配置 CMMC 级别 2 标识和身份验证 (IA) 控制
Microsoft Entra ID 有助于满足每个网络安全成熟度模型认证 (CMMC) 级别中的标识相关实践要求。 完成其他配置或流程以符合 CMMC V2.0 级别 2 要求,是与美国国防部 (DoD) 合作以及代表美国国防部开展工作的公司的责任。
CMMC 级别 2 有 13 个域,这些域具有一个或多个与标识相关的实践。 域包括:
- 访问控制 (AC)
- 审核和责任 (AU)
- 配置管理 (CM)
- 标识和身份验证 (IA)
- 事件响应 (IR)
- 维护 (MA)
- 媒体保护 (MP)
- 人员安全 (PS)
- 物理保护 (PE)
- 风险评估 (RA)
- 安全评估 (CA)
- 系统和通信保护 (SC)
- 系统和信息完整性 (SI)
本文的其余部分提供有关标识和授权 (IA) 域的指南。 有一个包含内容链接的表,这些内容链接提供完成实践的分步指导。
标识和身份验证
下表列出了实行声明和目标以及 Microsoft Entra 指导和建议,使你能够满足这些 Microsoft Entra ID 要求。
| CMMC 实行声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| IA.L2-3.5.3 实行声明:使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 目标: 确定是否具有以下情况: [a.] 标识特权帐户; [b.] 为对特权帐户的本地访问实现多重身份验证; [c.] 为对特权帐户的网络访问实现多重身份验证;以及 [d.] 为对非特权帐户的网络访问实现多重身份验证。 |
以下项是用于此控制区域的术语的定义: 上述要求可分解为以下意思: 你负责将条件访问配置为要求多重身份验证。 启用满足 AAL2 及更高版本要求的 Microsoft Entra 身份验证方法。 条件访问策略中的授权控制 使用 Microsoft Entra ID 实现 NIST 验证器保证级别 身份验证方法和功能 |
| IA.L2-3.5.4 实行声明:利用抗重放的身份验证机制,对特权和非特权帐户进行网络访问。 目标: 确定是否具有以下情况: [a.] 为对特权和非特权帐户的网络访问实现抗重放的身份验证机制。 |
满足 AAL2 及更高要求的所有 Microsoft Entra 身份验证方法都可抵御重放攻击。 使用 Microsoft Entra ID 实现 NIST 验证器保证级别 |
| IA.L2-3.5.5 实行声明:防止在定义时间段内重复使用标识符。 目标: 确定是否具有以下情况: [a.] 定义了不能重复使用标识符的时间段;以及 [b.] 防止在定义的时间段内重复使用标识符。 |
所有用户、组、设备对象全局唯一标识符 (GUID) 保证在 Microsoft Entra 租户的生存期内是唯一且不可重复使用的。 用户资源类型 - Microsoft Graph v1.0 组资源类型 - Microsoft Graph v1.0 设备资源类型 - Microsoft Graph v1.0 |
| IA.L2-3.5.6 实行声明:在处于不活动状态的时间超过定义的时间段后禁用标识符。 目标: 确定是否具有以下情况: [a.] 定义了一个时间段,处于不活动状态的时间超过该时间段后将禁用标识符;以及 [b.] 在处于不活动状态的时间超过定义的时间段后禁用标识符。 |
使用 Microsoft Graph 和 Microsoft Graph PowerShell SDK 实现帐户管理自动化。 使用 Microsoft Graph 监视登录活动,使用 Microsoft Graph PowerShell SDK 在所需的时间范围内对帐户执行操作。 确定非活动状态 管理 Microsoft Entra ID 中的非活动用户帐户 在 Microsoft Entra ID 中管理陈旧的设备 删除或禁用帐户 使用 Microsoft Graph 中的用户 获取用户 更新用户 删除用户 使用 Microsoft Graph 中的设备 获取设备 更新设备 删除设备 使用 Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA.L2-3.5.7 实行声明: 目标:在创建新密码时强制要求最低密码复杂性和字符更改。 