設定 Microsoft Entra ID 以符合 CMMC 層級 2
Microsoft Entra ID 可協助符合每個網路安全成熟度模型認證 (CMMC) 層級中的身分識別相關實務需求。 為了符合 CMMC V2.0 層級 2 中的需求,由公司負責執行工作,並代表美國國防部 (DoD) 完成其他設定或流程。
在 CMMC 層級 2 中,有 13 個網域具有一個或多個與身分識別相關的做法:
- 存取控制 (AC)
- 稽核和權責 (AU)
- 組態管理 (CM)
- 識別與驗證 (IA)
- 事件回應 (IR)
- 維護 (MA)
- 媒體保護 (MP)
- 人員安全性 (PS)
- 實體保護 (PE)
- 風險評估 (RA)
- 安全性評估 (CA)
- 系統與通訊保護 (SC)
- 系統與資訊完整性 (SI)
本文其餘部分為除存取控制 (AC) 和識別與驗證 (IA) 以外的所有網域提供指引,存取控制 (AC) 和識別與驗證 (IA) 網域之指引涵蓋於其他文章中。 對於每個網域,都有一個包含內容連結的資料表,可提供完成實作的逐步指引。
稽核和權責
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| AU.L2-3.3.1 實務聲明:建立並保留系統稽核記錄檔和記錄,以監視、分析、調查及報告非法或未經授權的系統活動。 目標: 判斷是否: [a.] 已指定稽核記錄檔 (例如要記錄的事件類型),以便監視、分析、調查及和報告非法或未經授權的系統活動; [b.] 已定義所需稽核記錄內容,以支援監視、分析、調查及報告非法或未經授權的系統活動; [c.] 已建立 (產生) 稽核記錄; [d.] 稽核記錄一旦建立,就會包含定義的內容; [e.] 已定義稽核記錄的保留需求;以及 [f.] 稽核記錄會保留為已定義。 AU.L2-3.3.2 實務聲明:確保那些使用者能以獨特的方式追蹤個別系統使用者的動作,如此一來,他們就能對其動作負責。 目標: 判斷是否: [a.] 已定義支援唯一追蹤使用者對其動作能力所需的稽核記錄內容;以及 [b.] 稽核記錄一旦建立,就會包含定義的內容。 |
所有作業都會在 Microsoft Entra 稽核記錄內進行稽核。 每個稽核記錄項目都包含使用者不可變的 objectID,可用來唯一追蹤個別系統使用者的每個動作。 您可以使用安全性資訊與事件管理 (SIEM) 解決方案 (例如 Microsoft Sentinel) 來收集和分析記錄。 或者,您可以使用 Azure 事件中樞來整合記錄與協力廠商 SIEM 解決方案,以啟用監視和通知。 在 Azure 入口網站中對活動報告進行稽核 將 Microsoft Entra 資料連線至 Microsoft Sentinel 教學課程:將記錄串流到 Azure 事件中樞 |
| AU.L2-3.3.4 實務聲明:稽核記錄程序失敗時發出警示。 目標: 判斷是否: [a.] 識別稽核記錄程式失敗時要警示的人員或角色; [b.] 已定義會產生警示的稽核記錄流程失敗類型;以及 [c] 識別的人員或角色會在稽核記錄程序失敗時收到警示。 |
Azure 服務健康狀態會通知您 Azure 服務事件,以便採取動作來減輕停機時間。 為 Microsoft Entra ID 設定可自訂的雲端警示。 謂 Azure 服務健康情況? 取得 Azure 服務問題通知的三種方式 Azure 服務健康狀態 |
| AU.L2-3.3.6 實務聲明:提供稽核記錄縮減和報告產生,以支援隨需分析和報告。 目標: 判斷是否: [a.] 提供支援隨選分析的稽核記錄縮減功能;以及 [b.] 提供支援隨選報告的報告產生功能。 |
請確定 Microsoft Entra 事件包含在事件記錄策略中。 您可以使用安全性資訊與事件管理 (SIEM) 解決方案 (例如 Microsoft Sentinel) 來收集和分析記錄。 或者,您可以使用 Azure 事件中樞來整合記錄與協力廠商 SIEM 解決方案,以啟用監視和通知。 使用 Microsoft Entra 權利管理搭配存取權檢閱,以確保帳戶的合規性狀態。 在 Azure 入口網站中對活動報告進行稽核 將 Microsoft Entra 資料連線至 Microsoft Sentinel 教學課程:將記錄串流到 Azure 事件中樞 |
| AU.L2-3.3.8 實務聲明:保護稽核資訊和稽核記錄工具,防止未經授權的存取、修改和刪除。 目標: 判斷是否: [a.] 稽核資訊受到保護,免於未經授權的存取; [b.] 稽核資訊受到保護,免於未經授權的修改; [c.] 稽核資訊受到保護,免於未經授權的刪除; [d.] 稽核記錄工具受到保護,免於未經授權的存取; [e.] 稽核記錄工具受到保護,免於未經授權的修改;以及 [f.] 稽核記錄工具受到保護,免於未經授權的刪除。 AU.L2-3.3.9 實務聲明:將稽核記錄功能的管理限定於一部分具特殊權限的使用者。 目標: 判斷是否: [a.] 已定義授予管理稽核記錄功能權限的特殊權限使用者子集;以及 [b.] 稽核記錄功能的管理僅限於特殊權限使用者的已定義子集。 |
