配置 CMMC 1 级控制
Microsoft Entra ID 可满足每个网络安全成熟度模型认证 (CMMC) 级别中的标识相关实践要求。 为符合 CMMC 的要求,公司负责与美国国防部 (DoD) 合作并代其完成其他配置或流程。 在 CMMC 级别 1 中,有 3 个域具有一种或多种与标识相关的实践:
- 访问控制 (AC)
- 标识和身份验证 (IA)
- 系统和信息完整性 (SI)
了解详细信息:
- DoD CMMC 网站 - 负责采购和维持网络安全成熟度模型认证的美国国防部副部长办公室
- Microsoft 下载中心 - 适用于 CMMC 级别 3(预览版)的 Microsoft Product Placemat
此内容的其余部分按域和相关做法进行组织。 对于每个域,都有一个包含内容链接的表,这些内容链接提供完成实践的分步指导。
“访问控制”领域
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| AC.L1-3.1.1 实行声明:仅限授权用户、代表授权用户执行操作的进程或设备(包括其他信息系统)访问信息系统。 目标: 确定是否具有以下情况: [a.] 已识别授权用户; [b.] 已识别代表授权用户执行操作的进程; [c.] 已识别授权连接到系统的设备(和其他系统); [d.] 系统访问权限仅限于授权用户; [e.] 系统访问仅限于代表授权用户执行操作的进程;以及 [f.] 系统访问仅限于授权设备(包括其他系统)。 |
你负责设置 Microsoft Entra 帐户,这是从外部 HR 系统、本地 Active Directory 或直接在云中完成的。 将条件访问配置为仅授予来自已知(已注册/托管)设备的访问权限。 此外,在授予应用程序权限时应用最小特权的概念。 如果可能,请使用委托的权限。 设置用户 设置设备 配置应用程序 条件性访问 |
| AC.L1-3.1.2 实行声明:仅限授权用户有权执行的事务和函数类型访问信息系统。 目标: 确定是否具有以下情况: [a.] 已定义允许授权用户执行的事务和函数类型;以及 [b.] 系统访问仅限于针对授权用户的定义的事务和函数类型。 |
你负责配置访问控制,例如具有内置角色或自定义角色的基于角色的访问控制 (RBAC)。 使用角色可分配组管理需要相同访问权限的多个用户的角色分配。 使用默认或自定义安全属性配置基于属性的访问控制 (ABAC)。 目标是精细控制对受 Microsoft Entra ID 保护的资源的访问。 设置 RBAC 设置 ABAC 为角色分配配置组 |
| AC.L1-3.1.20 实行声明:验证和控制/限制外部信息系统的连接和使用。 目标: 确定是否具有以下情况: [a.] 已识别与外部系统的连接; [b.] 已识别外部系统的使用; [c.] 已验证与外部系统的连接; [d.] 已验证外部系统的使用; [e.] 与外部系统的连接受到控制和/或限制;以及 [f.] 外部系统的使用受到控制和/或限制。 |
你负责使用设备控制和或网络位置配置条件访问策略,以控制和或限制外部系统的连接和使用。 配置使用条款 (TOU),以记录用户对使用外部系统进行访问的条款和条件的确认。 根据需要设置条件访问 使用条件访问阻止访问 配置使用条款 |
| AC.L1-3.1.22 实行声明:控制在可公开访问信息系统上发布或处理的信息。 目标: 确定是否具有以下情况: [a.] 已识别有权在可公开访问的系统上发布或处理信息的个人; [b.] 已识别确保 FCI 不会在可公开访问的系统上发布或处理的程序; [c.] 在将任何内容发布到可公开访问的系统之前,已制定审查过程;以及 [d.] 已审核可公开访问的系统上的内容,以确保其中不包含联邦合同信息 (FCI)。 |
你负责配置 Privileged Identity Management (PIM),以管理对可公开访问已发布信息的系统的访问。 在 PIM 中分配角色之前,要求有理由的审批。 为可公开访问已发布信息的系统中配置使用条款 (TOU),以记录对发布可公开访问的信息的条款和条件的确认。 规划 PIM 部署 配置使用条款 |
标识和身份验证 (IA) 域
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| IA.L1-3.5.1 实行声明:识别信息系统用户、代表用户执行操作的进程或设备。 目标: 确定是否具有以下情况: [a.] 已识别系统用户; [b.] 已识别代表用户执行操作的进程;以及 [c.] 已识别访问系统的设备。 |
Microsoft Entra ID 通过相应目录对象上的 ID 属性唯一标识用户、进程(服务主体/工作负载标识)和设备。 可以使用以下链接筛选日志文件以帮助进行评估。 使用以下参考来满足评估目标。 按用户属性筛选日志 按服务属性筛选日志 按设备属性筛选日志 |
| IA.L1-3.5.2 实行声明:对用户、进程或设备的标识进行身份验证(或验证),这是允许访问组织信息系统的先决条件。 目标: 确定是否具有以下情况: [a.] 每个用户的标识都经过身份验证或验证,作为系统访问的先决条件; [b.] 代表用户执行操作的每个进程的标识经过身份验证或验证,作为系统访问的先决条件;以及 [c.] 访问或连接到系统的每个设备的标识都经过身份验证或验证,作为系统访问的先决条件。 |
作为系统访问的先决条件,Microsoft Entra ID 唯一地对每个用户、代表用户或设备执行的进程进行身份验证或验证。 使用以下参考来满足评估目标。 设置用户帐户 配置 Microsoft Entra ID 以符合 NIST 验证器保证级别 设置服务主体帐户 设置设备帐户 |
系统和信息完整性 (SI) 域
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明 | Microsoft Entra 指南和建议 |
|---|---|
| SI.L1-3.14.1 - 及时识别、报告和更正信息及信息系统缺陷。 SI.L1-3.14.2 - 在组织信息系统的适当位置提供针对恶意代码的防护。 SI.L1-3.14.4 - 在有新版本可用时更新恶意代码防护机制。 SI.L1-3.14.5 - 在下载、打开或执行文件时,对信息系统执行定期扫描,并对来自外部源的文件进行实时扫描。 |
旧版受管理设备综合指南 配置条件访问以要求 Microsoft Entra 混合加入的设备。 对于加入本地 AD 的设备,假定使用管理解决方案(如 Configuration Manager)或组策略 (GP) 对这些设备进行控制。 由于 Microsoft Entra ID 无法确定是否已向设备应用这些方法中的任何一种,因此,在要求使用受管理设备的情况下,要求使用已建立 Microsoft Entra 混合联接的设备是一种相对较弱的机制。 如果加入本地域的设备同时也是已建立 Microsoft Entra 混合联接的设备,则由管理员判断应用于此类设备的方法是否强大到足以使其成为受管理设备。 云托管(或共同管理)设备综合指南 配置条件访问以要求将设备标记为合规,这是用于请求受管理设备的最强大的形式。 此选项要求将设备注册到 Microsoft Entra ID,并由 Intune 或第三方移动设备管理 (MDM) 系统指示为合规,该系统通过 Microsoft Entra 集成管理 Windows 10 设备。 |