满足备忘录 22-09 的授权要求
本文章系列提供了在实施零信任原则时使用 Microsoft Entra ID 作为集中式标识管理系统的指导。 请参阅美国管理与预算办公室 (OMB) 针对行政部门和机构负责人的 M 22-09 备忘录。
记要要求是多重身份验证策略中的强制实施类型,以及设备、角色、属性和特权访问管理的控制。
基于设备的控制
记要 22-09 要求是至少一个基于设备的信号,用于授权决定访问系统或应用程序。 使用条件访问强制实施要求。 在授权期间应用多个设备信号。 有关信号和检索信号的要求,请参阅下表。
| Signal | 信号检索 |
|---|---|
| 设备受管理 | 与 Intune 集成或与支持集成的其他移动设备管理 (MDM) 解决方案集成。 |
| 已进行 Microsoft Entra 混合联接 | Active Directory 管理设备,并且符合条件。 |
| 设备符合要求 | 与 Intune 集成或与支持集成的其他 MDM 解决方案集成。 请参阅在 Microsoft Intune 中创建合规性策略。 |
| 威胁信号 | Microsoft Defender for Endpoint 和其他终结点检测和响应 (EDR) 工具与 Microsoft Entra ID 和 Intune 集成,可发送威胁信号以拒绝访问。 威胁信号支持合规状态信号。 |
| 跨租户访问策略(公共预览版) | 信任来自其他组织中的设备的设备信号。 |
基于角色的控制
使用基于角色的访问控制 (RBAC) 通过特定范围的角色分配强制执行授权。 例如,使用权利管理功能分配访问权限,包括访问包和访问评审。 使用自助服务请求管理授权,并使用自动化来管理生命周期。 例如,根据条件自动结束访问。
了解详细信息:
基于属性的控制
基于属性的访问控制 (ABAC) 在身份验证期间使用分配给用户或资源的元数据来允许或拒绝访问。 请参阅以下部分,使用 ABAC 强制措施为身份验证过程中的数据和资源创建授权。
分配到用户的属性
使用分配给用户的属性创建用户授权(这些属性存储在 Microsoft Entra ID 中)。 根据组创建过程中定义的规则集,用户会自动分配到动态成员资格组。 规则根据对用户及其属性的规则评估,从组中添加或删除用户。 建议在创建当天维护属性,不要设置静态属性。
了解详细信息:在 Microsoft Entra ID 中创建或更新动态组
分配到数据的属性
借助 Microsoft Entra ID,可以将授权集成到数据中。 请参阅以下部分来集成授权。 可以在条件访问策略中配置身份验证:限制用户在应用程序中或对数据执行的操作。 然后,这些身份验证策略在数据源中映射。
数据源可以是映射到身份验证的 Word 和 Excel 等 Microsoft Office 文件,也可以是 SharePoint 站点。 使用分配给应用程序中数据的身份验证。 此方法要求与应用程序代码集成,且开发人员采用该功能。 请使用身份验证与 Microsoft Defender for Cloud 应用的集成,通过会话控制来控制对数据执行的操作。
将动态成员资格组与身份验证上下文相结合,以控制数据和用户属性之间的用户访问映射。
了解详细信息:
分配到资源的属性
Azure 包括用于存储的基于属性的访问控制 (Azure ABAC)。 为存储在 Azure Blob 存储帐户中的数据分配元数据标记。 使用角色分配将元数据分配给用户,从而授予访问权限。
了解详细信息:什么是 Azure 基于属性的访问控制?
特权访问管理
记要列举了使用具有单因素临时凭据的特权访问管理工具访问系统的低效性。 这些技术包括接受管理员多重身份验证登录的密码保管库。这些工具为用于访问系统的备用帐户生成密码。 系统访问是通过单个因素发生的。
Microsoft 工具针对特权系统实施 Privileged Identity Management (PIM),其中 Microsoft Entra ID 用作中央标识管理系统。 对大多数特权系统(即应用程序、基础结构元素或设备)强制实施多重身份验证。
使用 Microsoft Entra 标识实施特权角色时,请使用 PIM。 识别需要保护以防止横向移动的特权系统。
了解详细信息: