配置 CMMC 级别 2 访问控制 (AC) 控制
Microsoft Entra ID 有助于满足每个网络安全成熟度模型认证 (CMMC) 级别中的标识相关实践要求。 为符合 CMMC V2.0 级别 2 的要求,公司负责与美国国防部 (DoD) 合作并代其完成其他配置或流程。
在 CMMC 级别 2 中,有 13 个域具有一种或多种与标识相关的实践:
- 访问控制 (AC)
- 审核和责任 (AU)
- 配置管理 (CM)
- 标识和身份验证 (IA)
- 事件响应 (IR)
- 维护 (MA)
- 媒体保护 (MP)
- 人员安全 (PS)
- 物理保护 (PE)
- 风险评估 (RA)
- 安全评估 (CA)
- 系统和通信保护 (SC)
- 系统和信息完整性 (SI)
本文的其余部分提供有了关访问控制 (AC) 领域的指南。 有一个包含内容链接的表,这些内容链接提供完成实践的分步指导。
访问控制 (AC)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| AC.L2-3.1.3 实践说明:根据批准的授权控制 CUI 流。 目标: 确定是否具有以下情况: [a.] 定义了信息流控制策略; [b.] 定义了控制 CUI 流的方法和执行机制; [c.] 已识别系统内和被拦截的系统之间 CUI 的指定源和目标(例如,网络、个人和设备); [d.] 定义了用于控制 CUI 流的授权;和 [e.] 强制执行用于控制 CUI 流的已批准授权。 |
配置条件访问策略以控制来自受信任位置、受信任设备、已批准的应用程序的 CUI 流,并需要应用保护策略。 若要对 CUI 进行更精细的授权,需要配置应用强制实施的限制 (Exchange/SharePoint Online)、应用控制(通过 Microsoft Defender for Cloud Apps)、身份验证上下文。 部署 Microsoft Entra 应用程序代理,以保护对本地应用程序的访问。 Microsoft Entra 条件访问中的位置条件 条件访问策略中的授权控制 - 要求将设备标记为合规 条件访问策略中的授权控制 - 要求使用已建立 Microsoft Entra 混合联接的设备 条件访问策略中的授权控制 - 需要核准的客户端应用 条件访问策略中的授权控制 - 需要应用保护策略 条件访问策略中的会话控件 - 应用程序强制实施的限制 使用 Microsoft Defender for Cloud Apps 条件访问应用控制提供保护 条件访问策略中的云应用、操作或身份验证上下文 使用 Microsoft Entra 应用程序代理远程访问本地应用 身份验证上下文 配置身份验证上下文和分配条件访问策略 信息保护 了解并保护数据;帮助预防数据丢失。 使用 Microsoft Purview 保护敏感数据 条件访问 Azure 信息保护 (AIP) 的条件访问 应用程序代理 使用 Microsoft Entra 应用程序代理远程访问本地应用 |
| AC.L2-3.1.4 实践说明:区分个体的责任,减少无串谋的恶意活动的风险。 目标: 确定是否具有以下情况: [a.] 定义了需要分离的个人的职责; [b.] 将需要分离的职责分配给不同的个人;和 [c.] 将使个人能够行使需要分离的职责的访问特权授予不同的个人。 |
通过确定适当访问权限的范围来确保足够的职责划分。 配置权利管理访问包以控制对应用程序、组、团队和 SharePoint 站点的访问权限。 在访问包中配置职责划分检查,避免用户获得过多的访问权限。 在 Microsoft Entra 权利管理中,可以配置多个策略,并为需要通过访问包访问的每个用户社区提供不同的设置。 此配置包括一些限制,例如,根据策略,一个特定组的用户,或已经分配了其他访问包的用户,就不会再分配其他的访问包。 在 Microsoft Entra ID 中配置管理单元以确定管理权限的范围,使具有特权角色的管理员只能对有限的目录对象集(用户、组、设备)拥有这些特权。 权利管理是什么? 什么是访问包,可使用它们管理哪些资源? 在 Microsoft Entra 权利管理中针对访问包配置职责分离 Microsoft Entra ID 中的管理单元 |
| AC.L2-3.1.5 实践说明:对特定安全性函数和特权帐户等内容采用最小特权原则。 目标: 确定是否具有以下情况: [a.] 标识特权帐户; [b.] 根据最低特权原则授权访问特权帐户; [c.] 已识别安全性函数;和 [d.] 根据最低特权原则授权访问安全性函数。 |
由你负责实现和强制执行最小特权原则。 可以使用 Privileged Identity Management 来完成此操作,以便配置强制执行、监视和警报。 设置角色成员身份的要求和条件。 识别和管理特权帐户后,请使用权利生命周期管理和访问评审来设置、维护和审核足够的访问权限。 使用 MS 图形 API 发现和监视目录角色。 分配角色 在 PIM 中分配 Microsoft Entra 角色 在 Privileged Identity Management 中分配 Azure 资源角色 为适用于组的 PIM 分配符合条件的所有者和成员 设置角色设置 在 PIM 中配置 Microsoft Entra 角色设置 在 PIM 中配置 Azure 资源角色设置 在 PIM 中配置“适用于组的 PIM”设置 设置警报 PIM 中 Microsoft Entra 角色的安全警报 在 Privileged Identity Management 中为 Azure 资源角色配置安全警报 |
