共用方式為

Microsoft Entra DORA 下的客戶考慮

  • 發行項

注意事項

這項資訊不是法律、財務或專業建議,不應視為法律需求的完整聲明,也不應視為符合法律需求的必要動作。 它僅供參考之用。

「數字營運復原法」 (DORA) 是由歐盟建立的法規架構,旨在強化金融服務部門的營運復原能力,進而強化資訊與通訊技術 (ICT) 風險的快速演進環境。 受規範的實體可以考慮將 Microsoft Entra 功能併入其架構、原則和計劃,以符合 DORA 下的特定需求。

雖然 Microsoft Entra ID 提供可協助滿足特定 DORA 需求,並提供新式身分識別和存取管理 (IAM) 功能的控件,但僅依賴 IAM 平臺並不足以保護財務實體數據。 請務必檢閱本文和所有 DORA 需求,以建立完整的數位作恢復計劃。 如需官方 DORA 資源,請造訪 歐洲保險與歐洲銀行官方網站

Microsoft Entra和 DORA

Microsoft Entra 是由 Microsoft Entra ID (先前的 Azure Active Directory) 和其他 Microsoft Entra 功能所組成,是一項企業身分識別服務,可協助保護應用程式、系統和資源,以支援 DORA 合規性工作。 Microsoft Entra ID 支援Microsoft企業供應專案,例如 Microsoft 365、Azure 和 Dynamics 365、改善整體安全性和身分識別保護,並可在符合 DORA 下更廣泛的 ICT 風險管理需求時扮演重要角色。

受規範的實體可以考慮將 Microsoft Entra 功能納入其架構、原則和計劃,以符合 DORA 下的特定需求:

  • ICT 風險管理架構
  • ICT 商務持續性原則
  • ICT 回應和復原計劃

上述每個專案可能包含財務實體必須實作的各種策略、原則、程式、ICT 通訊協定和工具。 上述清單不應視為詳盡。

此外,確保有效且審慎管理ICT風險的內部治理和控制架構,對於降低DORA尋求解決的風險至關重要。 如果透過使用 Microsoft Entra 控件來支援這類架構,則應該定期評估受支援工作負載的控件和其他風險降低措施,並特別注意對金融服務傳遞不可或缺的控制措施。

在 DORA 範圍內為客戶 Microsoft Entra 指引

Microsoft Entra 的地理分散式架構結合了廣泛的監視、自動化重新路由、故障轉移和復原功能,以提供持續的高可用性和效能。 Microsoft也會採取完整的安全性事件管理、供應商管理和弱點管理方法。

Microsoft Entra ID 功能可協助財務實體符合其 DORA 合規性義務。 下表概述Microsoft功能和服務供應專案,以及相關的指引,以及 DORA 文章的非運算式清單,以作為全方位數位作恢復計劃的一部分考慮。

下表中所參考的文章提供財務實體的指引,說明如何設定和運作 Microsoft Entra ID,以提升有效的身分識別和存取管理 (IAM) 最佳做法作為其 DORA 合規性義務的一部分。

注意事項

為了簡潔起見,我們已將ICT風險管理架構上的 RTS 和簡化的ICT風險管理架構 (參考。JC 2023 86) 稱為「ICT 風險管理架構上的 RTS」。

Microsoft功能、功能或服務供應專案 客戶考慮的指引 適用於客戶考慮的範例 DORA 文章
多個 Microsoft Entra ID 功能可讓組織在身分識別和存取管理中建立復原能力。 財務實體可以遵循下列文章中包含和參考的建議,增強受 Microsoft Entra ID 保護之系統中的復原能力:
 DORA Act:

  • 文章 7:ICT 系統、通訊協定和工具
Microsoft Entra 備份驗證系統 財務實體可以考慮 Microsoft Entra 備份驗證系統,這會在發生中斷時增加驗證復原能力。 財務實體可以採取步驟來協助確保使用者可以在發生中斷時使用備份驗證系統進行驗證,例如:
 DORA Act:
  • 文章 7:ICT 系統、通訊協定和工具
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
Microsoft Entra 連續存取評估 財務實體可以考慮使用持續存取評估 (CAE) ,這可讓 Microsoft Entra ID 發出存留期較長的令牌,同時讓應用程式能夠撤銷存取權,並強制只在需要時重新驗證。 此模式的凈結果是取得令牌的呼叫較少,這表示端對端流程更具復原性。

