Достижение уровня зрелости ACSC Essential Восемь MFA 2 с помощью Microsoft Entra

Определение ACSC уровня зрелости MFA 2

• Многофакторная проверка подлинности используется для проверки подлинности пользователейв веб-службы организации, которые обрабатывают, хранят или передают конфиденциальные данные своей организации.
• Многофакторная проверка подлинности используется для проверки подлинности пользователейв сторонних веб-службы, которые обрабатывают, хранят или передают конфиденциальные данные своей организации.
• Многофакторная проверка подлинности (при наличии) используется для проверки подлинности пользователейв сторонних веб-службы, которые обрабатывают, хранят или передают не конфиденциальные данные своей организации.
• Многофакторная проверка подлинности используется для проверки подлинности пользователей в веб-службах своей организации , которые обрабатывают, хранят или передают конфиденциальные данные клиентов своей организации.
• Многофакторная проверка подлинности используется для проверки подлинности пользователей в сторонних веб-службах клиентов , которые обрабатывают, хранят или передают конфиденциальные данные клиентов своей организации.
• Многофакторная проверка подлинности используется для проверки подлинности привилегированных пользователейсистем.
• Многофакторная проверка подлинности используется для проверки подлинности непривилегированных пользователейсистем.
• Для многофакторной проверки подлинности используется: что-то, что пользователи имеюти что-то знают пользователи, или что-то, что разблокировано пользователями.
• Многофакторная проверка подлинности, используемая для проверки подлинности пользователейвеб-службы, устойчива к фишингу.
• Многофакторная проверка подлинности, используемая для проверки подлинности пользователейсистем , устойчива к фишингу.
• События успешной и неудачной многофакторной проверки подлинности регистрируются централизованно.
• Журналы событий защищены от несанкционированного изменения и удаления.

Вне области поддержки

Обслуживание клиентов

Следующие требования ACSC для уровня зрелости 2 связаны с удостоверениями клиентов и не область в этом руководстве по удостоверениям Microsoft Entra сотрудников.

• Многофакторная проверка подлинности используется для проверки подлинности клиентов в веб-службах клиентов, которые обрабатывают, хранят или передают конфиденциальные данные клиентов.
• Многофакторная проверка подлинности, используемая для проверки подлинности клиентов из Интернета, обеспечивает устойчивость к фишингу.

Процессы организации

Следующие требования ACSC для уровня зрелости 2 относятся к организационным процессам и не область в этом руководстве по Microsoft Entra удостоверениям сотрудников.

• Журналы событий с серверов, подключенных к Интернету, своевременно анализируются для обнаружения событий кибербезопасности.
• События кибербезопасности своевременно анализируются для выявления инцидентов кибербезопасности.
• Об инцидентах кибербезопасности сообщается главному сотруднику по информационной безопасности или одному из их делегатов, как можно скорее после их возникновения или обнаружения.
• Об инцидентах кибербезопасности сообщается ASD как можно скорее после их возникновения или обнаружения.
• После выявления инцидента кибербезопасности вводится план реагирования на инциденты кибербезопасности.

Общие сведения о зрелости MFA уровня 2

• MFA требуется для привилегированного и непривилегированного доступа к серверам.

Разрешенные типы средств проверки подлинности

Для достижения уровня зрелости 3 можно использовать любой устойчивый к фишингу многофакторный аутентификатор ISM.

методы проверки подлинности Microsoft Entra	Тип аутентификатора
Сертификат с аппаратной защитой (смарт-карта, ключ безопасности или доверенный платформенный модуль) Ключи доступа (привязанные к устройству) -> Ключи безопасности FIDO 2 -> Windows Hello для бизнеса с аппаратным TPM (доверенный платформенный модуль) -> Ключ доступа в Microsoft Authenticator (привязанный к устройству)	Многофакторное оборудование для шифрования

Наши рекомендации

Инструкции по проверке подлинности без пароля, которая устраняет наибольшую атакующую область, пароль, см. в статье Планирование развертывания проверки подлинности без пароля в Microsoft Entra.

Дополнительные сведения о реализации Windows Hello для бизнеса см. в руководстве по развертыванию Windows Hello для бизнеса.

Microsoft Entra методы проверки подлинности, не разрешенные уровнем зрелости 2

• Вход в SMS
• Email OTP
• Приложение Microsoft Authenticator (вход с телефона)
• Пароль и телефон (SMS)
• Пароль и телефон (голосовой звонок)
• Пароль и Email OTP
• Пароль и приложение Microsoft Authenticator (OTP)
• Пароль и однофакторный OTP
• Пароль и Microsoft Entra, присоединенные к доверенному платформенного модуля программного обеспечения
• Пароль и совместимое мобильное устройство
• Пароль и Microsoft Entra гибридное присоединение к программному TPM
• Пароль и приложение Microsoft Authenticator (уведомление)
• Пароль и Microsoft Entra, присоединенные к аппаратному TPM
• Пароль и Microsoft Entra гибридное соединение с аппаратным TPM

Устойчивая к фишингу многофакторная проверка подлинности для гостей

Microsoft Entra ID не поддерживает регистрацию гостей для устойчивых к фишингу параметров многофакторной проверки подлинности в клиенте ресурса.

Чтобы обеспечить устойчивую к фишингу многофакторную проверку подлинности для гостей в клиенте, необходимо настроить межтенантный доступ так, чтобы включить входящее доверие для MFA.

Входящее доверие для MFA позволяет гостям выполнять устойчивую к фишингу многофакторную проверку подлинности в домашнем клиенте и удовлетворять требованиям политики условного доступа для проверки подлинности, устойчивой к фишингу в клиенте.

Дополнительные сведения см. в статье Настройка параметров доступа между клиентами для совместной работы B2B. Изменение параметров входящего доверия для MFA и утверждений устройств.

Многофакторная проверка подлинности для систем (настольных компьютеров и серверов)

Доступ к рабочим столам и серверам см. в разделе Многофакторная проверка подлинности.

Интеграция корпоративных и сторонних приложений с Microsoft Entra ID

Сведения об интеграции приложений организации, которые создают разработчики, с Microsoft Entra ID см. в статье.

• Интеграция приложений, которые создают разработчики

Сведения об интеграции сторонних приложений с Microsoft Entra ID см. в статье.

• Пять шагов по интеграции приложений с Microsoft Entra ID

Дальнейшие действия

• Настройка основных восьми методов проверки подлинности MFA
• Настройка основных восьми сильных сторон проверки подлинности MFA
• Настройка основных восьми политик условного доступа MFA
• Настройка ведения журнала основных восьми MFA
• Устойчивая к фишингу многофакторная проверка подлинности для доступа к рабочим столам, серверам и репозиториям данных