配置标识访问控制以满足 FedRAMP High 影响级别

访问控制是实现联邦风险与授权管理计划 (FedRAMP) 高影响级别以进行操作的主要部分。

可能需要在 Microsoft Entra 租户中配置访问控制 (AC) 系列的以下控制和控制增强功能列表。

控制系列	说明
AC-2	帐户管理
AC-6	最低权限
AC-7	失败的登录尝试次数
AC-8	系统使用通知
AC-10	并发会话控制
AC-11	会话锁定
AC-12	会话终止
AC-20	使用外部信息系统

下表中的每一行都提供了规范性指导，以帮助你制定组织对与控制或控制增强功能有关的所有共同责任的响应措施。

配置

FedRAMP 控件 ID 和说明	Microsoft Entra 指南和建议
AC-2 帐户管理 组织 (a.) 确定并选择以下类型的信息系统帐户，以支持组织的任务/业务职能：[分配：组织定义的信息系统帐户类型]； (b.) 为信息系统帐户分配帐户管理员； (c.) 建立组和角色成员身份的条件； (d.) 指定信息系统、组和角色成员身份的授权用户，以及每个帐户的访问授权（即特权）和其他属性（根据需要）； (e.) 需要[分配：组织定义的人员或角色]对创建信息系统帐户的请求进行审批； (f.) 根据[分配：组织定义的过程或条件]创建、启用、修改、禁用和删除信息系统帐户； (g.) 监视信息系统帐户的使用； (h.) 下列情况下通知帐户管理员： (1.) 不再需要帐户时； (2.) 终止或转移用户时；以及 (3.) 当单个信息系统使用情况或需要知道的更改时； (i.) 基于以下条件授权访问信息系统： (1.) 有效的访问授权； (2.) 预期的系统使用情况；以及 (3.) 组织或相关任务/业务职能部门所需的其他属性； (j.) 检查帐户是否符合帐户管理要求[FedRAMP 分配：每月检查特权访问，每六 (6) 个月检查非特权访问]；以及 (k.) 从组中删除个人时，组织建立重新签发共享/组帐户凭据的过程（如果已部署）。	为客户控制的帐户实现帐户生命周期管理。 监视帐户的使用情况并将帐户生命周期事件通知到客户经理。 对于特权访问，每月评审帐户是否符合帐户管理的要求，对于非特权访问，每六个月评审一次。 使用 Microsoft Entra ID 从外部 HR 系统、本地 Active Directory 或直接在云中预配帐户。 所有帐户生命周期操作均在 Microsoft Entra 审核日志中进行审核。 可以通过安全信息和事件管理 (SIEM) 解决方案（例如 Microsoft Sentinel）来收集和分析日志。 或者，可以使用 Azure 事件中心将日志与第三方 SIEM 解决方案集成，以启用监视和通知。 将 Microsoft Entra 的权利管理与访问评审结合使用，以确保帐户处于合规状态。 预配帐户 规划云 HR 应用程序到 Microsoft Entra 用户预配 Microsoft Entra Connect 同步：了解和自定义同步 使用 Microsoft Entra ID 添加或删除用户 监视帐户 Microsoft Entra 管理中心内的审核活动报表 将 Microsoft Entra 数据 连接到 Microsoft Sentinel 教程：将日志流式传输到 Azure 事件中心 评审帐户 什么是 Microsoft Entra 权利管理？ 在 Microsoft Entra 权利管理中创建访问包的访问评审 在 Microsoft Entra 权利管理中查看访问包的访问权限 资源 Microsoft Entra ID 中的管理员角色权限 Microsoft Entra ID 中的动态组
AC-2(1) 组织使用自动化的机制来支持信息系统帐户的管理。	使用自动化机制，为管理客户控制的帐户提供支持。 配置从外部 HR 系统或本地 Active Directory 自动预配客户控制的帐户。 对于支持应用程序预配的应用程序，将 Microsoft Entra ID 配置为在用户需要访问的云软件即解决方案 (SaaS) 应用程序中自动创建用户标识和角色。 除了创建用户标识外，自动预配还包括在状态或角色发生更改时维护和删除用户标识。 将 Microsoft Entra ID 保护日志（其中显示风险用户、风险登录和风险检测）和审核日志直接流式传输到 Microsoft Sentinel 或事件中心，可轻松监视帐户使用情况。 