設定身分識別存取控制以符合 FedRAMP High 影響層級
存取控制是實現聯邦風險與授權管理計畫 (FedRAMP) 高影響層級以運作的主要部分。
下列控制項清單和存取控制 (AC) 系列中的控制項增強功能可能需要在 Microsoft Entra 租用戶中進行設定。
| 控制系列 | 描述 |
|---|---|
| AC-2 | 帳戶管理 |
| AC-6 | 最低權限 |
| AC-7 | 不成功的登入嘗試 |
| AC-8 | 系統使用通知 |
| AC-10 | 並行工作階段控制項 |
| AC-11 | 工作階段鎖定 |
| AC-12 | 工作階段終止 |
| AC-20 | 使用外部資訊系統 |
下表中的每個資料列都提供規範性指導方針,可協助您針對控制項或控制項增強功能開發組織對任何共同責任的回應。
設定
| FedRAMP 控制項識別碼與描述 | Microsoft Entra 指導和建議 |
|---|---|
| AC-2 帳戶管理 組織 (b.)指派資訊系統帳戶的帳戶管理員; (c.)建立群組和角色成員資格的條件; (d.)針對每個帳戶指定資訊系統的授權使用者、群組與角色成員資格和存取授權 (也就是權限) 和其他屬性 (視需要); (e.)需要 [指派:組織定義的人員或角色] 的核准,才能要求建立資訊系統帳戶; (f.)按照 [指派:組織定義的程序或條件] 來建立、啟用、修改、停用並移除資訊系統帳戶; (g.)監視資訊系統帳戶的使用; (h.)通知帳戶管理員: (i.)根據下列項目授權存取資訊系統: (j.)檢閱帳戶是否符合帳戶管理需求 [FedRAMP 指派:若為特殊權限存取,每個月檢閱一次;若為非特殊權限存取,每六 (6) 個月檢閱一次];和 (k.)當個人從群組中移除時,建立程序來重新發出共用/群組帳戶認證 (如有部署)。 |
針對客戶控制的帳戶實作帳戶生命週期管理。 監視帳戶的使用,並將帳戶生命週期事件通知帳戶管理員。 檢閱帳戶是否符合帳戶管理需求 (若為特殊權限存取,每個月檢閱一次;若為非特殊權限存取,每六個月檢閱一次)。 使用 Microsoft Entra ID 從外部 HR 系統、內部部署 Active Directory 或直接在雲端中佈建帳戶。 所有帳戶生命週期作業都會在 Microsoft Entra 稽核記錄中進行稽核。 您可以使用安全性資訊與事件管理 (SIEM) 解決方案 (例如 Microsoft Sentinel) 來收集和分析記錄。 或者,您可以使用 Azure 事件中樞來整合記錄與協力廠商 SIEM 解決方案,以啟用監視和通知。 使用 Microsoft Entra 權利管理搭配存取權檢閱,以確保帳戶的合規性狀態。 佈建帳戶 監視帳戶 檢閱帳戶 資源
|
| AC-2(1) 組織會使用自動化機制來支援管理資訊系統帳戶。 |
採用自動化機制來支援客戶受控帳戶的管理。 從外部 HR 系統或內部部署 Active Directory 設定客戶受控帳戶的自動佈建。 針對支援應用程式佈建的應用程式,請設定 Microsoft Entra ID,以在使用者需要存取的雲端軟體即解決方案 (SaaS) 應用程式中自動建立使用者身分識別和角色。 除了建立使用者識別之外,自動佈建還包括在狀態或角色變更時,維護及移除使用者識別。 若要輕鬆監視帳戶使用情形,您可以將 Microsoft Entra ID Protection 記錄 (其中顯示有風險的使用者、有風險的登入和風險偵測) 和稽核記錄直接串流至 Microsoft Sentinel 或事件中樞。 佈建 監視與稽核 |
| AC-2(2) 在 [FedRAMP 指派:自上次使用後 24 小時] 後,資訊系統會自動 [FedRAMP 選擇:停用] 臨時和緊急帳戶。 AC-02(3) AC-2 (3) 其他 FedRAMP 需求和指導: |
採用自動化機制,以支援在上次使用 24 小時後,自動移除或停用暫時和緊急帳戶,以及在閒置 35 天後自動移除或停用所有客戶受控帳戶。 使用 Microsoft Graph 和 Microsoft Graph PowerShell 來實作帳戶管理自動化。 使用 Microsoft Graph 來監視登入活動,以及使用 Microsoft Graph PowerShell 在所需的時間範圍內對帳戶採取動作。 判斷是否閒置 移除或停用帳戶 使用 Microsoft Graph 中的裝置 |