若要使用 CAE,服務和用戶端都必須具備 CAE 功能。 因此,財務實體可以考慮 這些實作步驟 來更新程序代碼,以使用已啟用 CAE 的 API、確保使用相容版本的 Microsoft Office 原生應用程式,並將重新驗證提示優化。		 DORA Act:
  • 文章 7:ICT 系統、通訊協定和工具
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
Microsoft 混合式驗證架構 選項 需要混合式驗證架構的財務實體可以考慮混合式驗證機制的復原能力,包括內部部署相依性和潛在失敗點。
  • Microsoft將 密碼哈希同步處理 (PHS) 視為最具復原性的混合式架構選項,因為其內部部署相依性僅適用於同步處理,而非用於驗證。 這表示用戶可以在 PHS 中斷時繼續向 Microsoft Entra ID 進行驗證。
  • 傳遞驗證 (PTA) 具有 Microsoft Entra PTA 代理程式形式的內部部署使用量。 這些代理程式必須可供使用者向 Microsoft Entra ID 進行驗證。
  • 同盟需要使用同盟服務,例如 Active Directory 同盟服務 (ADFS) 。 同盟在內部部署基礎結構上具有最高的相依性,因此驗證失敗點也更多。
  • 使用 PTA 或同盟的組織也可以考慮針對 認證外泄報告啟用 PHS,以及在發生內部部署中斷 (例如,因為勒索軟體攻擊) 時切換到使用雲端驗證的能力。
 DORA Act:
  • 文章 7:ICT 系統、通訊協定和工具
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
多個 Microsoft Entra ID 功能可讓組織強化其租使用者安全性狀態。 財務實體可以部署 重要的建議動作

  • 加強您的認證
  • 縮小受攻擊面區域
  • 自動化威脅回應
  • 利用雲端智慧
  • 啟用使用者自助服務
 DORA Act:

  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性
Microsoft Entra ID 中企業應用程式的單一登錄 (SSO) ,有助於確保認證原則、威脅偵測、稽核、記錄和其他功能的優點新增至這些應用程式。 財務實體可以將應用程式設定為使用 Microsoft Entra ID 作為其身分識別提供者,以便受益於認證原則、威脅偵測、稽核、記錄和其他功能,這些功能可協助您充分保護和監視應用程式。

請遵循 應用程式管理建議 ,協助確保應用程式受到保護、控管、監視和清除。		 DORA Act:

  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
  • 文章 18:ICT 相關事件和網路威脅的分類。


ICT 風險管理架構上的 RTS:
  • 文章 20:身分識別管理
Microsoft Entra ID 中的多重要素驗證需要兩種以上的驗證方法來提高安全性。 財務實體可以在 Microsoft Entra ID 中 (MFA) 實作多重要素驗證,以協助大幅降低未經授權存取的風險,並確保ICT系統的安全性:

  • Microsoft Entra ID 中的驗證方法包括強式防網路釣魚 MFA 方法,例如 Windows Hello、Passkeys (,包括 MICROSOFT Authenticator) 和憑證式驗證中的 FIDO2 安全性密鑰和裝置系結的通行密鑰。
  • Microsoft提供使用 認證管理來建置復原能力的選項,包括使用無密碼驗證方法的選項。
  • Microsoft Entra 租使用者中的安全性預設值可用來快速為所有用戶啟用 Microsoft Authenticator。
  • 條件式存取 概觀原則可用來更細微地控制需要 MFA 的事件或應用程式。
 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性
  • 文章 15:進一步統一 ICT 風險管理工具、方法、程序和原則

ICT 風險管理架構上的 RTS:
  • 文章 11:資料和系統安全性
  • 文章 21:存取控制
  • 文章 33:存取控制 簡 (架構)
Microsoft Entra ID 中的條件式存取是Microsoft的 零信任 原則引擎,會在強制執行原則決策時將來自各種來源的訊號納入考慮。 財務實體可以在條件式存取內為所有用戶實作下列控件:

我們也建議財務實體在條件式存取部署指引中檢閱並考慮 建議 的原則。

針對特殊許可權帳戶實作上述控件可視為重要需求,因為這些帳戶可能會嚴重影響 Microsoft Entra ID的安全性和運作。		 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性
  • 文章 15:進一步統一 ICT 風險管理工具、方法、程序和原則