预配 规划云 HR 应用程序到 Microsoft Entra 用户预配 Microsoft Entra Connect 同步：了解和自定义同步 什么是 Microsoft Entra ID 中的 SaaS 自动应用用户预配？ 有关与 Microsoft Entra ID 结合使用的 SaaS 应用集成教程 监视和审核 调查风险 Microsoft Entra 管理中心内的审核活动报表 什么是 Microsoft Sentinel？ Microsoft Sentinel：连接 Microsoft Entra ID 中的数据 教程：将 Microsoft Entra 日志流式传输到 Azure 事件中心
AC-2(2) 信息系统在[FedRAMP 分配：上次使用 24 小时后]后自动[FedRAMP 选择：禁用]临时和紧急帐户。 AC-02(3) 信息系统在[FedRAMP 分配：用户帐户三十五 (35) 天]后自动禁用非活动帐户。 AC-2 (3) 其他 FedRAMP 要求和指导： 要求：服务提供程序定义非用户帐户的时间段（例如，与设备关联的帐户）。 时间段由 JAB/AO 批准和接受。 用户管理是服务职能的，应当提供消费者用户的活动报告。	使用自动化机制，以支持自上次使用 24 小时后自动删除或禁用临时帐户和紧急帐户，并在处于非活动状态 35 天后自动删除或禁用所有由客户控制的帐户。 使用 Microsoft Graph 和 Microsoft Graph PowerShell 实现帐户管理自动化。 使用 Microsoft Graph 监视登录活动，使用 Microsoft Graph PowerShell 在所需的时间范围内对帐户执行操作。 确定非活动状态 管理 Microsoft Entra ID 中的非活动用户帐户 在 Microsoft Entra ID 中管理陈旧的设备 删除或禁用帐户 使用 Microsoft Graph 中的用户 获取用户 更新用户 删除用户 使用 Microsoft Graph 中的设备 获取设备 更新设备 删除设备 请参阅 Microsoft Graph PowerShell 文档 Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) 信息系统自动审核帐户创建、修改、启用、禁用和删除操作，并通知[FedRAMP 分配：组织和/或服务提供程序系统所有者]。	针对管理客户控制的帐户的生命周期实施自动化审核和通知系统。 所有帐户生命周期操作（如帐户创建、修改、启用、禁用和删除操作）都在 Azure 审核日志中进行审核。 可以直接将日志流式传输到 Microsoft Sentinel 或事件中心，以帮助通知。 审核 Microsoft Entra 管理中心内的审核活动报表 Microsoft Sentinel：连接 Microsoft Entra ID 中的数据 通知 什么是 Microsoft Sentinel？ 教程：将 Microsoft Entra 日志流式传输到 Azure 事件中心
AC-2(5) 组织在[FedRAMP 分配：非活动预计超过十五 (15) 分钟]时要求用户注销。 AC-2 (5) 其他 FedRAMP 要求和指导： 指导：应使用比 AC-12 更短的时间范围	处于非活动状态 15 分钟后，会注销设备。 使用条件访问策略实施设备锁定，以限制对合规设备的访问。 使用移动设备管理 (MDM) 解决方案（如 Intune），在设备上配置策略设置，以在 OS 级别强制执行设备锁定。 混合部署中也可以考虑使用 Endpoint Manager 或组策略对象。 对于非托管设备，请配置“登录频率”设置以强制用户重新进行身份验证。 条件性访问 要求将设备标记为合规 用户登录频率 MDM 策略 将设备配置为在屏幕锁定且需要密码才能解锁前可处于非活动状态的最大分钟数（Android、iOS、Windows 10）。
