配置 Microsoft Entra ID 以满足 CMMC 级别 2 的要求
Microsoft Entra ID 有助于满足每个网络安全成熟度模型认证 (CMMC) 级别中的标识相关实践要求。 为符合 CMMC V2.0 级别 2 的要求,公司负责与美国国防部 (DoD) 合作并代其完成其他配置或流程。
在 CMMC 级别 2 中,有 13 个域具有一种或多种与标识相关的实践:
- 访问控制 (AC)
- 审核和责任 (AU)
- 配置管理 (CM)
- 标识和身份验证 (IA)
- 事件响应 (IR)
- 维护 (MA)
- 媒体保护 (MP)
- 人员安全 (PS)
- 物理保护 (PE)
- 风险评估 (RA)
- 安全评估 (CA)
- 系统和通信保护 (SC)
- 系统和信息完整性 (SI)
本文的其余部分为除其他文章中介绍的访问控制 (AC) 和标识与身份验证 (IA) 之外的所有域提供指导。 对于每个域,都有一个包含内容链接的表,这些内容链接提供完成实践的分步指导。
审核和责任
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| AU.L2-3.3.1 实行声明:创建和保留系统审核日志和记录,以实现对非法或未经授权的系统活动进行监视、分析、调查和报告。 目标: 确定是否具有以下情况: [a.] 已指定审核日志(例如要记录的事件类型),以实现对非法或未经授权的系统活动进行监视、分析、调查和报告; [b.] 已定义支持对非法或未经授权的系统活动进行监视、分析、调查和报告所需的审核记录的内容; [c.] 创建(生成)审核记录; [d.] 审核记录在创建后包含定义的内容; [e.] 已定义审核记录的保留要求;以及 [f.] 按规定保留审核记录。 AU.L2-3.3.2 实行声明:确保单个系统用户的操作可唯一地跟踪到相应用户,以便让他们对其操作负责。 目标: 确定是否具有以下情况: [a.] 已定义支持唯一地跟踪用户操作的功能所需的审核记录的内容;以及 [b.] 审核记录在创建后包含定义的内容。 |
所有操作均在 Microsoft Entra 审核日志中进行审核。 每个审核日志条目都包含一个用户的不可变 objectID,可用于唯一跟踪每个操作的单个系统用户。 可以通过安全信息和事件管理 (SIEM) 解决方案(例如 Microsoft Sentinel)来收集和分析日志。 或者,可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成,以启用监视和通知。 Azure 门户中的审核活动报表 将 Microsoft Entra 数据 连接到 Microsoft Sentinel 教程:将日志流式传输到 Azure 事件中心 |
| AU.L2-3.3.4 实行声明:如果审核日志记录进程失败,则会发出警报。 目标: 确定是否具有以下情况: [a.] 在发现审核日志记录进程失败时向相应人员或角色发出警报; [b.] 已定义将针对其生成警报的审核日志记录进程失败的类型;以及 [c] 在审核日志记录进程失败时,向标识的人员或角色会发出警报。 |
Azure 服务运行状况可就 Azure 服务事件通知你,以便你可以采取行动减少停机时间。 为 Microsoft Entra ID 配置可自定义的云警报。 什么是 Azure 服务运行状况? 获取 Azure 服务问题相关通知的三种方式 Azure 服务运行状况 |
| AU.L2-3.3.6 实行声明:提供审核记录缩减和报告生成功能,以支持按需分析和报告。 目标: 确定是否具有以下情况: [a.] 提供了支持按需分析的审核记录缩减功能;以及 [b.] 提供了支持按需报告的报告生成功能。 |
确保 Microsoft Entra 事件包含在事件日志记录策略中。 可以通过安全信息和事件管理 (SIEM) 解决方案(例如 Microsoft Sentinel)来收集和分析日志。 或者,可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成,以启用监视和通知。 将 Microsoft Entra 的权利管理与访问评审结合使用,以确保帐户处于合规状态。 Azure 门户中的审核活动报表 将 Microsoft Entra 数据 连接到 Microsoft Sentinel 教程:将日志流式传输到 Azure 事件中心 |
| AU.L2-3.3.8 实行声明:保护审核信息和审核日志记录工具免遭未经授权的访问、修改和删除。 目标: 确定是否具有以下情况: [a.] 审核信息受到保护,防止未经授权的访问; [b.] 审核信息受到保护,防止未经授权的修改; [c.] 审核信息受到保护,防止未经授权的删除; [d.] 审核日志记录工具受到保护,防止未经授权的访问; [e.] 审核日志记录工具受到保护,防止未经授权的修改;以及 [f.] 审核日志记录工具受到保护,防止未经授权的删除。 AU.L2-3.3.9 实行声明:将审核日志记录功能的管理权限限定为特权用户的一个子集。 目标: 确定是否具有以下情况: [a.] 已定义有权管理审核日志记录功能的特权用户的一个子集;以及 [b.] 将审核日志记录功能的管理权限限定为特权用户的一个子集。 |