ICT 風險管理架構上的 RTS:
  • 文章 11:資料和系統安全性
  • 文章 21:存取控制
  • 文章 22:與 ICT 相關的事件管理原則
  • 文章 23:異常活動的偵測和 ICT 相關事件偵測和回應的準則
  • 文章 33:存取控制 (簡化的架構)
Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一項服務,可讓您管理、控制及監視組織中重要資源的存取。 您可以針對特殊權限角色實作強固的安全性控制,以協助防止意外或惡意的 Microsoft Entra ID 可用性、設定錯誤和/或資料遺失:
  • 您可以採取步驟來保護 Microsoft Entra ID 中混合式和雲端部署的特殊許可權存取,包括開發並遵循藍圖來保護對網路攻擊者的特殊許可權存取。
  • 財務實體可以將所有特殊許可權角色設定為需要核准啟用,但 緊急存取帳戶除外。
  • PIM 可用來建立 Azure 資源和 Microsoft Entra ID 角色的特殊許可權存取權檢閱,以降低與過時角色指派相關的風險。
  • 已與 內部部署的 Active Directory 同步處理 Microsoft Entra ID 的財務實體可以遵循保護特殊許可權存取藍圖中的指引,包括但不限於為需要執行內部部署系統管理工作的使用者建立個別的系統管理員帳戶。
 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。

ICT 風險管理架構上的 RTS:
  • 文章 11:資料和系統安全性
  • 文章 21:存取控制
  • 文章 33:存取控制 (簡化的架構)
Microsoft Entra ID (RBAC) 提供角色型訪問控制,包括內建角色自定義角色 財務實體可以遵循最低許可權原則,限制存取合法和核准的函式和活動所需的專案,協助將安全性缺口的潛在影響降到最低。

作為最低許可權策略的一部分,建議財務實體遵循 Microsoft Entra 角色的最佳做法		 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。

ICT 風險管理架構上的 RTS:
  • 文章 11:資料和系統安全性
  • 文章 21:存取控制
  • 文章 33:存取控制 (簡化的架構)
Microsoft Entra ID 中的受保護動作是已指派條件式存取原則的許可權。 當使用者嘗試執行受保護的動作時,他們必須先滿足指派給必要許可權 的條件式存取 原則。 若要協助增加受保護動作範圍內的系統管理動作數目,並降低租使用者鎖定的風險,請遵循 Microsoft Entra ID 中受保護動作的最佳做法

若要協助 防止意外或惡意地 從回收站刪除某些虛刪除的目錄物件和永久數據遺失,您可以為下列許可權新增受保護的動作:Microsoft.directory/deletedItems/delete

此刪除適用於使用者、Microsoft 365 群組和應用程式。		 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。

ICT 風險管理架構上的 RTS:
  • 文章 11:資料和系統安全性
  • 文章 21:存取控制
  • 文章 33:存取控制 (簡化的架構)
Microsoft Entra ID 支援許多用於記憶體或分析的活動記錄整合選項,以協助達成疑難解答、長期儲存或監視目標。 財務實體可以選取並實作活動記錄整合方法,以啟用持續分析和監視,以及足夠的數據保留期間:
  • 將 Microsoft Entra ID 稽核記錄和登入記錄傳送至 Microsoft Sentinel 可為您的安全性作業中心提供近乎即時的安全性偵測和威脅搜捕,進而主動識別可能會危害系統的潛在威脅
  • Microsoft Entra 活動記錄的診斷設定可用來根據財務實體所使用的功能來選取相關的記錄和目的地詳細數據
  • 您可以在 Microsoft Entra 安全性作業指南中找到稽核類別和建議動作的完整清單
 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
  • 文章 18:ICT 相關事件和網路威脅的分類
  • 文章 19:報告重大 ICT 相關事件和重大網路威脅的自願通知

ICT 風險管理架構上的 RTS:
  • 文章 12:記錄
  • 文章 21:存取控制
  • 文章 22:與 ICT 相關的事件管理原則
  • 文章 23:異常活動的偵測和 ICT 相關事件偵測和回應的準則
  • 文章 33:存取控制 (簡化的架構)
Microsoft身分識別安全分數 會指出組織與特定安全性Microsoft建議的一致性。 財務實體可以定期檢閱Microsoft身分識別安全分數,以測量和追蹤身分識別安全性狀態,並規劃身分識別安全性改善。