AC-2(7) 组织： (a.) 根据基于角色的访问方案来创建和管理特权用户帐户，并可将允许的信息系统访问和特权组织到角色中； (b) 监视特权角色分配；以及 (c) 当特权角色分析不再合适时，采用[FedRAMP 分配：在组织指定的时间范围内禁用/撤销访问权限]。	通过对客户控制的帐户采取基于角色的访问方案，管理并监视特权角色分配。 在不再合适时禁用或撤销对帐户的特权访问。 实施 Microsoft Entra Privileged Identity Management，其中包含对 Microsoft Entra ID 中特权角色的访问评审，以监视角色分配并在不再合适时将其删除。 可以直接将审核日志流式传输到 Microsoft Sentinel 或事件中心，以帮助监视。 管理员 什么是 Microsoft Entra Privileged Identity Management？ 最长激活持续时间 监视 在 Privileged Identity Management 中创建对 Microsoft Entra 角色的访问评审 在 Privileged Identity Management 中查看 Microsoft Entra 角色的审核历史记录 Microsoft Entra 管理中心内的审核活动报表 什么是 Microsoft Sentinel？ 从 Microsoft Entra ID 连接数据 教程：将 Microsoft Entra 日志流式传输到 Azure 事件中心
AC-2(11) 信息系统为[分配：组织定义的信息系统帐户]执行[分配：组织定义的环境和/或使用条件]。	强制使用客户控制的帐户，以满足客户定义的条件或情况。 创建条件访问策略，以跨用户和设备强制实施访问控制决策。 条件性访问 创建条件访问策略 What is Conditional Access?（什么是条件访问？）
AC-2(12) 组织： (a) 监视信息系统帐户的[分配：组织定义的异常使用]；以及 (b) 向[FedRAMP 分配：至少是组织内部的 ISSO 和/或类似角色]报告信息系统帐户的异常使用情况。 AC-2 (12) (a) 和 AC-2 (12) (b) 其他 FedRAMP 要求和指导： 特权帐户是必需的。	监视并报告具有特权访问权限的客户控制的帐户，以了解非典型使用情况。 为了帮助监视非典型使用情况，可将 Microsoft Entra ID 保护日志（其中显示风险用户、风险登录和风险检测）和审核日志（有助于与权限分配关联）直接流式传输到 Microsoft Sentinel 等 SIEM 解决方案中。 还可以使用事件中心将日志与第三方 SIEM 解决方案集成。 ID 保护 什么是 Microsoft Entra ID 保护？ 调查风险 Microsoft Entra ID 保护通知 监视帐户 什么是 Microsoft Sentinel？ Microsoft Entra 管理中心内的审核活动报表 将 Microsoft Entra 数据 连接到 Microsoft Sentinel 教程：将日志流式传输到 Azure 事件中心
AC-2(13) 组织在发现风险的 [FedRAMP 分配：一 (1) 小时] 内禁用造成重大风险的用户帐户。	在 1 小时内禁用存在重大风险的用户的客户控制帐户。 在 Microsoft Entra ID 保护中，配置并启用阈值设置为“高”的用户风险策略。 创建条件访问策略，以阻止风险用户的访问和风险登录。配置风险策略，以允许用户自行修正并取消阻止后续登录尝试。 ID 保护 什么是 Microsoft Entra ID 保护？ 条件性访问 What is Conditional Access?（什么是条件访问？） 创建条件访问策略 条件访问：基于用户风险的条件访问 条件访问：基于登录风险的条件访问 利用风险策略自行修正
AC-6(7) 组织： (a.) [FedRAMP 分配：至少手动]查看分配给[FedRAMP 分配：所有拥有特权的用户]的特权，以验证是否需要相应特权；以及 (b.) 如有必要，可以重新分配或删除特权，以正确反映组织的任务/业务需求。	每年评审并验证具有特权访问权限的所有用户。 确保重新分配特权（或在必要时删除特权），以符合组织的任务和业务要求。 将 Microsoft Entra 权利管理与特权用户的访问评审一起使用，以验证是否需要特权访问。 访问评审 什么是 Microsoft Entra 权利管理？ 在 Privileged Identity Management 中创建对 Microsoft Entra 角色的访问评审 在 Microsoft Entra 权利管理中查看访问包的访问权限
