設定 CMMC 層級 2 身分識別和驗證控制項
Microsoft Entra ID 可協助您符合每個網路安全成熟度模型認證 (CMMC) 層級中的身分識別相關實務需求。 為了完成其他設定或流程,以便符合 CMMC V2.0 層級 2 需求,由公司負責執行工作,並代表美國國防部 (DoD)。
CMMC 層級 2 有 13 個網域具有一或多個與身分識別相關的做法。 網域如下:
- 存取控制 (AC)
- 稽核和權責 (AU)
- 組態管理 (CM)
- 識別與驗證 (IA)
- 事件回應 (IR)
- 維護 (MA)
- 媒體保護 (MP)
- 人員安全性 (PS)
- 實體保護 (PE)
- 風險評估 (RA)
- 安全性評估 (CA)
- 系統與通訊保護 (SC)
- 系統與資訊完整性 (SI)
本文的其餘部分提供識別與授權 (IA) 網域的指導。 有一個包含內容連結的資料表,可提供完成實作的逐步指引。
識別與驗證
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| IA.L2-3.5.3 實務聲明:針對本機和網路存取特殊權限帳戶以及對網路存取非特殊權限帳戶使用多重要素驗證。 目標: 判斷是否: [a.] 識別具特殊權限的帳戶; [b.] 對於特殊權限帳戶的本機存取實作多重要素驗證; [c.] 對於特殊權限帳戶的網路存取實作多重要素驗證;以及 [d.] 對於非特殊權限帳戶的網路存取實作多重要素驗證。 |
對於此控制區域所用的詞彙,下列項目是這些詞彙的定義: 細分先前的需求表示: 您必須負責設定條件式存取,以便要求多重要素驗證。 啟用符合 AAL2 和更新版本的 Microsoft Entra 驗證方法。 條件式存取原則中的授與控制項 使用 Microsoft Entra ID 達到 NIST 驗證器保證等級 驗證方法和功能 |
| IA.L2-3.5.4 實務聲明:針對特殊權限和非特殊權限帳戶的網路存取,採用防重新執行驗證機制。 目標: 判斷是否: [a.] 針對特殊權限和非特殊權限帳戶的網路帳戶存取,實作防重新執行驗證機制。 |
AAL2 和更新版本的全部Microsoft Entra 驗證方法都具有重新執行能力。 使用 Microsoft Entra ID 達到 NIST 驗證器保證等級 |
| IA.L2-3.5.5 實務聲明:防止在定義的期間重複使用識別碼。 目標: 判斷是否: [a.] 定義無法重複使用識別碼的期間;以及 [b.] 在定義的期間內,會防止重複使用識別碼。 |
全部使用者、群組、裝置物件全域唯一識別碼 (GUID) 保證在 Microsoft Entra 租用戶的存留期內是唯一且不可重複使用。 使用者資源類型:Microsoft Graph v1.0 群組資源類型:Microsoft Graph v1.0 裝置資源類型:Microsoft Graph v1.0 |
| IA.L2-3.5.6 實務聲明:在定義的無活動期間之後停用識別碼。 目標: 判斷是否: [a.] 定義識別碼停用之前的閒置期間;以及 [b.] 在定義的無活動期間之後停用識別碼。 |
使用 Microsoft Graph 和 Microsoft Graph PowerShell SDK 實作帳戶管理自動化。 使用 Microsoft Graph 來監視登入活動,以及使用 Microsoft Graph PowerShell SDK 在所需的時間範圍內對帳戶採取動作。 判斷是否閒置 管理 Microsoft Entra ID 中的非使用中使用者帳戶 在 Microsoft Entra ID 中管理過時的裝置 移除或停用帳戶 使用 Microsoft Graph 中的使用者 取得使用者 更新使用者 刪除使用者 使用 Microsoft Graph 中的裝置 取得裝置 更新裝置 刪除裝置 使用 Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA.L2-3.5.7 實務聲明: 目標:在建立新密碼時,強制執行最小的密碼複雜性和字元變更。 判斷是否: [a.] 定義密碼複雜度需求; [b.] 定義字元需求的密碼變更; [c.] 建立新密碼時,會強制執行所定義的最小密碼複雜度要求;以及 [d.] 建立新密碼時,會強制執行所定義的字元需求最小密碼變更。 IA.L2-3.5.8 實務聲明:禁止重複使用密碼達指定數量的層代。 目標: 判斷是否: [a.] 指定無法重複使用密碼的世代數目;以及 [b.] 在指定的世代數目期間,禁止重複使用密碼。 |