Microsoft Entra 日志默认保留 30 天。 这些日志无法修改或删除,并且只能由有限的一组特权角色访问。 Microsoft Entra ID 中的登录日志 Microsoft Entra ID 中的审核日志 |
配置管理 (CM)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| CM.L2-3.4.2 实行声明:为组织系统中使用的信息技术产品建立并强制实施安全配置设置。 目标: 确定是否具有以下情况: [a.] 为系统中使用的信息技术产品建立了安全配置设置并已将其包含在基线配置中;以及 [b.] 已为系统中使用的信息技术产品强制实施安全配置设置。 |
采用零信任安全态势。 使用条件访问策略以限制对兼容设备的访问。 在设备上配置策略设置,以使用 Microsoft Intune 等 MDM 解决方案在设备上强制实施安全配置设置。 也可在混合部署中考虑 Microsoft Configuration Manager 或组策略对象,并结合使用条件访问要求设备已建立 Microsoft Entra 混合联接。 零信任 通过零信任保护标识 条件访问 什么是 Microsoft Entra ID 中的条件访问? 条件访问策略中的授权控制 设备策略 什么是 Microsoft Intune? 什么是 Defender for Cloud Apps? 什么是 Microsoft Intune 中的应用管理? Microsoft 终结点管理解决方案 |
| CM.L2-3.4.5 实行声明:定义、记录、批准并强制执行与组织系统变更相关的物理和逻辑访问限制。 目标: 确定是否具有以下情况: [a.] 已定义与系统变更相关的物理访问限制; [b.] 已记录与系统变更相关的物理访问限制; [c.] 已批准与系统变更相关的物理访问限制; [d.] 已强制执行与系统变更相关的物理访问限制; [e.] 已定义与系统变更相关的逻辑访问限制; [f.] 已记录与系统变更相关的逻辑访问限制; [g.] 已批准与系统变更相关的逻辑访问限制;以及 [h.] 已强制执行与系统变更相关的逻辑访问限制。 |
Microsoft Entra ID 是 Microsoft 推出的基于云的标识和访问管理服务。 客户没有 Microsoft Entra 数据中心的物理访问权限。 因此,每个物理访问限制均由 Microsoft 满足并由 Microsoft Entra 的客户继承。 实现 Microsoft Entra 基于角色的访问控制。 消除长期特权访问,通过 Privileged Identity Management 的审批工作流提供实时访问。 Microsoft Entra 基于角色的访问控制 (RBAC) 概述 什么是 Privileged Identity Management? 在 PIM 中批准或拒绝 Microsoft Entra 角色的请求 |
| CM.L2-3.4.6 实行声明:采用最少功能原则,将组织系统配置为仅提供基本功能。 目标: 确定是否具有以下情况: [a.] 基于最少功能原则定义了基本系统功能;以及 [b.] 将系统配置为仅提供定义的基本功能。 |
通过配置设备管理解决方案(如 Microsoft Intune),实现应用于组织系统的自定义安全基线,以移除非必要的应用程序并禁用不必要的服务。 只保留系统有效运行所需的最少功能。 配置条件访问以限制对合规或已建立 Microsoft Entra 混合联接的设备的访问。 什么是 Microsoft Intune 要求将设备标记为合规 条件访问策略中的授权控制 - 要求使用已建立 Microsoft Entra 混合联接的设备 |
| CM.L2-3.4.7 实行声明:限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 目标: 确定是否具有以下情况: [a.] 已定义基本程序; [b.] 已定义不必要的程序的用法; [c.] 按规定限制、禁用或阻止了使用不必要的程序; [d.] 已定义基本函数; [e.] 已定义不必要的函数的用法; [f.] 按规定限制、禁用或阻止了使用不必要的函数; [g.] 已定义基本端口; [h.] 已定义不必要的端口的用法; [i.] 按规定限制、禁用或阻止了使用不必要的端口; [j.] 已定义基本协议; [k.] 已定义不必要的协议的用法; [l.] 按规定限制、禁用或阻止了使用不必要的协议; [m.] 已定义基本服务; [n.] 已定义不必要的服务的用法;以及 [o.] 按规定限制、禁用或阻止了使用不必要的服务。 |