AC-7 失败的登录尝试次数 组织： (a.) 在[FedRAMP 分配：十五 (15) 分钟]内，强制限制用户连续的无效登录尝试次数[FedRAMP 分配：不得超过三 (3) 次]；以及 (b.) 当超出失败登录次数上限时，自动[选择：锁定帐户/节点[FedRAMP 分配：至少三 (3) 小时或直到管理员解锁]；根据[分配：组织定义的延迟算法]延迟下一次登录提示]。	在 15 分钟内，登录客户部署的资源的连续失败尝试次数不得超过三次。 将帐户锁定至少三小时或直到管理员解锁为止。 启用自定义智能锁定设置。 配置锁定阈值和锁定持续时间（以秒为单位）以实施这些要求。 智能锁定 利用 Microsoft Entra 智能锁定保护用户帐户免受攻击 管理 Microsoft Entra 智能锁定值
AC-8 系统使用情况通知 信息系统： (a.) 在授予信息系统访问权限之前，该系统向用户显示[分配：组织定义的系统使用通知消息或横幅（FedRAMP 分配：请参阅其他要求和指导）]，该系统提供与适用的联邦法律、行政命令、指令、政策、法规、标准和指导相一致的隐私和安全通知，并指出： (1.) 用户正在访问美国政府信息系统； (2.) 信息系统使用情况可能会受到监视、记录和审核； (3.) 禁止未经授权使用信息系统，此类行为会受到刑事和民事处罚；以及 (4.) 使用信息系统即表示同意监视和记录； (b.) 将在屏幕上保留通知消息或横幅，直到用户同意使用条件并采取明确的行动以登录或进一步访问信息系统；以及 (c.) 对于可公开访问的系统： (1.) 在授予进一步访问权限之前，显示系统使用信息[分配：组织定义的条件（FedRAMP 分配：请参阅其他要求和指导）]； (2.) 显示对监视、记录或审核的引用（如果有），这些引用与通常禁止这些活动的此类系统的隐私便利一致；以及 (3.) 包括系统授权使用的说明。 AC-8 其他 FedRAMP 要求和指导： 要求：服务提供程序应确定需要系统使用情况通过控件的云环境的元素。 需要系统使用情况通知的云环境的元素由 JAB/AO 批准和接受。 要求：服务提供程序应确定如何验证系统使用情况通知，并提供检查的适当周期。 系统使用情况通知验证和周期由 JAB/AO 批准和接受。 指导：如果作为配置基线检查的一部分执行，则会检查 the % 需要设置的项，并可以提供通过（或未通过）检查的项。 要求：如果不作为配置基线检查的一部分执行，则服务提供程序必须以书面协议确定如何提供验证结果以及验证的必要周期。 关于如何验证结果的书面协议由 JAB/AO 批准和接受。	在授予对信息系统的访问权限之前，显示隐私和安全通知，并要求用户确认。 利用 Microsoft Entra ID，你可以在授予访问权限之前，为需要并记录确认的所有应用提供通知或横幅消息。 可以将这些使用条款策略细化到特定用户（成员或来宾）。 还可以通过条件访问策略按应用程序自定义它们。 使用条款 Microsoft Entra 使用条款 查看接受用户和拒绝用户的报告
AC-10 并发会话控制 信息系统将每个[分配：组织定义的帐户和/或帐户类型]的并发会话数量限制为[FedRAMP 分配：特权访问为三 (3) 个会话，非特权访问为两 (2) 个会话]。	将并发会话数限制为三个以进行特权访问；限制为两个以进行非特权访问。 当前，用户从多个设备进行连接，有时是同时连接。 限制并发会话会导致用户体验降级，并且提供的安全价值有限。 解决此控制背后意图的更好方法是采用零信任安全态势。 在会话创建之前显式验证条件，并在整个会话生命周期内持续验证条件。 此外，请使用以下补偿控制。 使用条件访问策略以限制对兼容设备的访问。 使用 MDM 解决方案（如 Intune），在设备上配置策略设置，以在 OS 级别强制执行用户登录限制。 混合部署中也可以考虑使用 Endpoint Manager 或组策略对象。 使用 Privileged Identity Management 进一步限制和控制特权帐户。 为无效登录尝试配置智能帐户锁定。 实施指南 零信任 通过零信任保护标识 Microsoft Entra ID 中的连续访问评估 条件性访问 什么是 Microsoft Entra ID 中的条件访问？ 要求将设备标记为合规 用户登录频率 设备策略 其他智能卡组策略设置和注册表项 Microsoft Endpoint Manager 概述 资源 什么是 Microsoft Entra Privileged Identity Management？ 利用 Microsoft Entra 智能锁定保护用户帐户免受攻击 有关更多会话重新评估和风险缓解指南，请参阅 AC-12。