Microsoft也提供許多服務,例如Microsoft 零信任 研討會,可協助組織評估其 Microsoft Entra 租使用者安全性狀態,如本表的其他位置所述。		 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。

ICT 風險管理架構上的 RTS:
  • 文章 34:ICT 作業安全性
Microsoft Entra 建議功能可透過監視和電子郵件警示,協助確保租用戶的安全性和健康情況。 財務實體可以定期檢查 Microsoft Entra 建議,以確保對任何新建議的認知,因為這些建議有助於找出實作最佳做法的機會,並將 Microsoft Entra ID 相關功能的設定優化。 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。

ICT 風險管理架構上的 RTS:
  • 文章 34:ICT 作業安全性
適用於 Microsoft Entra ID 的 Azure 活頁簿提供租用戶數據的視覺化表示法,可讓您針對許多身分識別管理案例進行查詢和視覺效果。 財務實體可以在 Microsoft Entra ID 中選取並定期檢閱活頁簿範本,以協助監視相關 Microsoft Entra ID 使用案例的安全性和運作。

作為目前 Microsoft Entra 可協助的公用活頁簿範例:
  • 條件式存取間距分析器可協助確保資源在 Microsoft Entra ID 中受到條件式存取的適當保護
  • 敏感性作業報告活頁簿旨在協助識別可能表示您環境中遭到入侵的可疑應用程式和服務主體活動
 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性
  • 文章 17:與 ICT 相關的事件管理程式
Microsoft圖形提供以 API 為基礎的存取 Microsoft Entra ID,以及一些Microsoft 365 服務。 為了協助減少應用程式的攻擊面和安全性缺口的影響,財務實體可以在建置、指派存取權及稽核 Microsoft 身分識別平台 整合式應用程式時,遵循最低許可權的原則 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性

ICT 風險管理架構上的 RTS:
  • 文章 12:記錄文章 21:存取控制
  • 文章 33:存取控制 (簡化的架構)
Microsoft365DSC 可啟用自動化租用戶設定管理。 Microsoft365DSC 支援特定 Microsoft Entra ID 組態。 若要記錄特定 Microsoft Entra ID 組態設定並追蹤變更,財務實體可以考慮自動化設定管理工具,例如 Microsoft365DSC。

對於任何無法透過 API 使用的組態設定,可能需要手動檔。		 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性
Microsoft Entra ID Protection 可協助組織偵測、調查及補救身分識別型風險。 為了協助偵測、調查及補救身分識別型風險 (包括異常活動) ,財務實體可以考慮 Microsoft Entra ID Protection 等服務。

部署 Microsoft Entra ID Protection 的財務實體可以整合服務與 Microsoft Entra ID 中的條件式存取,以進行自動化補救,以及 SIEM (安全性資訊和事件管理) 工具,例如 Microsoft Sentinel 封存、進一步調查和相關。 人類和 工作負載身分識別 都可以在這些保護範圍內。

我們建議使用企業防禦工具來協調偵測、預防、調查和回應。 例如,Microsoft Defender 全面偵測回應 可協助安全性小組使用來自其他Microsoft安全性產品的信息來保護和偵測其組織,包括 Microsoft Entra ID Protection。		 DORA Act:
  • 文章 10:偵測
  • 文章 15:進一步統一 ICT 風險管理工具、方法、程序和原則
  • 文章 17:與 ICT 相關的事件管理程式

ICT 風險管理架構上的 RTS:
  • 文章 22:與 ICT 相關的事件管理原則
  • 文章 23:異常活動的偵測和 ICT 相關事件偵測和回應的準則
Microsoft Entra ID 復原功能,包括許多不同資源類型的虛刪除和Microsoft圖形 API (範例:條件式存取圖形 API) 。 財務實體可以將 復原能力最佳做法 納入復原程式和ICT商務持續性測試, (或類似的活動) ,包括但不限於:
  • Microsoft圖形 API 可用來定期匯出支援的 Microsoft Entra ID 組態的目前狀態。 M365DSC 提供可協助達成此目的的架構。
  • 稽核記錄和 Azure 活頁簿可用來監視租用戶 設定錯誤
  • 您可以在測試租用戶中針對特定物件類型,以及對應的通訊程式,從 Microsoft Entra ID的刪除中復原的程式。
  • 條件式存取圖形 API 可用來管理程式碼之類的原則。
  • 復原程式可以使用最低許可權的方法以及 PIM Just-In-Time 許可權提升來執行,以降低與硬式對象刪除等工作相關聯的風險。
  • 針對事件回應劇本和復原案例,財務實體可以檢閱並採用Microsoft 事件回應劇本