确定是否具有以下情况: [a.] 定义了密码复杂性要求; [b.] 定义了密码字符更改要求; [c.] 创建新密码时,强制执行定义的最低密码复杂性要求;以及 [d.] 创建新密码时,强制执行定义的最低密码字符更改要求。 IA.L2-3.5.8 实行声明:禁止对指定数量的生成操作重复使用密码。 目标: 确定是否具有以下情况: [a.] 指定了不能重复使用密码的生成操作数;以及 [b.] 禁止对指定数量的生成操作重复使用密码。 |
强烈建议采用无密码策略。 此控件仅适用于密码验证器,因此,删除作为可用的身份验证器的密码将导致此控件不适用。 根据 NIST SP 800-63 B 第 5.1.1 节:维护常用、预期或被盗用的密码列表。 使用 Microsoft Entra 密码保护时,默认的全局受禁密码列表会自动应用于 Microsoft Entra 租户中的所有用户。 为了满足业务和安全需求,你可以在自定义的禁止密码列表中定义条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 对于需要严格的密码字符更改、密码重用和复杂性要求的客户,请使用配置有密码哈希同步的混合帐户。此操作可确保同步到 Microsoft Entra ID 的密码继承 Active Directory 密码策略中配置的限制。 通过为 Active Directory 域服务配置本地 Microsoft Entra 密码保护,进一步保护本地密码。 NIST 特殊发布 800-63 B NIST 特殊发布 800-53 修订版 5 (IA-5 - 控件增强功能 (1) 使用 Microsoft Entra 密码保护来消除错误密码 什么是与 Microsoft Entra ID 的密码哈希同步? |
| IA.L2-3.5.9 实行声明:通过立即更改永久密码,允许使用临时密码登录系统。 目标: 确定是否具有以下情况: [a.] 使用临时密码登录系统时,需要立即更改永久密码。 |
Microsoft Entra 用户初始密码是一种临时的一次性密码,成功使用后,需要立即更改为永久密码。 Microsoft 强烈建议采用无密码身份验证方法。 用户可使用临时访问密码 (TAP) 启动无密码身份验证方法。 TAP 是由管理员颁发的满足强身份验证要求的有时限和使用限制的密码。 使用无密码身份验证以及有时限和使用限制的 TAP,无需再使用密码(及其重用)。 添加或删除用户 在 Microsoft Entra ID 中配置临时访问密码,以注册无密码身份验证方法 无密码身份验证 |
| IA.L2-3.5.10 实行声明:仅存储和传输受加密保护的密码。 目标: 确定是否具有以下情况: [a.] 密码在存储中受加密保护;以及 [b.] 密码在传输中受加密保护。 |
静态机密加密: 除了磁盘级加密外,在静态情况下,目录中存储的机密将使用分布式密钥管理器 (DKM) 进行加密。 加密密钥存储在 Microsoft Entra 核心存储中,并且使用缩放单元密钥进行加密。 密钥存储在由目录 ACL 保护的容器中,适用于最高特权用户和特定服务。 对称密钥通常每六个月轮换一次。 通过操作控制和物理安全性进一步保护对环境的访问。 传输中加密: 为确保数据安全,Microsoft Entra 中的目录数据在缩放单元内的数据中心之间传输时进行签名和加密。 数据由 Microsoft Entra ID 核心存储层加密和解密,该层位于关联的 Microsoft 数据中心内部的安全服务器托管区域内。 面向客户的 Web 服务使用传输层安全性 (TLS) 协议进行保护。 有关详细信息,请下载数据保护注意事项 - 数据安全。 第 15 页提供了更多详细信息。 揭秘密码哈希同步 (microsoft.com) Microsoft Entra 数据安全注意事项 |
| IA.L2-3.5.11 实行声明:身份验证信息的隐藏反馈。 目标: 确定是否具有以下情况: [a.] 在身份验证期间隐藏身份验证信息。 |
默认情况下,Microsoft Entra ID 会遮盖所有验证器反馈。 |