Microsoft Entra 記錄預設會保留 30 天。 這些記錄無法修改或刪除,而且只能存取一組有限的特殊權限角色。 Microsoft Entra ID 中的登入記錄 在 Microsoft Entra ID 中稽核記錄 |
組態管理 (CM)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| CM.L2-3.4.2 實務聲明:建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 目標: 判斷是否: [a.] 系統採用之資訊技術產品的安全性組態設定會建立並包含在基準組態中:和 [b.] 系統會強制執行系統中採用之資訊技術產品安全性組態設定。 |
採用零信任的安全性狀態。 使用條件式存取原則來限制存取符合規範的裝置。 在裝置上設定原則設定,以使用 MDM 解決方案 (例如 Microsoft Intune) 在裝置上強制執行安全性組態設定。 Microsoft Configuration Manager 或群組原則物件也可以在混合式部署中考慮,並且與條件式存取結合需要 Microsoft Entra 混合式聯結裝置。 零信任 使用零信任保護身分識別 條件式存取 什麼是 Microsoft Entra ID 中的條件式存取? 條件式存取原則中的授與控制項 裝置原則 什麼是 Microsoft Intune? 什麼是適用於雲端的 Defender 應用程式? Microsoft Intune 中的應用程式管理是什麼? Microsoft 端點管理解決方案 |
| CM.L2-3.4.5 實務聲明:定義、記錄、核准及強制執行與組織系統的變更相關聯的實體和邏輯存取限制。 目標: 判斷是否: [a.] 已定義與系統變更相關聯的實體存取限制; [b.] 已記錄與系統變更相關聯的實體存取限制; [c.] 已核准與系統變更相關聯的實體存取限制; [d.] 已強制執行與系統變更相關聯的實體存取限制; [e.] 已定義與系統變更相關聯的邏輯存取限制; [f.] 已記錄與系統變更相關聯的邏輯存取限制; [g.] 已核准與系統變更相關聯的邏輯存取限制;以及 [h.] 已強制執行與系統變更相關聯的邏輯存取限制。 |
Microsoft Entra ID 是雲端式身分識別和存取管理服務。 客戶無法實體存取 Microsoft Entra 資料中心。 因此,每個實體存取限制都由 Microsoft 滿足需求,並由 Microsoft Entra ID 的客戶繼承。 實作 Microsoft Entra 角色型存取控制。 消除常設特殊權限存取,使用 Privileged Identity Management 提供 Just-In-Time 存取和核准工作流程。 Microsoft Entra 角色型存取控制 (RBAC) 的概觀 什麼是 Privileged Identity Management? 在 PIM 中核准或拒絕 Microsoft Entra 的要求 |
| CM.L2-3.4.6 實務聲明:將組織系統設為只提供基本功能,即可採用最少功能的原則。 目標: 判斷是否: [a.] 基本系統功能是根據最少功能的原則來定義;以及 [b.] 系統會設定為只提供定義的基本功能。 |
設定裝置管理解決方案 (例如 Microsoft Intune),以實作套用至組織系統的自訂安全性基準,以移除非基本應用程式並停用非必要服務。 只保留系統有效運作所需的最少功能。 設定條件式存取,以限制對相容或 Microsoft Entra 混合式聯結裝置的存取。 什麼是 Microsoft Intune [裝置需要標記為合規] 在條件式存取原則中授與控制項 - 需要 Microsoft Entra 混合式聯結裝置 |
| CM.L2-3.4.7 實務聲明:限制、停用或防止使用非基本的程式、函式、連接埠、通訊協定和服務。 目標: 判斷是否: [a.]基本程序已定義; [b.] 已定義非基本程式的使用; [c.] 根據定義以限制、停用或防止非基本程式之使用; [d.] 已定義基本函式; [e.] 已定義非基本函式的使用; [f.] 根據定義以限制、停用或防止非基本函式之使用; [g.] 已定義基本連接埠; [h.] 已定義非基本連接埠的使用; [i.] 根據定義以限制、停用或防止非基本連接埠之使用; [j.] 已定義基本通訊協定; [k.] 已定義非基本通訊協定的使用; [l.] 根據定義以限制、停用或防止非基本通訊協定之使用; [m.] 已定義基本服務; [n.] 已定義使用非基本服務;以及 [o.] 根據定義以限制、停用或防止非基本服務之使用。 |