我們強烈鼓勵採用無密碼策略。 此控制項僅適用於密碼驗證器,因此若將密碼視為可用驗證器並將之移除,會讓此控制項變為不適用。 每個 NIST SP 800-63B 第5.1.1 節:維護常用、預期或遭盜用的密碼清單。 使用 Microsoft Entra 密碼保護時,會自動將預設全域禁用密碼清單,套用至 Microsoft Entra 租用戶中的所有使用者。 為支援您的商務與安全性需求,您可以在自訂禁用密碼清單中定義項目。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,並強制使用強式密碼。 對於需要嚴格密碼字元變更的客戶,密碼重複使用和複雜度需求會使用以 Password-Hash-Sync 設定的混合式帳戶。此動作可確保同步處理至 Microsoft Entra ID 的密碼會繼承 Active Directory 密碼原則中設定的限制。 針對 Active Directory Domain Services 設定內部部署 Microsoft Entra 密碼保護,進一步保護內部部署密碼。 NIST 特殊發行集 800-63B NIST 特殊發行集800-53 修訂版 5 (IA-5 - 控制項增強功能 (1) 使用 Microsoft Entra 密碼保護來消除不正確的密碼 什麼是使用 Microsoft Entra ID 的密碼雜湊同步處理? |
| IA.L2-3.5.9 實務聲明:允許使用臨時密碼登入系統,並立即變更永久密碼。 目標: 判斷是否: [a.] 對於系統登入使用臨時密碼時,需要立即變更永久密碼。 |
Microsoft Entra 使用者初始密碼是暫時的單次使用密碼,一旦成功使用,即需要立即變更為永久密碼。 Microsoft 強烈建議採用無密碼驗證方法。 使用者可以使用臨時存取密碼 (TAP) 啟動無密碼驗證方法。 TAP 是管理員核發、滿足增強式驗證需求且限定使用的限時密碼。 使用無密碼驗證與時間,並使用有限的 TAP 完全消除密碼的使用 (及其重複使用)。 新增或刪除使用者 在 Microsoft Entra ID 中設定臨時存取密碼,以註冊無密碼驗證方法 無密碼驗證 |
| IA.L2-3.5.10 實務聲明:僅儲存和傳輸使用密碼編譯保護的密碼。 目標: 判斷是否: [a.] 密碼在儲存體中受到密碼編譯保護;以及 [b.] 密碼在傳輸中受到密碼編譯保護。 |
祕密待用加密: 除了磁碟層級加密,在待用時,儲存在目錄中的祕密會使用分散式金鑰管理員 (DKM) 加密。 加密金鑰會儲存在 Microsoft Entra 核心存放區,接著會使用縮放單位金鑰加密。 對於最高特殊權限的使用者和特定服務,金鑰會儲存在使用目錄 ACL 保護的容器中。 對稱金鑰通常會每隔六個月輪替一次。 環境存取受到操作控制和實體安全性的進一步保護。 傳輸中的加密: 為了確保資料安全性,當 Microsoft Entra ID 中的目錄資料在一個級別單位中的資料中心之間傳輸時,資料會進行簽署和加密。 資料會由 Microsoft Entra 核心存放區層加密且解密,該層位於相關聯 Microsoft 資料中心的安全伺服器主控區域內。 面對客戶的 Web 服務會使用傳輸層安全性 (TLS) 通訊協議來確保安全。 如需詳細資訊,請下載數據保護考慮 - 資料安全性。 第 15 頁有更多詳細資料。 解密密碼雜湊同步處理 (microsoft.com) Microsoft Entra 資料安全性考量 |
| IA.L2-3.5.11 實務聲明:遮蔽驗證資訊的意見反應。 目標: 判斷是否: [a.] 在驗證過程中,混淆驗證資訊。 |
依預設,Microsoft Entra ID 會遮蔽全部驗證者的意見反應。 |