AC-11 会话锁定 信息系统： (a) 在非活动状态达到[FedRAMP 分配：十五 (15) 分钟]或从用户那里收到请求后，通过启动会话锁定来阻止对于系统的进一步访问；以及 (b) 保留会话锁定，直到用户使用已建立的标识和身份验证过程重新创建访问。 AC-11(1) 信息系统通过会话锁定将以前在显示器上可见的信息与公众可查看的图像一起隐藏。	在 15 分钟的非活动期后或收到用户的请求后，实施会话锁定。 保持会话锁定，直到用户重新进行身份验证。 在启动会话锁定时，隐藏以前可见的信息。 使用条件访问策略实施设备锁定，以限制对合规设备的访问。 使用 MDM 解决方案（如 Intune），在设备上配置策略设置，以在 OS 级别强制执行设备锁定。 混合部署中也可以考虑使用 Endpoint Manager 或组策略对象。 对于非托管设备，请配置“登录频率”设置以强制用户重新进行身份验证。 条件性访问 要求将设备标记为合规 用户登录频率 MDM 策略 将设备配置为在屏幕锁定前可处于非活动状态的最大分钟数（Android、iOS、Windows 10）。
AC-12 会话终止 信息系统在[分配：组织定义的条件或需要会话断开的触发事件]之后自动终止用户会话。	发生组织定义的条件或触发器事件时，自动终止用户会话。 使用 Microsoft Entra 功能（如基于风险的条件访问和连续访问评估），实施自动用户会话重新评估。 如 AC-11 中所述，可以在设备级别实施非活动条件。 资源 基于登录风险的条件访问 基于用户风险的条件访问 连续访问评估
AC-12(1) 信息系统： (a.) 无论何时使用身份验证访问[分配：组织定义的信息资源]，都提供用户启动的通信会话的注销功能；以及 (b.) 向用户显示一条显式注销消息，指明可靠地终止经身份验证的通信会话。 AC-8 其他 FedRAMP 要求和指导： 指导：测试注销功能 (OTG-SESS-006) 测试注销功能	为所有会话提供注销功能，并显示明确的注销消息。 所有 Microsoft Entra ID 显示的 Web 接口都可为用户发起的通信会话提供注销功能。 SAML 应用程序与 Microsoft Entra ID 集成时，请实施单一退出登录。 注销功能 当用户选择在任何位置注销时，将撤销所有当前颁发的令牌。 显示消息 用户发起注销后，Microsoft Entra ID 将自动显示一条消息。 资源 从“我的登录”页面查看和搜索最近的登录活动 单一注销 SAML 协议
AC-20 使用外部信息系统 组织建立符合拥有、运营和/或维护外部信息系统的其他组织建立的信任关系的条款和条件，允许授权的个人： (a.) 从外部信息系统访问信息系统；以及 (b.) 使用外部信息系统处理、存储或传输组织控制的信息。 AC-20(1) 组织仅允许授权的个人使用外部信息系统访问信息系统或处理、存储或传输组织控制的信息，前提是组织： (a.) 验证外部系统的确实施了组织的信息安全策略和安全性计划中指定的所需安全控制措施；或 (b.) 保留批准的信息系统连接或处理与托管外部信息系统的组织实体签订的协议。	制定条款和条件，允许授权的个人从外部信息系统（如非托管设备和外部网络）访问客户部署的资源。 从外部系统访问资源的授权用户需要接受使用条款。 实施条件访问策略以限制从外部系统访问。 条件访问策略可能与 Defender for Cloud Apps 集成，为来自外部系统的云和本地应用程序提供控制。 Intune 中的移动应用管理可以保护应用程序（包括自定义应用和应用商店应用）级别的组织数据，使其免受与外部系统交互的托管设备的影响。 例如，访问云服务。 可以在组织拥有的设备和个人设备上使用应用管理。 条款和条件 使用条款：Microsoft Entra ID 条件性访问 要求将设备标记为合规 条件访问策略中的条件：设备状态（预览） 使用 Microsoft Defender for Cloud Apps 条件访问应用控制提供保护 Microsoft Entra 条件访问中的位置条件 MDM 什么是 Microsoft Intune？ 什么是 Defender for Cloud Apps？ 什么是 Microsoft Intune 中的应用管理？ 资源 将本地应用与 Defender for Cloud Apps 集成

后续步骤

• FedRAMP 合规性概述
• 配置标识和身份验证控件以满足 FedRAMP High 影响级别
• 配置其他控制，以满足 FedRAMP High 影响级别要求