使用應用程式管理員角色來委派基本應用程式的授權使用。 使用應用程式角色或群組宣告來管理應用程式內的最低權限存取權。 設定使用者同意以要求系統管理員核准,且不允許群組擁有者同意。 設定管理員同意要求工作流程,讓使用者要求存取需要管理員同意的應用程式。 使用 Microsoft Defender for Cloud Apps 來識別未經核准/未知的應用程式使用。 使用此遙測來判斷基本/非基本應用程式。 Microsoft Entra 內建角色 - 應用程式管理員 Microsoft Entra 應用程式角色 - 應用程式角色與群組 設定使用者同意應用程式的方式 設定群組擁有者同意存取群組資料的應用程式 設定管理員同意工作流程 什麼是適用於雲端的 Defender 應用程式? 探索和管理影子 IT 教學課程 |
| CM.L2-3.4.8 實務聲明:套用拒絕例外 (列入封鎖清單) 原則,以防止使用未經授權的軟體,或是全部拒絕、允許例外 (列入允許清單) 原則,以允許執行獲授權的軟體。 目標: 判斷是否: [a.] 已指定是否要實作允許清單或封鎖清單的原則; [b.] 已指定在允許清單下可以執行或封鎖清單下拒絕使用的軟體;以及 [c.] 依指定實施允許執行授權軟體的允許清單,或阻止使用未授權軟體的封鎖清單。 CM.L2-3.4.9 實務聲明:控制及監視使用者安裝的軟體。 目標: 判斷是否: [a.] 已建立由使用者控制軟體安裝的原則; [b.] 使用者的軟體安裝是根據已建立的原則所控制;以及 [c.] 使用者安裝軟體時會受到監視。 |
設定 MDM/組態管理原則,以防止使用未經授權的軟體。 設定條件式存取授權控制項,以要求符合規範或混合式聯結的裝置,將符合 MDM/組態管理原則的裝置合規性納入條件式存取授權決策中。 什麼是 Microsoft Intune 條件式存取 - 需要符合規範或已聯結混合式裝置 |
事件回應 (IR)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| IR.L2-3.6.1 實務聲明:為組織性系統建立作業事件處理功能,包括準備、偵測、分析、內含項目、復原及使用者回應活動。 目標: 判斷是否: [a.] 已建立作業事件處理功能; [b.] 作業事件處理功能包括準備; [c.] 作業事件處理功能包括偵測; [d.] 作業事件處理功能包括分析; [e.] 作業事件處理功能包括內含項目; [f.] 作業事件處理功能包括復原;以及 [g.] 作業事件處理功能包括使用者回應活動。 |
實作事件處理和監視功能。 稽核記錄會記錄所有設定變更。 驗證和授權事件都會在登入記錄檔內進行稽核,並在 Microsoft Entra ID Protection 記錄中稽核任何偵測到的風險。 您可以將這些記錄檔直接串流至 SIEM 方案,例如 Microsoft Sentinel。 或者,使用 Azure 事件中樞將記錄與協力廠商 SIEM 解決方案整合。 稽核事件 在 Azure 入口網站中對活動報告進行稽核 Azure 入口網站中的登入活動報告 How To:調查風險 SIEM 整合 Microsoft Sentinel:將資料從 Microsoft Entra ID串流至 Azure 事件中樞和其他 SIEM |
維護 (MA)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| MA.L2-3.7.5 實務聲明:需要多重要素驗證,才能透過外部網路連線建立非本機的維護工作階段,並且在非本機維護完成時終止此類連線。 目標: 判斷是否: [a.] 多重要素驗證可用來透過外部網路連線建立非本機維護工作階段;以及 [b.] 當非本機維護工作階段完成時,會終止透過外部網路連線建立的非本機維護工作階段。 |
指派系統管理權限的帳戶 (包括用於建立非本機維護工作階段的帳戶) 是攻擊者的目標。 在這些帳戶上 (MFA) 要求多重要素驗證,是降低這些帳戶遭到入侵風險的簡單方法。 條件式存取 - 要求管理員都使用 MFA |
| MP.L2-3.8.7 實務聲明:控制系統元件上的卸除式媒體使用。 目標: 判斷是否: [a.] 系統會控制在系統元件上使用抽取式媒體。 |
透過 MDM (例如 Microsoft Intune)、Configuration Manager 或組策略物件 (GPO) 設定裝置管理原則來控制系統上的抽取式媒體使用。 使用 Intune、Configuration Manager 或群組原則部署和管理抽取式存放裝置存取控制。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 Intune 在 Microsoft Intune 中的裝置合規性原則 抽取式存放裝置存取控制 使用 Intune 部署和管理抽取式存放裝置存取控制 使用群組原則部署和管理抽取式存放裝置存取控制 |
