Достижение acsc Essential Восемь MFA зрелости уровня 3 с помощью Microsoft Entra

Статья
12/19/2024

Определение ACSC уровня зрелости MFA 3

Многофакторная проверка подлинности используется для проверки подлинности пользователейв веб-службы организации, которые обрабатывают, хранят или передают конфиденциальные данные своей организации.
Многофакторная проверка подлинности используется для проверки подлинности пользователейв сторонних веб-службы, которые обрабатывают, хранят или передают конфиденциальные данные своей организации.
Многофакторная проверка подлинности (при наличии) используется для проверки подлинности пользователейв сторонних веб-службы, которые обрабатывают, хранят или передают не конфиденциальные данные своей организации.
Многофакторная проверка подлинности используется для проверки подлинности пользователей в веб-службах своей организации , которые обрабатывают, хранят или передают конфиденциальные данные клиентов своей организации.
Многофакторная проверка подлинности используется для проверки подлинности пользователей в сторонних веб-службах клиентов , которые обрабатывают, хранят или передают конфиденциальные данные клиентов своей организации.
Многофакторная проверка подлинности используется для проверки подлинности привилегированных пользователейсистем.
Многофакторная проверка подлинности используется для проверки подлинности непривилегированных пользователейсистем.
Многофакторная проверка подлинности используется для проверки подлинности пользователейрепозиториев данных.
Для многофакторной проверки подлинности используется: что-то, что пользователи имеюти что-то знают пользователи, или что-то, что разблокировано пользователями.
Многофакторная проверка подлинности, используемая для проверки подлинности пользователейвеб-службы, устойчива к фишингу.
Многофакторная проверка подлинности, используемая для проверки подлинности пользователейсистем , устойчива к фишингу.
Многофакторная проверка подлинности, используемая для проверки подлинности пользователейрепозиториев данных , устойчива к фишингу.
События успешной и неудачной многофакторной проверки подлинности регистрируются централизованно.
Журналы событий защищены от несанкционированного изменения и удаления.

Вне области поддержки

Обслуживание клиентов

Следующие требования ACSC для уровня зрелости 2 связаны с удостоверениями клиентов и не область для этого руководства по Microsoft Entra.

Многофакторная проверка подлинности используется для проверки подлинности клиентов в веб-службах клиентов, которые обрабатывают, хранят или передают конфиденциальные данные клиентов.
Многофакторная проверка подлинности, используемая для проверки подлинности клиентов из Интернета, устойчива к фишингу.

Процессы организации

Следующие требования ACSC для уровня зрелости 2 относятся к организационным процессам и не область в этом руководстве по Microsoft Entra удостоверениям сотрудников.

Журналы событий с серверов, подключенных к Интернету, своевременно анализируются для обнаружения событий кибербезопасности.
Журналы событий с серверов, не подключенных к Интернету, своевременно анализируются для обнаружения событий кибербезопасности.
Журналы событий с рабочих станций своевременно анализируются для обнаружения событий кибербезопасности.
События кибербезопасности своевременно анализируются для выявления инцидентов кибербезопасности.
Об инцидентах кибербезопасности сообщается главному сотруднику по информационной безопасности или одному из их делегатов, как можно скорее после их возникновения или обнаружения.
Об инцидентах кибербезопасности сообщается ASD как можно скорее после их возникновения или обнаружения.
После выявления инцидента кибербезопасности вводится план реагирования на инциденты кибербезопасности.

Общие сведения о зрелости MFA уровня 3

Визуальная иллюстрация требований ACSC уровня зрелости 3

Разрешенные типы средств проверки подлинности

Для достижения уровня зрелости 3 можно использовать любой устойчивый к фишингу многофакторный аутентификатор ISM.

методы проверки подлинности Microsoft Entra	Тип аутентификатора
Сертификат с аппаратной защитой (смарт-карта, ключ безопасности или доверенный платформенный модуль) Ключи доступа (привязанные к устройству) -> Ключи безопасности FIDO 2 -> Windows Hello для бизнеса с аппаратным TPM (доверенный платформенный модуль) -> Ключ доступа в Microsoft Authenticator (привязанный к устройству)	Многофакторное оборудование для шифрования

методы проверки подлинности Microsoft Entra

Тип аутентификатора

Сертификат с аппаратной защитой (смарт-карта, ключ безопасности или доверенный платформенный модуль)

Ключи доступа (привязанные к устройству)
->

Ключи безопасности FIDO 2
->

Windows Hello для бизнеса с аппаратным TPM (доверенный платформенный модуль)
->

Ключ доступа в Microsoft Authenticator (привязанный к устройству)

Многофакторное оборудование для шифрования

Наши рекомендации

Инструкции по проверке подлинности без пароля, которая устраняет наибольшую атакующую область, пароль, см. в статье Планирование развертывания проверки подлинности без пароля в Microsoft Entra.

Дополнительные сведения о реализации Windows Hello для бизнеса см. в руководстве по развертыванию Windows Hello для бизнеса.

Microsoft Entra методы проверки подлинности, не разрешенные уровнем зрелости 3

Вход в SMS
Email OTP
Приложение Microsoft Authenticator (вход с телефона)
Пароль и телефон (SMS)
Пароль и телефон (голосовой звонок)
Пароль и Email OTP
Пароль и приложение Microsoft Authenticator (OTP)
Пароль и однофакторный OTP
Пароль и Microsoft Entra, присоединенные к доверенному платформенного модуля программного обеспечения
Пароль и совместимое мобильное устройство
Пароль и Microsoft Entra гибридное присоединение к программному TPM
Пароль и приложение Microsoft Authenticator (уведомление)
Пароль и Microsoft Entra, присоединенные к аппаратному TPM
Пароль и Microsoft Entra гибридное соединение с аппаратным TPM

Устойчивая к фишингу многофакторная проверка подлинности для гостей

Microsoft Entra ID не поддерживает регистрацию гостей для устойчивых к фишингу параметров многофакторной проверки подлинности в клиенте ресурса.

Чтобы обеспечить устойчивую к фишингу многофакторную проверку подлинности для гостей в клиенте, необходимо настроить межтенантный доступ так, чтобы включить входящее доверие для MFA.

Входящее доверие для MFA позволяет гостям выполнять устойчивую к фишингу многофакторную проверку подлинности в домашнем клиенте и удовлетворять требованиям политики условного доступа для проверки подлинности, устойчивой к фишингу в клиенте.

Дополнительные сведения см. в статье Настройка параметров доступа между клиентами для совместной работы B2B. Изменение параметров входящего доверия для MFA и утверждений устройств.

Многофакторная проверка подлинности для систем (настольных компьютеров и серверов)

Доступ к рабочим столам и серверам см. в разделе Многофакторная проверка подлинности.

Интеграция корпоративных и сторонних приложений с Microsoft Entra ID

Сведения об интеграции приложений организации, которые создают разработчики, с Microsoft Entra ID, см. в статье Интеграция приложений, которые создают разработчики.

Сведения об интеграции сторонних приложений с Microsoft Entra ID см. в статье Пять шагов по интеграции приложений с Microsoft Entra ID.

Поделиться через