访问控制安全措施指南
Microsoft Entra ID 满足实施 1996 年的《健康保险便利和责任法案》(HIPAA) 安全措施的标识相关实践要求。 若要符合 HIPAA 标准,请使用本指南实施安全措施。 可能需要修改其他配置或进程。
若要了解用户标识安全措施,建议研究并设定目标,以便:
确保 ID 对需要连接到域的每个人都是唯一的。
建立 Joiner、Mover 和 Leaver (JML) 进程。
标识跟踪的启用程序审核。
对于授权访问控制安全措施,请设定目标,以便:
系统访问权限仅限于授权用户。
已识别授权用户。
对个人数据的访问仅限于授权用户。
对于紧急访问过程安全措施:
确保核心服务的高可用性。
消除单一故障点。
制定灾难恢复计划。
确保备份高风险数据。
建立和维护紧急访问帐户。
对于自动注销保护:
建立一个过程,在预先确定的不活动时间后终止电子会话。
配置并实现自动注销策略。
唯一的用户标识
下表提供了 HIPAA 指南中用于唯一用户标识的访问控制安全措施。 查找 Microsoft 建议以满足安全措施实施要求。
HIPAA 保护 - 唯一用户标识
Assign a unique name and/or number for identifying and tracking user identity.
| 建议 | 操作 |
|---|---|
| 设置混合以利用 Microsoft Entra ID | Microsoft Entra Connect 将本地目录与 Microsoft Entra ID 集成,支持使用单一标识访问本地应用程序和云服务(如 Microsoft 365)。 它将协调 Active Directory (AD) 与 Microsoft Entra ID 之间的同步。 若要开始使用 Microsoft Entra Connect,请查看先决条件,记下服务器要求以及如何准备 Microsoft Entra 租户进行管理。 Microsoft Entra Connect 同步是在云中管理的预配代理。 预配代理支持从多林断开连接的 AD 环境同步到 Microsoft Entra ID。 轻量级代理已安装,可与 Microsoft Entra Connect 一起使用。 建议使用密码哈希同步来帮助减少密码数并阻止凭据泄漏检测。 |
| 预配用户帐户 | Microsoft Entra ID 是基于云的标识和访问管理服务,提供单一登录、多重身份验证和条件访问来防范安全攻击。 若要创建用户帐户,请以用户管理员身份登录 Microsoft Entra 管理中心,然后导航至菜单中的“所有用户”来创建新帐户。 Microsoft Entra ID 为系统和应用程序的自动用户预配提供支持。 功能包括创建、更新和删除用户帐户。 当新人员加入组织中的团队时,自动预配功能会在正确的系统中为新用户创建新帐户,当人员离开团队时,自动取消预配功能会停用帐户。 导航到 Microsoft Entra 管理中心并选择要添加和管理应用设置的企业应用程序,从而配置预配功能。 |
| HR 驱动的预配 | 将 Microsoft Entra 帐户预配集成到人力资源 (HR) 系统中,可降低过度访问和没必要的访问的风险。 对于新创建的帐户,HR 系统将成为授权的开始,将功能扩展到帐户取消预配。 自动化管理标识生命周期并降低过度预配的风险。 此方法遵循提供最低访问权限的安全最佳做法。 |
| 创建生命周期工作流 | 生命周期工作流提供标识治理,用于自动执行 joiner/mover/leaver (JML) 生命周期。 生命周期工作流通过使用内置模板或创建自己的自定义工作流来集中工作流。 这种做法有助于减少或可能删除组织 JML 策略要求的手动任务。 在 Azure 门户中,导航到 Microsoft Entra 菜单中的“标识治理”,查看或配置符合组织要求的任务。 |
| 管理特权标识 | Microsoft Entra Privileged Identity Management (PIM) 支持管理、控制和监视访问。 在需要时,在基于时间和基于审批的角色激活中提供访问权限。 此方法可限制以下风险:过度使用或误用访问权限,或授予不必要的访问权限。 |
| 监视和警报 | Microsoft Entra ID 保护统一呈现了影响组织标识的风险事件和潜在漏洞。 启用保护会应用现有的 Microsoft Entra 异常情况检测功能,并引入实时检测异常的风险事件类型。 通过 Microsoft Entra 管理中心,可以登录、审核和查看预配日志。 日志可下载、归档以及流式传输到安全信息和事件管理 (SIEM) 工具。 Microsoft Entra 日志可以位于 Microsoft Entra 菜单的“监视”部分中。 还可以使用 Azure 日志分析工作区将日志发送到 Azure Monitor,可以在其中针对连接的数据设置警报。 Microsoft Entra ID 通过相应 Directory 对象上的 ID 属性来唯一标识用户。 使用此方法可以筛选日志文件中的特定标识。 |
授权的访问控制
下表提供了针对授权访问控制的访问控制安全措施的 HIPAA 指南。 查找 Microsoft 建议以满足安全措施实施要求。