| AC-2(4) 資訊系統會自動稽核帳戶建立、修改、啟用、停用及移除動作和通知 [FedRAMP 指派:組織和/或服務提供者系統擁有者]。 |
針對管理客戶受控帳戶的生命週期,實作自動化稽核和通知系統。 所有帳戶生命週期作業 (例如帳戶建立、修改、啟用、停用和移除動作) 都會在 Azure 稽核記錄內進行稽核。 您可以將記錄直接串流至 Microsoft Sentinel 或事件中樞,以協助通知。 Audit 通知 |
| AC-2(5) 該組織要求使用者在 [FedRAMP 指派:非活動預計超過十五 (15) 分鐘] 時登出。 AC-2 (5) 其他 FedRAMP 需求和指導: |
在閒置 15 分鐘後實作裝置登出。 透過使用限制存取符合規範裝置的條件式存取原則,以實作裝置鎖定。 在裝置上設定原則設定,以利用行動裝置管理 (MDM) 解決方案 (例如 Intune),在作業系統層級強制執行裝置鎖定。 也可以在混合式部署中考慮端點管理員或群組原則物件。 若為非受控裝置,請設定 [登入頻率] 設定,以強制使用者重新驗證。 條件式存取 MDM 原則 |
| AC-2(7) 組織: |
針對客戶受控帳戶遵循角色型存取配置,來管理和監視特殊權限角色指派。 不再適用時,請停用或撤銷帳戶的權限存取。 使用 Microsoft Entra 中特殊權限角色的存取權檢閱來實作 Microsoft Entra Privileged Identity Management,以監視角色指派,並在不再適用時移除角色指派。 您可以將稽核記錄直接串流至 Microsoft Sentinel 或事件中樞,以協助監視。 管理 監視器 |
| AC-2(11) 資訊系統會強制 [指派:組織定義情況及/或使用條件] 用於 [指派:組織定義的資訊系統帳戶]。 |
強制使用客戶受控帳戶,以符合客戶定義的條件或情況。 建立條件式存取原則,以在使用者和裝置之間強制執行存取控制決策。 條件式存取 |
| AC-2(12) 組織: AC-2 (12) (a) 和 AC-2 (12) (b) 其他 FedRAMP 需求和指導: |
針對非典型使用方式,監視和報告具有特殊權限存取的客戶控制帳戶。 如需協助監視非典型使用方式,您可以將 Microsoft Entra ID Protection 記錄 (其中顯示風險性使用者、風險性登入和風險偵測) 和稽核記錄 (其會協助與權限指派相互關聯) 直接串流至 SIEM 解決方案 (例如 Microsoft Sentinel)。 您也可以使用事件中樞,將記錄與協力廠商 SIEM 解決方案整合。 ID Protection 監視帳戶 |
| AC-2(13) 組織會在發現風險後 [FedRAMP 指派:一 (1) 小時] 內停用有重大風險的使用者帳戶。 |
停用一小時內造成重大風險的使用者客戶控制帳戶。 在 Microsoft Entra ID Protection 中,設定並啟用使用者風險原則,並將閾值設定為 [高]。 建立條件式存取原則,以封鎖有風險的使用者和有風險的登入存取。設定風險原則,讓使用者能夠自我修復並解除封鎖後續的登入嘗試。 ID Protection 條件式存取 |
| AC-6(7) 組織: |
每年檢閱並驗證具有特殊權限存取的所有使用者。 確定已重新指派權限 (或必要時將其移除),以符合組織任務和商務需求。 使用 Microsoft Entra 權利管理搭配存取權檢閱,特殊權限使用者驗證是否需要特殊權限存取。 存取權檢閱 |
| AC-7 失敗的登入嘗試 組織: |
在 15 分鐘期間內,針對客戶部署的資源強制執行不超過三次連續失敗登入嘗試的限制。 至少將帳戶鎖定三小時,或直到管理員將其解除鎖定為止。 啟用自訂智慧型鎖定設定。 設定鎖定閾值和鎖定持續時間 (以秒為單位),以實作這些需求。 智慧鎖定 |
| AC-8 系統使用通知 資訊系統: (b.)保留通知訊息或螢幕上的橫幅,直到使用者確認使用狀況,並採取明確動作登入或進一步存取資訊系統;和 (c.)針對可公開存取的系統: AC-8 其他 FedRAMP 需求和指導: |
在授與資訊系統的存取權之前,顯示並要求使用者確認隱私權和安全性注意事項。 使用 Microsoft Entra ID,您可以在授與存取權之前,為需要和記錄確認的所有應用程式提供通知或橫幅訊息。 您可以更精確地將這些使用規定原則的目標設定為特定使用者 (成員或來賓)。 您也可以透過條件式存取原則,根據每個應用程式進行自訂。 使用條款 |
