配置标识和身份验证控件,使用 Microsoft Entra ID 满足 FedRAMP High 影响级别
标识和身份验证是实现联邦风险与授权管理计划 (FedRAMP) High 影响级别的关键。
你可能需要在你的 Microsoft Entra 租户中配置以下列表中的标识和身份验证 (IA) 系列的控件和控件增强。
| 控制系列 | 说明 |
|---|---|
| IA-2 | 标识和身份验证(组织用户) |
| IA-3 | 设备标识和身份验证 |
| IA-4 | 标识符管理 |
| IA-5 | 验证器管理 |
| IA-6 | 验证器反馈 |
| IA-7 | 加密模块身份验证 |
| IA-8 | 标识和身份验证(非组织用户) |
下表中的每一行都提供了规范性指导,以帮助你制定组织对与控制或控制增强功能有关的所有共同责任的响应措施。
配置
| FedRAMP 控件 ID 和说明 | Microsoft Entra 指南和建议 |
|---|---|
| IA-2 用户标识和身份验证 该信息系统唯一识别组织用户并对其进行身份验证(或代表组织用户进行处理)。 |
唯一地标识用户并对其进行身份验证,或代表用户进行处理。 Microsoft Entra ID 直接对用户和服务主体对象进行唯一地标识。 Microsoft Entra ID 提供多种身份验证方法,你可以配置遵循美国国家标准和技术研究院 (NIST) 身份验证保证级别 (AAL) 3 的方法。 标识符 身份验证和多重身份验证 |
| IA-2(1) 该信息系统为网络访问特权帐户实施多重身份验证。 IA-2(3) 该信息系统为本地访问特权帐户实施多重身份验证。 |
对特权帐户的所有访问执行多重身份验证。 为整个解决方案配置以下元素,确保对特权帐户的所有访问都需要执行多重身份验证。 配置条件访问策略,要求对所有用户进行多重身份验证。 对于 Privileged Identity Management 的激活要求,无法在无网络访问的情况下激活特权帐户,因此,本地访问权限始终无特权。 多重身份验证和 Privileged Identity Management |
| IA-2(2) 该信息系统为网络访问非特权帐户实施多重身份验证。 IA-2(4) 该信息系统为本地访问非特权帐户实施多重身份验证。 |
对非特权帐户的所有访问执行多重身份验证 为整个解决方案配置以下元素,确保对非特权帐户的所有访问都需要执行 MFA。 配置条件访问策略,要求对所有用户执行 MFA。 Microsoft 建议使用多重加密硬件验证器(例如,FIDO2 安全密钥、具有硬件 TPM 的 Windows Hello 企业版或智能卡)以满足 AAL3 等级要求。 如果你的组织基于云,我们建议使用 FIDO2 安全密钥或 Windows Hello 企业版。 尚未在所需的 FIPS 140 安全级别验证 Windows Hello 企业版,因此,在认可其达到 AAL3 之前,联邦客户需要进行风险评估和评价。 更多有关 Windows Hello 企业版 FIPS 140 验证的详细信息,请参阅 Microsoft NIST AAL。 请参阅以下有关 MDM 策略的指南,这些策略因身份验证方法而略有不同。 智能卡/Windows Hello 企业版 FIDO2 安全密钥 身份验证方法 其他资源: |
| IA-2(5) 组织要求采用组身份验证时,使用个人验证器对个人进行身份验证。 |
当多个用户有权访问共享或组帐户密码时,要求每个用户首先使用单独的验证器进行身份验证。 每个用户使用一个单独的帐户。 如果需要共享帐户,Microsoft Entra ID 会允许将多个验证器绑定到一个帐户,这样每个用户都有一个单独的身份验证器。 资源 |
| IA-2(8) 该信息系统为网络访问特权帐户实施防止重放身份验证机制。 |
对特权帐户的网络访问实施防重放身份验证机制。 配置条件访问策略,要求对所有用户进行多重身份验证。 身份验证保证级别 2 和 3 的所有 Microsoft Entra 身份验证方法都使用 nonce 或质询,可以抵御重放攻击。 参考 |