使用应用程序管理员角色来委派基本应用程序的授权使用。 使用应用程序角色或组声明来管理应用程序内的最小特权访问。 将用户同意配置为需要管理员审批并且不允许组所有者同意。 配置管理员同意请求工作流,使用户能够请求访问需要管理员同意的应用程序。 使用 Microsoft Defender for Cloud Apps 标识未经批准/未知的应用程序使用。 使用此遥测来确定必要/非必要的应用。 Microsoft Entra 内置角色 - 应用程序管理员 Microsoft Entra 应用角色 - 应用角色与组 配置用户对应用程序表示同意的方式 配置组所有者对应用访问组数据的同意 配置管理员同意工作流 什么是 Defender for Cloud Apps? 发现和管理影子 IT 教程 |
| CM.L2-3.4.8 实行声明:应用 deny-by-exception(阻止列表)策略来防止使用未经授权的软件,或应用 deny-all 和 permit-by-exception(允许列表)策略来允许执行授权的软件。 目标: 确定是否具有以下情况: [a.] 已指定用于指定是否要实现允许列表或阻止列表的策略; [b.] 已指定允许列表下允许执行的或阻止列表下拒绝使用的软件;以及 [c.] 按指定方式实现了用于允许执行已授权软件的允许列表或用于防止使用未经授权的软件的阻止列表。 CM.L2-3.4.9 实行声明:控制和监视用户安装的软件。 目标: 确定是否具有以下情况: [a.] 已制定用于控制由用户安装的软件的策略; [b.] 基于已制定的策略控制由用户安装的软件;以及 [c.] 已监视由用户安装的软件。 |
通过配置 MDM/配置管理策略,防止使用未经授权的软件。 通过配置条件访问授权控制,要求使用合规设备或已建立混合联接的设备,以将设备是否符合 MDM/配置管理策略纳入条件访问授权决策。 什么是 Microsoft Intune 条件访问 - 要求使用合规设备或已建立混合联接的设备 |
事件响应 (IR)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| IR.L2-3.6.1 实行声明:建立组织系统的操作事件处理功能,包括准备、检测、分析、包含、恢复和用户响应活动。 目标: 确定是否具有以下情况: [a.] 已建立操作事件处理功能; [b.] 操作事件处理功能包括准备; [c.] 操作事件处理功能包括检测; [d.] 操作事件处理功能包括分析; [e.] 操作事件处理功能包括包含; [f.] 操作事件处理功能包括恢复;以及 [g.] 操作事件处理功能包括用户响应活动。 |
实现事件处理和监视功能。 审核日志将记录发生的所有配置更改。 身份验证和授权事件在 Azure AD 登录日志中进行审核,检测到的任何风险都在 Microsoft Entra ID 保护日志中审核。 可以将每个日志直接流式传输到 SIEM 解决方案中,例如 Microsoft Sentinel。 还可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成。 审核事件 Azure 门户中的审核活动报表 Azure 门户中的登录活动报表 如何:调查风险 SIEM 集成 Microsoft Sentinel:连接来自 Microsoft Entra ID 的数据流式传输到 Azure 事件中心和其他 SIEM |
维护 (MA)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| MA.L2-3.7.5 实行声明:需要多重身份验证以通过外部网络连接建立非本地维护会话,并在非本地维护完成时终止此类连接。 目标: 确定是否具有以下情况: [a.] 多重身份验证用于通过外部网络连接建立非本地维护会话;以及 [b.] 当非本地维护完成时,终止通过外部网络连接建立的非本地维护会话。 |
分配了管理权限的帐户是攻击者的目标,包括用于建立非本地维护会话的帐户。 要求在这些帐户上进行多重身份验证 (MFA) 后,就可以轻松降低这些帐户受攻击的风险。 条件访问 - 要求对管理员执行 MFA |
| MP.L2-3.8.7 实行声明:控制系统组件上可移动媒体的使用。 目标: 确定是否具有以下情况: [a.] 控制系统组件上可移动媒体的使用。 |
通过 MDM(例如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以控制可移动媒体在系统上的使用。 使用 Intune、Configuration Manager 或组策略部署和管理可移动存储访问控制。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 Intune Microsoft Intune 中的设备符合性策略 可移动存储访问控制 使用 Intune 部署和管理可移动存储访问控制 使用组策略部署和管理可移动存储访问控制 |