HIPAA 保护 - 授权访问控制
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| 建议 | 操作 |
|---|---|
| 启用多重身份验证 (MFA) | Microsoft Entra ID 中的 MFA 通过添加另一层安全性来保护标识。 额外的层身份验证有助于防止未经授权的访问。 使用 MFA 方法可以在身份验证过程中要求对登录凭据进行更多验证。 示例包括设置 Authenticator 应用进行一键式验证,或启用无密码身份验证。 |
| 启用条件访问策略 | 条件访问策略有助于组织将访问权限限制为已获批准的应用程序。 Microsoft Entra 可分析来自用户、设备或位置的信号,以自动做出决策并强制实施组织策略来访问资源和数据。 |
| 启用基于角色的访问控制 (RBAC) | RBAC 在企业级别提供安全性,并实现职责分离。 RBAC 可让你调整和审查权限,以保护资源和敏感数据的机密性、隐私和访问管理。 Microsoft Entra ID 为内置角色提供支持,这是一组无法修改的固定权限。 还可以创建自己的自定义角色,可在其中添加预设列表。 |
| 启用基于属性的访问控制 (ABAC) | ABAC 根据与安全主体、资源和环境关联的属性定义访问权限。 它提供精细的访问控制并减少角色分配的数量。 ABAC 的使用范围可以限定为专用 Azure 存储中的内容。 |
| 在 SharePoint 中配置用户组访问权限 | SharePoint 组是用户的集合。 权限的范围限定为网站集级别,以便访问内容。 此约束的应用范围可以限定为需要在应用程序之间访问数据流的服务帐户。 |
紧急访问过程
下表提供了 HIPAA 指南针对紧急访问过程的访问控制安全措施。 查找 Microsoft 建议以满足安全措施实施要求。
HIPAA 保护 - 紧急访问过程
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| 建议 | 操作 |
|---|---|
| 使用 Azure 恢复服务 | Azure 备份提供备份重要数据和敏感数据所需的支持。 覆盖范围包括存储/数据库和云基础结构,以及本地 Windows 设备到云。 建立备份策略以解决备份和恢复过程风险。 确保安全地存储数据,并且可以在最短的停机时间内进行检索。 Azure Site Recovery 提供近乎恒定的数据复制,以确保副本是同步的。设置服务之前的初始步骤是确定恢复点目标 (RPO) 和恢复时间目标 (RTO) ,以支持组织要求。 |
| 确保复原能力 | 当业务运营和核心 IT 服务中断时,复原能力有助于维护服务级别。 该功能涵盖服务、数据、Microsoft Entra ID 和 Active Directory 考虑因素。 确定战略性复原计划,以添加哪些系统和数据依赖于 Microsoft Entra 和混合环境。 Microsoft 365 复原能力涵盖核心服务(包括 Exchange、SharePoint 和 OneDrive),以防止数据损坏,并应用复原数据点来保护 ePHI 内容。 |
| 创建破窗帐户 | 建立紧急帐户或破窗帐户可确保系统和服务在不可预见的情况下仍可访问,例如网络故障或管理访问权限丢失的其他原因。 建议不要将此帐户与单个用户或帐户相关联。 |
工作站安全性 - 自动注销
下表提供了有关自动注销防护的 HIPAA 指南。 查找 Microsoft 建议以满足安全措施实施要求。
HIPAA 保护 - 自动注销
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| 建议 | 操作 |
|---|---|
| 创建组策略 | 支持未迁移到 Microsoft Entra ID 并由 Intune 管理的设备,组策略 (GPO) 可以强制注销,或者在 AD 上或在混合环境中对设备使用锁屏时间。 |
| 评估设备管理要求 | Microsoft Intune 可提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。 Microsoft Intune 可对公司和个人设备进行控制。 可以管理设备使用情况并强制实施策略来控制移动应用程序。 |
| 设备条件访问策略 | 使用条件访问策略实施设备锁定,以限制对合规设备或已加入 Microsoft Entra 混合的设备的访问。 配置策略设置。 对于非托管设备,请配置“登录频率”设置以强制用户重新进行身份验证。 |
| 为 Microsoft 365 配置会话超时 | 查看 Microsoft 365 应用程序和服务的会话超时,以修正任何长时间的超时。 |
| 为 Azure 门户配置会话超时 | 查看 Azure 门户会话的会话超时,执行由于非活动而导致的超时有助于保护资源免受未经授权的访问。 |
| 查看应用程序访问会话 | 持续访问评估策略可以拒绝或授予对应用程序的访问权限。 如果登录成功,用户会获得一个在一 (1) 小时内有效的访问令牌。 访问令牌过期后,客户端将定向回 Microsoft Entra ID,系统会重新评估条件,再刷新令牌一小时。 |