| IA-2(11) 该信息系统对远程访问特权和非特权帐户实施多重身份验证,从而使其中一个因素由独立于获取访问权限的系统的设备提供且该设备满足 [FedRAMP 赋值:FIPS 140-2,NIAP 认证,或 NSA 批准*]。 *美国国家信息保障合作组织(NIAP) 其他 FedRAMP 要求和指南: 指南: PIV = 单独的设备。 请参阅 NIST SP 800-157 派生个人身份验证 (PIV) 凭据指南。 FIPS 140-2 是指通过加密模块验证计划(CMVP)进行验证。 |
实施 Microsoft Entra 多重身份验证来远程访问客户部署的资源,从而使其中的一个验证因素由与获得访问权限的系统(设备符合 FIPS 140-2、NIAP 认证或 NSA 批准)隔离的设备提供。 请参阅 IA-02(1-4) 的指南。 根据 AAL3 考虑需要满足单独的设备要求的 Microsoft Entra 身份验证方法包括: FIDO2 安全密钥 参考 |
| **IA-2(12)* 该信息系统接受个人身份验证(PIV)凭据并对其进行电子验证。 IA-2 (12)其他 FedRAMP 要求和指南: 指南:包括通用访问卡(CAC),即 PIV/FIPS 201/HSPD-12 的 DoD 技术实现。 |
接受并验证个人身份验证 (PIV) 凭据。 如果客户未部署 PIV 凭据,则该控制措施不适用。 使用 Active Directory 联合身份验证服务 (AD FS) 配置联合身份验证,以接受将 PIV(证书身份验证)作为主要和多重身份验证方法,并在使用 PIV 时颁发多重身份验证 (MultipleAuthN) 声明。 在 Microsoft Entra ID 中配置联合域,并将 federatedIdpMfaBehavior 设置为 资源 |
| IA-3 设备标识和身份验证 该信息系统在建立 [选择(一个或多个):本地;远程;网络] 连接前,唯一识别 [赋值:组织定义的特定和/或设备类型] 并对其进行身份验证。 |
在建立连接之前实施设备标识和身份验证。 配置 Microsoft Entra ID,标识已注册 Microsoft Entra、已加入 Microsoft Entra、已混合加入 Microsoft Entra 的设备并对它们进行身份验证。 资源 |
| IA-04 标识符管理 组织通过以下方式管理用户和设备的信息系统标识符: (a.) 从 [至少 FedRAMP 赋值,ISSO(或组织内的类似角色)] 接收授权,从而分配个人、组、角色或设备标识符; (b.) 选择识别个人、组、角色或设备的标识符; (c.) 将标识符分配给预期的个人、组、角色或设备; (d.) 防止重复使用 [FedRAMP 赋值:至少两(2)年] 的标识符;和 (e.) 在 [FedRAMP 赋值:三十五(35)天(请参阅要求和指南)] 后禁用标识符 IA-4e 其他 FedRAMP 要求和指南: 要求: 服务提供商定义设备标识符的非活动时间段。 指南: 对于 DoD 云,请参阅 DoD 云网站,了解超出 FedRAMP 的特定 DoD 要求。 IA-4(4) 组织唯一地将每个人识别为 [FedRAMP 赋值:承包商;外国国民],从而管理个人标识符。 |
在处于非活动状态 35 天后禁用帐户标识符,并在两年内避免再次使用它。 通过唯一标识每个个体(例如承包商和外国公民)管理个人标识符。 根据 AC-02 中定义的现有组织策略,在 Microsoft Entra ID 中分配和管理单个帐户标识符和状态。 按照 AC-02 (3),在非活动状态时间达到 35 天后自动禁用用户和设备帐户。 确保组织策略将所有保持禁用状态的帐户至少保留 2 年。 2 年后,可以将其删除。 确定非活动状态 |