人员安全 (PS)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| PS.L2-3.9.2 实行声明:确保包含 CUI 的组织系统在离职和调动等人事操作期间和之后受到保护。 目标: 确定是否具有以下情况: [a.] 已建立用于终止与人事操作一致的系统访问和任何凭据的策略和/或进程; [b.] 已终止与离职或调动等人事操作一致的系统访问和凭据;以及 [c] 系统在人事调动操作期间和之后受到保护。 |
通过外部 HR 系统、本地 Active Directory 或直接在云中配置 Microsoft Entra ID 的帐户预配(包括在终止时禁用)。 通过撤销现有会话来终止所有系统访问。 帐户预配 什么是使用 Microsoft Entra ID 进行标识预配? Microsoft Entra Connect 同步:了解和自定义同步 什么是 Microsoft Entra Connect 云同步? 撤销所有关联的验证器 在 Microsoft Entra ID 中紧急撤销用户访问权限 |
系统和通信保护 (SC)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| SC.L2-3.13.3 实行声明:将用户功能与系统管理功能分开。 目标: 确定是否具有以下情况: [a.] 已标识用户功能; [b.] 已标识系统管理功能;以及 [c.] 已将用户功能与系统管理功能分开。 |
在 Microsoft Entra ID 中维护单独的用户帐户,用于日常生产力使用和管理或系统/特权管理。 特权帐户应是纯云帐户或托管帐户,并且为了防止云环境受到本地入侵,不应从本地同步。 应仅允许从安全强化型特权访问工作站 (PAW) 进行系统/特权访问。 通过配置条件访问设备筛选器,限制从使用 Azure 虚拟桌面启用的 PAW 访问管理应用程序。 特权访问设备为何重要 设备角色和配置文件 条件访问策略中用作条件的设备筛选器 Azure 虚拟桌面 |
| SC.L2-3.13.4 实行声明:防止通过共享系统资源未经授权地意外传输信息。 目标: 确定是否具有以下情况: [a.] 防止通过共享系统资源未经授权地意外传输信息。 |
通过 MDM(例如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以确保设备符合系统强化过程。 包括遵守公司有关软件补丁的策略,以防止攻击者利用缺陷。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 InTune Microsoft Intune 中的设备符合性策略 |
| SC.L2-3.13.13 实行声明:控制和监视移动代码的使用。 目标: 确定是否具有以下情况: [a.] 控制移动代码的使用;以及 [b.] 监视移动代码的使用。 |
通过 MDM(例如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以禁用移动代码的使用。 如果需要使用移动代码,请监视终结点安全性(例如 Microsoft Defender for Endpoint)的使用。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 InTune Microsoft Intune 中的设备符合性策略 Defender for Endpoint 用于终结点的 Microsoft Defender |
系统和信息完整性 (SI)
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| SI.L2-3.14.7 实行声明: 目标:识别未经授权使用组织系统的情况。 确定是否具有以下情况: [a.] 已定义系统的授权使用;以及 [b.] 识别未经授权使用系统的情况。 |
合并遥测:Microsoft Entra 日志以流式传输到 SIEM(例如 Azure Sentinel),通过 MDM(如 Microsoft Intune)、Configuration Manager 或组策略对象 (GPO) 配置设备管理策略,以要求入侵检测/保护 (IDS/IPS),例如已安装并正在使用的 Microsoft Defender for Endpoint。 使用 IDS/IPS 提供的遥测来识别与入站和出站通信流量或未经授权的使用相关的异常活动或条件。 配置条件访问策略,以强制实施设备合规性检查。 条件访问 要求将设备标记为合规 需要 Microsoft Entra 混合联接设备 InTune Microsoft Intune 中的设备符合性策略 Defender for Endpoint 用于终结点的 Microsoft Defender |