| AC.L2-3.1.6 实践说明:访问非安全性函数时使用非特权帐户或角色。 目标: 确定是否具有以下情况: [a.] 已识别非安全性函数;和 [b.] 用户访问非安全性函数时,要求使用非特权帐户或角色。 AC.L2-3.1.7 实践说明:阻止非特权用户执行特权函数,并在审核日志中捕获此类函数的执行情况。 目标: 确定是否具有以下情况: [a.] 已定义特权函数; [b.] 已定义非特权用户; [c.] 禁止非特权用户执行特权函数;和 [d.] 在审核日志中捕获特权函数的执行情况。 |
AC.L2-3.1.6 和 AC.L2-3.1.7 中的要求相互补充。 需要单独的帐户进行特权和非特权使用。 配置 Privileged Identity Management (PIM),以引入实时 (JIT) 特权访问并删除长期访问。 配置基于角色的条件访问策略,以限制特权用户对生产力应用程序的访问。 对于高特权用户,在特权访问过程中保护设备安全。 所有特权操作都是在 Microsoft Entra 审核日志中捕获的。 保护特权访问概述 在 PIM 中配置 Microsoft Entra 角色设置 条件访问策略中的用户和组 特权访问设备为何重要 |
| AC.L2-3.1.8 实践说明:限制不成功的登录尝试。 目标: 确定是否具有以下情况: [a.] 定义了限制登录尝试失败的方法;和 [b.] 实现了已定义限制登录尝试失败的方法。 |
启用自定义智能锁定设置。 配置锁定阈值和锁定持续时间(以秒为单位)以实现这些要求。 利用 Microsoft Entra 智能锁定保护用户帐户免受攻击 管理 Microsoft Entra 智能锁定值 |
| AC.L2-3.1.9 实践说明:提供符合适用 CUI 规则的隐私和安全通知。 目标: 确定是否具有以下情况: [a.] CUI 指定规则所需的隐私和安全通知被识别、一致,并与特定的 CUI 类别相关联;和 [b.] 显示隐私和安全通知。 |
利用 Microsoft Entra ID,你可以在授予访问权限之前,为需要并记录确认的所有应用提供通知或横幅消息。 可以将这些使用条款策略细化到特定用户(成员或来宾)。 还可以通过条件访问策略按应用程序自定义它们。 条件访问 什么是 Microsoft Entra ID 中的条件访问? 使用条款 Microsoft Entra 使用条款 查看接受用户和拒绝用户的报告 |
| AC.L2-3.1.10 实践说明:使用带有模式隐藏显示的会话锁,以防止在处于非活动状态一段时间后对数据进行访问和查看。 目标: 确定是否具有以下情况: [a.] 定义了系统启动会话锁的处于非活动状态的时间段; [b.] 通过在定义的非活动时段后启动会话锁来阻止对系统的访问和数据的查看;和 [c.] 在定义的非活动时间段后,通过模式隐藏显示来隐藏以前可见的信息。 |
使用条件访问策略实施设备锁定,以限制对合规设备或已加入 Microsoft Entra 混合的设备的访问。 使用 MDM 解决方案(如 Intune),在设备上配置策略设置,以在 OS 级别强制执行设备锁定。 混合部署中也可以考虑使用 Microsoft Intune、Configuration Manager 或组策略对象。 对于非托管设备,请配置“登录频率”设置以强制用户重新进行身份验证。 要求将设备标记为合规 条件访问策略中的授权控制 - 要求使用已建立 Microsoft Entra 混合联接的设备 用户登录频率 将设备配置为在屏幕锁定前可处于非活动状态的最大分钟数(Android、iOS、Windows 10)。 |
| AC.L2-3.1.11 实践说明:在定义的条件后(自动)终止用户会话。 目标: 确定是否具有以下情况: [a.] 定义了要求用户会话终止的条件;和 [b.] 在任何定义的条件发生后,自动终止用户会话。 |
为所有受支持的应用程序启用连续访问评估 (CAE)。 对于不支持 CAE 的应用程序或不适用于 CAE 的条件,请在 Microsoft Defender for Cloud Apps 中实施策略,以便在条件发生时自动终止会话。 此外,配置 Microsoft Entra ID 保护以评估用户和登录风险。 将条件访问与 Microsoft Entra ID 保护结合使用,以允许用户自动修正风险。 Microsoft Entra ID 中的连续访问评估 通过创建策略来控制云应用的使用情况 什么是 Microsoft Entra ID 保护? |
| AC.L2-3.1.12 实践说明:监视和控制远程访问会话。 目标: 确定是否具有以下情况: [a.] 允许远程访问会话; [b.] 确定允许远程访问的类型; [c.] 控制远程访问会话;和 [d.] 监视远程访问会话。 |