| IA-5 验证器管理 组织通过以下方式管理信息系统验证器: (a.) 验证(作为初始验证器分发的一部分)接收验证器的个人、组、角色或设备的身份; (b.) 为组织定义的验证器建立初始验证器内容; (c.) 确保验证器具有足够的机制强度以满足预期用途; (d.) 创建和实施用于初始验证器分发、验证器丢失/被入侵或损坏和验证器撤销的管理流程; (e.) 在安装信息系统之前更改验证器的默认内容; (f.) 为验证器建立最短和最长生存期限制以及重用条件; (g.) 更改/刷新验证器 [赋值:组织定义的时间段(按验证器类型)]。 (h.) 保护验证器内容免受未经授权的泄露和修改; (i.) 要求个人采取并让设备实施特定的安全措施以保护验证器;和 (j.) 当组/角色帐户的成员资格更改时,更改这些帐户的身份验证器。 IA-5 其他 FedRAMP 要求和指南: 要求: 验证器必须符合 NIST SP 800-63-3 数字身份指南 IAL,AAL,FAL 级别 3。 链接 https://pages.nist.gov/800-63-3 |
配置和管理信息系统验证器。 Microsoft Entra ID 支持各种身份验证方法。 你可以使用现有的组织策略进行管理。 请参阅 IA-02 (1-4) 中有关验证器选择的指南。 允许用户合并注册 SSPR 和 Microsoft Entra 多重身份验证,并要求用户至少注册两个可接受的多重身份验证方法,以便进行自我修正。 你可以使用身份验证方法 API 随时撤销用户配置的验证器。 验证器强度/保护验证器内容 身份验证方法和合并注册 验证器撤销 |
| IA-5(1) 信息系统,用于基于密码的身份验证: (a.) 强制执行 [赋值:区分大小写、字符数、大小写字母、数字和特殊字符混合的组织定义要求(包括每种类型的最低要求)] 的最低密码复杂性; (b.) 新建密码时,强制使用至少以下数目的已更改字符:[FedRAMP 赋值:至少百分之五十(50%)]; (c.) 仅存储和传输受加密保护的密码; (d.) 强制执行 [赋值:组织定义的生存期最小数、生存期最大数] 的密码最短和最长生存期限制; (e.) ** 禁止 [FedRAMP 赋值:二十四(24)] 代重复使用密码;和 (f.) 允许使用临时密码登录系统,并立即更改永久密码。 IA-5 (1) a 和 d 其他 FedRAMP 要求和指南: 指南: 如果密码策略符合 NIST SP 800-63B“记住的机密”(第 5.1.1 节)指南,控件可能视为合规。 |
实现基于密码的身份验证要求。 根据 NIST SP 800-63B 部分 5.1.1:维护常用、应使用或已泄露密码的列表。 使用 Microsoft Entra 密码保护时,默认的全局受禁密码列表会自动应用于 Microsoft Entra 租户中的所有用户。 为了满足业务和安全需求,你可以在自定义的禁止密码列表中定义条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 强烈建议采用无密码策略。 此控件仅适用于密码验证器,因此,删除作为可用的身份验证器的密码将导致此控件不适用。 NIST 参考文档 资源 |
| IA-5(2) 信息系统,用于基于 PKI 的身份验证: (a.) 构建和验证已接受信任书签的证书路径(包括检查证书状态信息)以验证证书; (b.) 强制执行对相应私钥的授权访问; (c.) 将经过身份验证的身份映射到个人或组的帐户;和 (d.) 实施吊销数据的本地缓存,以在无法通过网络访问吊销信息时支持路径发现和验证。 |
实现基于 PKI 的身份验证要求。 通过 AD FS 与 Microsoft Entra ID 进行联合,实施基于 PKI 的身份验证。 默认情况下,AD FS 会验证证书,在本地缓存吊销数据,并将用户映射到 Active Directory 中经过身份验证的标识。 资源 |
| IA-5(4) 组织采用自动化工具以确定密码验证器是否足够强大,从而满足 [FedRAMP 赋值:IA-5 (1)控件增强(H) A 部分中确定的复杂性] IA-5 (4)其他 FedRAMP 要求和指南: 指南:如果未使用在创建时强制执行密码验证器强度的自动化机制,必须使用自动化机制以审核已创建的密码验证器的强度。 |