| AC-10 並行工作階段控制項 資訊系統會將每個 [指派:組織定義的帳戶和/或帳戶類型] 的並行工作階段數目限制為 [FedRAMP 指派:三 (3) 個特殊權限存取的工作階段,以及兩 (2) 個非特殊權限存取的工作階段]。 |
將並行工作階段限制為三個工作階段 (若為特殊權限存取),以及限制為兩個 (若為非特殊權限存取)。 目前,使用者可從多個裝置連線,有時會同時連線。 限制並行工作階段會導致使用者體驗降級,並提供有限的安全性值。 處理此控制項背後意圖的更好方法是採用「零信任」安全性態勢。 系統會先明確驗證條件,然後再建立工作階段,並在工作階段的整個存留期持續驗證。 此外,請使用下列補償控制項。 使用條件式存取原則來限制存取符合規範的裝置。 在裝置上設定原則設定,以利用 MDM 解決方案 (例如 Intune),在作業系統層級強制執行使用者登入限制。 也可以在混合式部署中考慮端點管理員或群組原則物件。 使用 Privileged Identity Management 進一步限制及控制特殊權限帳戶。 針對無效的登入嘗試設定智慧型帳戶鎖定。 實作指引 零信任 條件式存取 裝置原則 資源 如需更多的工作階段重新評估和風險降低指引,請參閱 AC-12。 |
| AC-11 工作階段鎖定 資訊系統: (a) 在 [FedRAMP 指派:十五 (15) 分鐘] 非使用中後或收到使用者要求後啟動工作階段鎖定,以防止進一步存取系統;和 (b) 會保留工作階段鎖定,直到使用者使用識別與驗證程序重新建立存取為止。 AC-11(1) |
在閒置 15 分鐘後或從使用者收到要求時,會實作工作階段鎖定。 保留工作階段鎖定,直到使用者重新驗證為止。 在起始工作階段鎖定時,隱藏先前可見的資訊。 透過使用條件式存取原則實作裝置鎖定,以限制存取符合規範的裝置。 在裝置上設定原則設定,以利用 MDM 解決方案 (例如 Intune),在作業系統層級強制執行裝置鎖定。 也可以在混合式部署中考慮端點管理員或群組原則物件。 若為非受控裝置,請設定 [登入頻率] 設定,以強制使用者重新驗證。 條件式存取 MDM 原則 |
| AC-12 工作階段終止 資訊系統在 [指派:組織定義的需要工作階段中斷連線之條件或觸發事件] 之後,會自動終止使用者工作階段。 |
當組織定義的條件或觸發事件發生時,自動終止使用者工作階段。 使用 Microsoft Entra 功能 (例如風險型條件式存取和連續存取評估) 來實作自動使用者工作階段重新評估。 您可以在裝置層級實作閒置條件,如 AC-11 中所述。 資源 |
| AC-12(1) 資訊系統: (a.)每當使用驗證來取得 [指派:組織定義的資訊資源] 之存取權時,針對使用者起始的通訊工作階段提供登出功能;以及 (b.)顯示明確登出訊息給使用者,指出可靠終止已驗證的通訊工作階段。 AC-8 其他 FedRAMP 需求和指導: |
提供所有工作階段的登出功能,並顯示明確的登出訊息。 所有 Microsoft Entra ID 呈現的 Web 介面都會為使用者起始的通訊工作階段提供登出功能。 當 SAML 應用程式與 Microsoft Entra ID 整合時,請實作單一登出。 登出功能 顯示訊息
資源 |
| AC-20 使用外部資訊系統 組織會建立條款與條件,符合與其他組織擁有、作業、和/或維護外部資訊系統所建立之任何信任關係,可讓授權之個人進行: (a.)從外部資訊系統存取資訊系統;和 (b.)使用外部資訊系統處理、儲存或傳輸組織控制的資訊。 AC-20(1) |
建立條款及條件,讓授權的人員能夠從外部資訊系統 (例如非受控裝置和外部網路) 存取客戶部署的資源。 從外部系統存取資源的授權使用者必須接受使用規定。 實作條件式存取原則,以限制從外部系統進行存取。 條件式存取原則可能與適用於雲端的 Defender 應用程式整合,讓您可以從外部系統控制雲端和內部部署應用程式。 Intune 中的行動應用程式管理可以從與外部系統互動的受控裝置管理應用程式層級的組織資料,包括自訂應用程式及市集應用程式。 範例將存取雲端服務。 您可以在組織擁有的裝置和個人的裝置上使用應用程式管理。 條款及條件 條件式存取 MDM 資源 |