上述步驟的頻率可由財務實體根據 Microsoft Entra ID 內保留的資訊重要性來決定,並考慮 DORA 所指定的任何時間範圍。		 DORA Act:
  • 文章 11:回應和復原
  • 文章 12:備份原則和程式、還原,以及復原程式和方法

ICT 風險管理架構上的 RTS:
  • 文章 25:測試 ICT 商務持續性計劃
  • 文章 26:ICT 回應和復原計劃
Microsoft資源,提供與弱點、網路威脅、ICT 相關事件和安全性相關產品功能相關的資訊和訓練資源。 財務實體可以定期檢閱、追蹤和處理Microsoft所提供的這些資源,這些資源可能包括下列弱點和網路威脅:

財務實體可以開發ICT安全性意識,併入 Microsoft Entra ID 相關人員的訓練,其中可能包括:

請注意,上述部分資源涵蓋各種Microsoft安全性產品和技術。 它們不限於 Microsoft Entra。		 DORA Act:
  • 文章 13:學習和演進
  • 文章 25:ICT 工具和系統的測試

ICT 風險管理架構上的 RTS:
  • 文章 3:ICT 風險管理
  • 文章 10:弱點和修補程式管理
Microsoft Entra ID 控管 是一種身分識別控管解決方案,可讓組織提升生產力、加強安全性,並更輕鬆地符合合規性和法規需求。 財務實體可以考慮部署身分識別治理解決方案,以控制存取管理許可權。 Microsoft Entra ID 控管 包含下列功能,可協助將最低許可權原則套用至受 Microsoft Entra ID 保護的資源:
  • 權利管理 可讓存取要求工作流程、存取指派、檢閱和到期自動化。 此外,也支持職責區分檢查,以防止配置訪問許可權組合,讓控件可以略過。
  • Microsoft Entra ID 中的存取權檢閱可讓您定期管理資源存取生命週期。
  • 生命週期工作流程 可讓您跨聯結者、移動程式和離職者案例自動化生命週期程式。 這可能包括撤銷訪問許可權。
  • Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一項服務,可讓您管理、控制及監視組織中重要資源的存取。
  • 在身分識別控管功能中管理的最低特殊許可權角色
 DORA Act:
  • 文章 9:保護和防止 ICT 風險,同時確保財務實體作業的復原能力和安全性。
  • 文章 15:進一步統一 ICT 風險管理工具、方法、程序和原則

ICT 風險管理架構上的 RTS:
  • 文章 20:身分識別管理
  • 文章 21:存取控制
  • 文章 33:存取控制 (簡化的架構)
Microsoft提供 Microsoft Entra ID 安全性作業和事件回應相關指引的資源。 財務實體可以檢閱並考慮將 Microsoft Entra ID 安全性作業和事件回應指引運作,包括但不限於:
 DORA Act:
  • 文章 17:與 ICT 相關的事件管理程式
提供與 (相關且可能與) Microsoft Entra ID 可用性相關信息的資源 財務實體可以定期檢閱、追蹤及考慮這些文章和網站中包含的資訊:

請注意,上述部分資源涵蓋各種Microsoft安全性產品和技術。 它們不限於 Microsoft Entra。		 DORA Act:
  • 文章 18:ICT 相關事件和網路威脅的分類
  • 文章 19:報告重大 ICT 相關事件和重大網路威脅的自願通知

ICT 風險管理架構上的 RTS:
  • 文章 10:弱點和修補程式管理
Microsoft服務供應專案,可協助組織評估其 Microsoft Entra 租使用者安全性狀態,作為數位作復原測試的一部分 財務實體所部署的數位作業復原測試計劃可能包含許多評定、工具和方法,包括但不限於:
  • Microsoft Entra ID 隨選評定,可分析並提供 Microsoft Entra ID 和相關元件的身分識別和存取管理 (IAM) 指引。
  • Microsoft 零信任 研討會是完整的技術指南,可協助客戶和合作夥伴採用 零信任 策略,並部署端對端的安全性解決方案來保護其組織。