人員安全性 (PS)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| PS.L2-3.9.2 實務聲明:確定包含 CUI 的組織系統在人員動作 (例如終止或轉換) 期間及之後都受到保護。 目標: 判斷是否: [a.] 已建立終止系統存取的原則和/或程式,以及與人員動作一致的任何認證; [b.] 系統存取和憑證的終止與人員行為 (如終止或轉移) 一致;以及 [c] 系統會在人員轉移動作期間和之後受到保護。 |
在來自外部 HR 系統的 Microsoft Entra ID 帳戶、內部部署 Active Directory,或直接在雲端中設定佈建 (包括終止時的停用)。 撤銷現有的工作階段,以終止所有系統存取。 帳戶佈建 什麼是使用 Microsoft Entra ID 的身分識別佈建? Microsoft Entra Connect 同步:了解和自訂同步處理 什麼是 Microsoft Entra Connect 雲端同步? 撤銷所有相關聯的驗證器 撤銷 Microsoft Entra ID 中緊急的使用者存取權 |
系統與通訊保護 (SC)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| SC.L2-3.13.3 實務聲明:將使用者功能與系統管理功能加以區分。 目標: 判斷是否: [a.] 已識別使用者功能; [b.] 系統管理功能已識別;以及 [c.] 使用者功能與系統管理功能會分開。 |
針對日常生產力使用和系統/特殊權限管理,在 Microsoft Entra ID 中維護個別的使用者帳戶。 特殊權限帳戶應該是僅限雲端或受控帳戶,而不是從內部部署同步處理,以保護雲端環境免於內部部署入侵。 系統/特殊權限存取只能從安全性強化的特殊權限存取工作站 (PAW) 中允許。 設定條件式存取裝置篩選器,以限制從使用 Azure 虛擬桌面啟用的 PAW 存取系統管理應用程式。 為什麼特殊權限存取裝置很重要 裝置角色和設定檔 在條件式存取原則中篩選裝置作為條件 Azure 虛擬桌面 |
| SC.L2-3.13.4 實務聲明:防止透過共用系統資源進行未經授權和意外的資訊傳輸。 目標: 判斷是否: [a.] 已防止透過共用系統資源進行未經授權和意外的資訊傳輸。 |
透過 MDM (例如 Microsoft Intune)、Configuration Manager 或群組原則物件 (GPO) 設定裝置管理原則,以確保裝置符合系統強化程序。 包含軟體修補程式有關的公司原則合規性,以防止攻擊者惡意探索缺陷。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 InTune 在 Microsoft Intune 中的裝置合規性原則 |
| SC.L2-3.13.13 實務聲明:控制及監視行動程式碼的使用。 目標: 判斷是否: [a.] 控制行動程式碼的使用;以及 [b.] 已監視行動程式碼的使用。 |
透過 MDM (例如 Microsoft Intune)、Configuration Manager 或群組原則物件 (GPO) 設定裝置管理原則來停用行動程式碼。 在需要使用行動程式碼的地方,請使用端點安全性工具 (如適用於端點的 Microsoft Defender ) 進行監視。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 InTune 在 Microsoft Intune 中的裝置合規性原則 適用於端點的 Defender 適用於端點的 Microsoft Defender |
系統與資訊完整性 (SI)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 來符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| SI.L2-3.14.7 實務聲明: 目標: 識別組織性系統未經授權的使用。 判斷是否: [a.] 系統已定義系統的授權使用;以及 [b.] 系統會識別未經授權的系統使用。 |
整合遙測:將 Microsoft Entra 記錄串流到 SIEM,例如 Azure Sentinel 透過 MDM (如 Microsoft Intune)、Configuration Manager 或群組原則物件 (GPO) 對裝置管理原則進行設定,以要求安裝並使用入侵檢測/保護 (IDS/IPS),例如適用於端點的 Microsoft Defender。 使用 IDS/IPS 所提供的遙測,來識別與輸入和輸出通訊流量或未經授權使用相關的異常活動或狀況。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 InTune 在 Microsoft Intune 中的裝置合規性原則 適用於端點的 Defender 適用於端點的 Microsoft Defender |