满足备忘录 22-09 的标识要求，使用 Microsoft Entra ID

改善国家网络安全行政命令（14028年），指示联邦机构推进安全措施，大幅降低针对联邦政府数字基础设施的成功网络攻击的风险。 2022年1月26日，支持行政命令（EO）14028号，管理和预算办公室（OMB）发布了联邦零信任战略，在题为M 22-09的行政部门和机构负责人备忘录中。

本文系列提供了在实施零信任原则时采用 Microsoft Entra ID 作为集中式标识管理系统的指导，如备忘录 22-09 中所述。

备忘录22-09支持联邦机构中的零信任倡议。 它具有联邦网络安全和数据隐私法的监管指南。 这份备忘录引用了美国国防部 （DoD）零信任参考体系结构：

“零信任模型的基础原则是，不信任安全外围外部或内部运行的执行组件、系统、网络或服务。相反，我们必须验证尝试建立访问权限的任何内容和一切。从外围验证一次到持续验证每个用户、设备、应用程序和事务，这一理念发生了戏剧性的转变，即如何保护基础结构、网络和数据。”

备忘录确定了联邦机构要实现的五个核心目标，这些目标由网络安全信息系统体系结构（CISA）成熟度模型组织。 CISA 零信任模型描述了五个互补的工作领域或支柱：

• 身份
• 设备
• 网络
• 应用程序和工作负载
• 数据

支柱与以下部分相交：

• 能见度
• 分析学
• 自动化
• 统筹
• 治理

指导范围

使用文章系列来构建满足备忘录要求的计划。 它假定使用 Microsoft 365 产品和 Microsoft Entra 租户。

了解详细信息：快速入门：在 Microsoft Entra ID中创建新租户。

文章系列说明涵盖与备忘录中与身份相关的措施一致的机构在Microsoft技术方面的投资。

• 对于代理用户，机构采用可与应用程序和通用平台集成的集中式标识管理系统
• 机构使用企业范围的强多重身份验证（MFA）
  • MFA 在应用程序层而不是网络层强制执行
  • 对于代理人员、承包商和合作伙伴，需要防钓鱼 MFA
  • 对于公共用户，可抵御网络钓鱼的 MFA 是一个选项
  • 密码策略不需要特殊字符或常规轮换
• 当机构授权用户访问资源时，他们会考虑至少一个设备级信号，其中包含有关经过身份验证的用户的标识信息

后续步骤

• 企业范围的标识管理系统
• 满足备忘录 22-09 的多重身份验证要求
• 满足备忘录 22-09 的授权要求
• 备忘录22-09中涉及的Zero Trust其他领域
• 使用零信任 保护身份