在当今世界,用户几乎完全从未知或不受信任的网络远程访问基于云的应用程序。 保护此访问模式以采用零信任原则是至关重要的。 为了满足现代云世界中的这些控制要求,我们必须显式验证每个访问请求,实现最低特权并假定数据泄露。 配置命名位置以描述内部网络与外部网络。 配置条件访问应用控制,通过 Microsoft Defender for Cloud Apps 路由访问。 配置 Defender for Cloud Apps 以控制和监视所有会话。 Microsoft Entra ID 的零信任部署指南 Microsoft Entra 条件访问中的位置条件 为 Microsoft Entra 应用部署 Cloud App Security 条件访问应用控制 什么是 Microsoft Defender for Cloud Apps? 监视 Microsoft Defender for Cloud Apps 中引发的警报 |
| AC.L2-3.1.13 实践说明:使用加密机制来保护远程访问会话的机密性。 目标: 确定是否具有以下情况: [a.] 识别用于保护远程访问会话机密性的加密机制;和 [b.] 实现了保护远程访问会话机密性的加密机制。 |
面向 Microsoft Entra 客户的所有 Web 服务都使用传输层安全性 (TLS) 协议进行保护,并使用 FIPS 验证的加密进行实现。 Microsoft Entra 数据安全注意事项 (microsoft.com) |
| AC.L2-3.1.14 实践说明:通过托管的访问控制点路由远程访问。 目标: 确定是否具有以下情况: [a.] 识别并实现托管访问控制点;和 [b.] 通过托管网络访问控制点路由远程访问。 |
配置命名位置以描述内部网络与外部网络。 配置条件访问应用控制,通过 Microsoft Defender for Cloud Apps 路由访问。 配置 Defender for Cloud Apps 以控制和监视所有会话。 在特权访问过程中保护特权帐户使用的设备安全。 Microsoft Entra 条件访问中的位置条件 条件访问策略中的会话控制 保护特权访问概述 |
| AC.L2-3.1.15 实践说明:授权远程执行特权命令和远程访问安全相关信息。 目标: 确定是否具有以下情况: [a.] 识别了授权远程执行的特权命令; [b.] 识别了授权远程访问的安全相关信息; [c.] 授权通过远程访问执行标识的特权命令;和 [d.] 授权通过远程访问访问标识的安全相关信息。 |
条件访问是零信任控制平面,可用于在与身份验证上下文结合使用时有针对性地使用策略来控制对应用的访问。 可以在这些应用中应用不同的策略。 在特权访问过程中保护特权帐户使用的设备安全。 配置条件访问策略,要求特权用户在执行特权命令时使用这些受保护的设备。 条件访问策略中的云应用、操作或身份验证上下文 保护特权访问概述 条件访问策略中用作条件的设备筛选器 |
| AC.L2-3.1.18 实践说明:控制移动设备的连接。 目标: 确定是否具有以下情况: [a.] 识别处理、存储或传输 CUI 的移动设备; [b.] 授权移动设备连接;和 [c.] 监视和记录移动设备连接。 |
通过 MDM(如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以强制执行移动设备配置和连接配置文件。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 InTune Microsoft Intune 中的设备符合性策略 什么是 Microsoft Intune 中的应用管理? |
| AC.L2-3.1.19 实践说明:在移动设备和移动计算平台上加密 CUI。 目标: 确定是否具有以下情况: [a.] 识别处理、存储或传输 CUI 的移动设备和移动计算平台;和 [b.] 使用加密来保护已识别的移动设备和移动计算平台上的 CUI。 |
受管理设备 配置条件访问策略以强制使用合规或已建立混合 Microsoft Entra 联接的设备,并确保通过设备管理解决方案正确配置托管设备以加密 CUI。 非托管设备 将条件访问策略配置为需要应用保护策略。 条件访问策略中的授权控制 - 要求将设备标记为合规 条件访问策略中的授权控制 - 要求使用已建立 Microsoft Entra 混合联接的设备 条件访问策略中的授权控制 - 需要应用保护策略 |
| AC.L2-3.1.21 实践说明:限制在外部系统上使用便携式存储设备。 目标: 确定是否具有以下情况: [a.] 识别并记录外部系统上包含 CUI 的便携式存储设备的使用; [b.] 定义了在外部系统上使用包含 CUI 的便携式存储设备的限制;和 [c.] 根据定义限制在外部系统上使用包含 CUI 的便携式存储设备。 |
通过 MDM(例如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以控制便携式存储设备在系统上的使用。 在 Windows 设备上配置策略设置,以在 OS 级别完全禁止或限制使用便携式存储。 对于可能无法精细控制对便携式存储块的访问的所有其他设备,请完全使用 Microsoft Defender for Cloud Apps 进行下载。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 配置身份验证会话管理 Intune Microsoft Intune 中的设备符合性策略 在 Microsoft Intune 中使用管理模板限制 USB 设备 Microsoft Defender for Cloud Apps 在 Defender for Cloud Apps 中创建会话策略 |