財務實體可以定期執行這類評量,頻率符合目前的 DORA 需求。		 DORA Act:
  • 文章 24:數位作業復原測試效能的一般需求
  • 文章 25:ICT 工具和系統的測試
提供與 Microsoft Entra 變更相關信息的資源 財務實體可以定期追蹤並考慮下列文章和網站中包含的資訊。 例如,財務實體所採取的動作可能包括回歸測試,以及數位作業復原相關程序和測試的更新。
  • Microsoft 365 訊息中心 可用來追蹤即將推出的變更,包括新功能和變更的功能、計劃性維護,以及其他重要的公告
  • (預覽) 的新功能可用來追蹤 Microsoft Entra 系統管理中心 中的 Microsoft Entra ID 變更
 DORA Act:
  • 文章 25:ICT 工具和系統的測試

ICT 風險管理架構上的 RTS:
  • 文章 16:ICT 系統取得、開發和維護
  • 文章 17:ICT 變更管理
  • 文章 34 – ICT 作業安全性
提供滲透測試和 Microsoft Entra ID 相關信息的資源 想要對其Microsoft Cloud 執行滲透測試的財務實體,可能會考慮本文所列的參與規則:

財務實體可以在這份歐洲監督機關 (ESA) 報告的內容中考慮上述參與規則:
  • JC 2024 29:D ORA 第 26 條下有關威脅導向滲透測試的 DORA RTS 最終報告 (TLPT) 。
 DORA Act:
  • 文章 25:ICT 工具和系統的測試
  • 文章 26:根據 TLPT 進階測試 ICT 工具、系統和程式
  • 文章 27:測試人員執行 TLPT 的需求

ICT 風險管理架構上的 RTS:
  • 文章 25:測試 ICT 商務持續性計劃
  • 文章 26:ICT 回應和復原計劃
在 Microsoft Entra ID 傳輸數據時,與加密和密碼編譯控件的啟用、強制執行和管理相關的資源。 基於安全性理由,Microsoft Entra ID 很快就會停止支援 TLS 1.2 之前的傳輸層安全性 (TLS) 通訊協定和加密,並推出 TLS 1.3 的支援。

財務實體可能會考慮下列步驟,以協助確保適當加密和密碼編譯控件的使用和管理:
  • 在與 Microsoft Entra ID 通訊的用戶端和一般伺服器角色上啟用TLS 1.2
  • Microsoft Entra 適用應用程式和/或應用程式註冊的SAML令牌加密
  • Microsoft Entra 建議可用來從應用程式中移除未使用的認證,以及更新到期的應用程式認證 (包括憑證) 。
 ICT 風險管理架構上的 RTS:
  • 文章 6:加密和密碼編譯控件
  • 文章 7:密碼編譯密鑰管理
  • 文章 14:保護傳輸中的資訊

ICT 風險管理架構上的 RTS:
  • 文章 6:加密和密碼編譯控件
  • 文章 7:密碼編譯密鑰管理
  • 文章 14:保護傳輸中的資訊
  • 文章 35:數據、系統和網路安全性
與 Microsoft Entra ID 容量和效能特性相關的資源 財務實體可能會考慮檢閱並追蹤下列檔,以瞭解特定 Microsoft Entra ID 容量和效能特性:
 ICT 風險管理架構上的 RTS:
  • 文章 9:容量和效能管理

ICT 風險管理架構上的 RTS:
  • 文章 34:ICT 作業安全性
全域安全存取Microsoft安全性服務Microsoft Edge (SSE) 解決方案 金融服務可以實作控件,以使用全域安全存取來保護對公用因特網和專用網的存取 ICT 風險管理架構上的 RTS:
  • 文章 13:網路安全性管理
  • 文章 14:保護傳輸中的資訊
  • 文章 35:數據、系統和網路安全性
與取得、開發和維護應用程式相關的資源 金融服務可能會在取得或建置新應用程式時包含下列層面:
 ICT 風險管理架構上的 RTS:
  • 文章 16 ICT 系統取得、開發和維護
  • 文章 37:簡化架構 (ICT 系統取得、開發和維護)

資源