de informações, para autenticação baseada em token de hardware, emprega mecanismos que satisfazem [Atribuição: requisitos de qualidade de token definidos pela organização]. |
Exija requisitos de qualidade de token de hardware, conforme exigido pelo nível de Alto Impacto do FedRAMP. Requer o uso de tokens de hardware que atendam AAL3. Alcançando níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft |
IA-5(13) O sistema de informações proíbe o uso de autenticadores armazenados em cache após [Atribuição: período de tempo definido pela organização]. |
Imponha a expiração dos autenticadores armazenados em cache. Os autenticadores armazenados em cache são usados para autenticar na máquina local quando a rede não está disponível. Para limitar o uso de autenticadores armazenados em cache, configure dispositivos Windows para desabilitar seu uso. Quando essa ação não for possível ou prática, use os seguintes controles de compensação: Configure controles de sessão de Acesso Condicional usando restrições impostas por aplicativo para aplicativos do Office. Recursos |
Feedback do autenticador IA-6 O sistema de informação obscurece o feedback das informações de autenticação durante o processo de autenticação para proteger as informações de possível exploração/uso por indivíduos não autorizados. |
Informações obscuras de feedback de autenticação durante o processo de autenticação. Por padrão, o Microsoft Entra ID obscurece todos os comentários do autenticador. |
Autenticação do módulo criptográfico IA-7 O sistema de informação implementa mecanismos de autenticação em um módulo criptográfico para requisitos de leis federais aplicáveis, ordens executivas, diretrizes, políticas, regulamentos, normas e orientações para tal autenticação. |
Implementar mecanismos de autenticação em um módulo criptográfico que atenda às leis federais aplicáveis. O nível FedRAMP High Impact requer o autenticador AAL3. Todos os autenticadores suportados pelo Microsoft Entra ID no AAL3 fornecem mecanismos para autenticar o acesso do operador ao módulo, conforme necessário. Por exemplo, em uma implantação do Windows Hello for Business com TPM de hardware, configure o nível de autorização do proprietário do TPM. Recursos |
IA-8 Identificação e Autenticação (Usuários Não Organizacionais) O sistema de informação identifica e autentica exclusivamente usuários não organizacionais (ou processos que atuam em nome de usuários não organizacionais). |
O sistema de informação identifica e autentica exclusivamente usuários não organizacionais (ou processos que atuam para usuários não organizacionais). O Microsoft Entra ID identifica e autentica exclusivamente usuários não organizacionais hospedados no locatário da organização ou em diretórios externos usando protocolos aprovados pelo Federal Identity, Credential and Access Management (FICAM). Recursos |
IA-8(1) O sistema de informação aceita e verifica eletronicamente as credenciais de Verificação de Identidade Pessoal (PIV) de outras agências federais. IA-8(4) O sistema de informação está em conformidade com os perfis emitidos pela FICAM. |
Aceitar e verificar credenciais PIV emitidas por outras agências federais. Em conformidade com os perfis emitidos pela FICAM. Configure o Microsoft Entra ID para aceitar credenciais PIV via federação (OIDC, SAML) ou localmente por meio de autenticação integrada do Windows. Recursos |
IA-8(2) O sistema de informação aceita apenas credenciais de terceiros aprovadas pela FICAM. |
Aceite apenas credenciais aprovadas pela FICAM. O Microsoft Entra ID suporta autenticadores nas AALs 1, 2 e 3 do NIST. Restringir o uso de autenticadores proporcionais à categoria de segurança do sistema que está sendo acessado. O Microsoft Entra ID suporta uma grande variedade de métodos de autenticação. Recursos |