Uppfylla auktoriseringskraven i memorandum 22-09

Den här artikelserien innehåller vägledning för att använda Microsoft Entra-ID som ett centraliserat identitetshanteringssystem när Nolltillit principer implementeras. Se, US Office of Management and Budget (OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies.

Pm-kraven är tvingande typer i principer för multifaktorautentisering och kontroller för enheter, roller, attribut och hantering av privilegierad åtkomst.

Enhetsbaserade kontroller

Ett memorandum 22-09-krav är minst en enhetsbaserad signal för auktoriseringsbeslut om åtkomst till ett system eller program. Framtvinga kravet med hjälp av villkorsstyrd åtkomst. Använd flera enhetssignaler under auktoriseringen. Se följande tabell för signalen och kravet på att hämta signalen.

Signal	Signalhämtning
Enheten hanteras	Integrering med Intune eller en annan MDM-lösning (hantering av mobila enheter) som stöder integrering.
Hybrid Microsoft Entra-anslutning	Active Directory hanterar enheten och den kvalificerar sig.
Enheten är kompatibel	Integrering med Intune eller en annan MDM-lösning som stöder integreringen. Se Skapa en efterlevnadsprincip i Microsoft Intune.
Hotsignaler	Microsoft Defender för Endpoint och andra EDR-verktyg (identifiering och åtgärd på slutpunkt) har Microsoft Entra ID- och Intune-integreringar som skickar hotsignaler för att neka åtkomst. Hotsignaler stöder statussignalen som är kompatibel.
Åtkomstprinciper mellan klientorganisationer (offentlig förhandsversion)	Lita på enhetssignaler från enheter i andra organisationer.

Rollbaserade kontroller

Använd rollbaserad åtkomstkontroll (RBAC) för att framtvinga auktoriseringar via rolltilldelningar i ett visst omfång. Du kan till exempel tilldela åtkomst med hjälp av funktioner för berättigandehantering, inklusive åtkomstpaket och åtkomstgranskningar. Hantera auktoriseringar med självbetjäningsbegäranden och använd automatisering för att hantera livscykeln. Du kan till exempel automatiskt avsluta åtkomsten baserat på kriterier.

Läs mer:

• Vad är berättigandehantering?
• Skapa ett nytt åtkomstpaket i berättigandehantering
• Vad är åtkomstgranskningar?

Attributbaserade kontroller

Attributbaserad åtkomstkontroll (ABAC) använder metadata som tilldelats en användare eller resurs för att tillåta eller neka åtkomst under autentiseringen. Se följande avsnitt för att skapa auktoriseringar med hjälp av ABAC-tvingande för data och resurser via autentisering.

Attribut som tilldelats användare

Använd attribut som tilldelats användare, lagrade i Microsoft Entra-ID, för att skapa användarauktoriseringar. Användare tilldelas automatiskt till dynamiska medlemskapsgrupper baserat på en regeluppsättning som du definierar när gruppen skapas. Regler lägger till eller tar bort en användare från gruppen baserat på regelutvärdering mot användaren och deras attribut. Vi rekommenderar att du underhåller attribut och inte anger statiska attribut på skapandedagen.

Läs mer: Skapa eller uppdatera en dynamisk grupp i Microsoft Entra-ID

Attribut som tilldelats till data

Med Microsoft Entra-ID kan du integrera auktorisering till data. Se följande avsnitt för att integrera auktorisering. Du kan konfigurera autentisering i principer för villkorsstyrd åtkomst: begränsa åtgärder som användare vidtar i ett program eller på data. Dessa autentiseringsprinciper mappas sedan i datakällan.

Datakällor kan vara Microsoft Office-filer som Word-, Excel- eller SharePoint-webbplatser som mappats till autentisering. Använd autentisering som tilldelats till data i program. Den här metoden kräver integrering med programkoden och för att utvecklare ska kunna använda funktionen. Använd autentiseringsintegrering med Microsoft Defender för molnet-appar för att styra åtgärder som vidtas på data via sessionskontroller.

Kombinera dynamiska medlemskapsgrupper med autentiseringskontext för att styra mappningar för användaråtkomst mellan data och användarattribut.

Läs mer:

• Villkorsstyrd åtkomst: Molnappar, åtgärder och autentiseringskontext
• Utvecklarguide för autentiseringskontext för villkorsstyrd åtkomst
• Sessionsprinciper

Attribut som tilldelats resurser

Azure innehåller attributbaserad åtkomstkontroll (Azure ABAC) för lagring. Tilldela metadatataggar för data som lagras i ett Azure Blob Storage-konto. Tilldela metadata till användare med hjälp av rolltilldelningar för att bevilja åtkomst.

Läs mer: Vad är azure-attributbaserad åtkomstkontroll?

Hantering av privilegierad åtkomst

I pm:et anges ineffektiviteten i användningen av verktyg för privilegierad åtkomsthantering med tillfälliga autentiseringsuppgifter med en faktor för åtkomst till system. Dessa tekniker omfattar lösenordsvalv som accepterar inloggning med multifaktorautentisering för en administratör. De här verktygen genererar ett lösenord för ett alternativt konto för åtkomst till systemet. Systemåtkomst sker med en enda faktor.

Microsoft-verktyg implementerar Privileged Identity Management (PIM) för privilegierade system med Microsoft Entra-ID som centralt identitetshanteringssystem. Framtvinga multifaktorautentisering för de flesta privilegierade system som är program, infrastrukturelement eller enheter.

Använd PIM för en privilegierad roll när den implementeras med Microsoft Entra-identiteter. Identifiera privilegierade system som kräver skydd för att förhindra lateral förflyttning.

Läs mer:

• Vad är Microsoft Entra Privileged Identity Management?
• Planera en distribution av privilegierad identitetshantering

Nästa steg

• Uppfylla identitetskraven i memorandum 22-09 med Microsoft Entra-ID
• Pm 22-09 system för företagsomfattande identitetshantering
• Uppfylla kraven för multifaktorautentisering i memorandum 22-09
• Andra områden i Nolltillit som behandlas i memorandum 22-09
• Skydda identitet med Nolltillit