使用自动化工具来验证密码强度要求。 Microsoft Entra ID 实施自动化机制,可在创建时强制实施密码验证器强度。 此自动化机制还可以进行扩展,为本地 Active Directory 强制实施密码验证器强度。 NIST 800-53 的修订版 5 已撤消 IA-04 (4),并将此要求合并到 IA-5 (1)。 资源 |
| IA-5(6) 组织保护与使用验证器允许访问的信息的安全类别相称的验证器。 |
按照 FedRAMP High 影响级别中的规定保护验证器。 有关 Microsoft Entra ID 如何保护验证器的详细信息,请参阅 Microsoft Entra 数据安全注意事项。 |
| IA-05(7) 组织确保未加密的静态验证器未嵌入到应用程序或访问脚本中,或未存储到功能键上。 |
确保未加密的静态验证器(例如密码)没有嵌入到应用程序或访问脚本中,也没有存储到功能键上。 实现托管标识或服务主体对象(仅使用证书进行配置)。 资源 |
| IA-5(8) 组织实施 [FedRAMP 赋值:不同系统上的不同验证器] 以管理因个人在多个信息系统上拥有帐户而遭到入侵的风险。 |
为在多个信息系统上有帐户的个人实施安全保护措施。 通过将所有应用程序连接到 Microsoft Entra ID 来实现单一登录,而不是在多个信息系统上使用个人帐户。 |
| IA-5(11) 信息系统,用于基于硬件令牌的身份验证,采用满足 [赋值:组织定义的令牌质量要求] 的机制。 |
需要满足 FedRAMP High 影响级别要求的硬件令牌质量要求。 要求使用符合 AAL3 的硬件令牌。 |
| IA-5(13) 该信息系统禁止在 [赋值:组织定义的时间段] 后使用缓存验证器。 |
使缓存的验证器强制过期。 当网络不可用时,系统使用缓存的验证器对本地计算机进行身份验证。 若要限制使用缓存的验证器,请将 Windows 设备配置为禁用缓存的验证器。 如果此操作不可行或不切实际,请使用以下补偿控件: 使用为 Office 应用程序强制实施的应用程序限制配置条件访问会话控件。 资源 |
| IA-6 验证器反馈 该信息系统在身份验证过程中模糊了身份验证信息的反馈,从而防止未经授权的个人可能利用/使用该信息。 |
在身份验证期间隐藏身份验证反馈信息。 默认情况下,Microsoft Entra ID 会遮盖所有验证器反馈。 |
| IA-7 加密模块身份验证 根据此类身份验证适用的联邦法律、行政命令、指令、政策、法规、标准和指南的要求,该信息系统实施对加密模块进行身份验证的机制。 |
实施对符合适用联邦法律的加密模块进行身份验证的机制。 FedRAMP High 影响级别要求 AAL3 验证器。 符合 AAL3 的 Microsoft Entra ID 支持的所有验证器都提供根据需要对访问模块的操作员进行身份验证的机制。 例如,在具有硬件 TPM 的 Windows Hello 企业版部署中,可配置 TPM 所有者的授权级别。 资源 |
| IA-8 标识和身份验证(非组织用户) 信息系统唯一地标识非组织用户(或代表非组织用户进行处理的进程)并进行身份验证。 |
信息系统唯一地标识非组织用户(或代表非组织用户进行处理的进程)并进行身份验证。 Microsoft Entra ID 使用联邦身份凭证与访问管理 (FICAM) 批准的协议,唯一地标识托管在组织租户或外部目录中的非组织用户,并对其进行身份验证。 资源 |
| IA-8(1) 该信息系统接受来自其他联邦机构的个人身份验证(PIV)凭据并对其进行电子验证。 IA-8(4) 该信息系统符合 FICAM 颁发的配置文件。 |
接受并验证由其他联邦机构颁发的 PIV 凭据。 遵循 FICAM 颁发的配置文件。 将 Microsoft Entra ID 配置为通过联合(OIDC、SAML)接受 PIV 凭据或通过集成 Windows 身份验证在本地接受 PIV 凭据。 资源 |
| IA-8(2) 该信息系统仅接受 FICAM 批准的第三方凭据。 |
仅接受 FICAM 批准的凭据。 Microsoft Entra ID 支持达到 NIST AAL 1、2、3 级的验证器。 限制使用与所访问系统的安全类别相对应的身份验证器。 Microsoft Entra ID 支持多种身份验证方法。 资源 |