存取控制保護指導
MMicrosoft Entra ID 符合實施 1996 年健康保險流通與責任法案 (HIPAA) 保護之身分識別相關實務要求。 若要符合 HIPAA 規範,請使用本指導來實作保護措施。 您可能需要修改其他設定或流程。
若要了解 [使用者識別碼保護],建議您進行研究並設定目標,以便您可以:
確定識別碼對需要連線到網域的每個人來說都是獨一無二的。
建立加入者、移動者、離開者 (JML) 流程。
身分識別追蹤的啟用程式稽核。
針對 [授權存取控制保護],請設定目標,以便:
系統存取僅限於授權的使用者。
已識別授權的使用者。
個人資料的存取僅限於授權的使用者。
針對 [緊急存取程序保護]:
確保核心服務的高可用性。
消除單一失敗點。
建立災害復原方案。
確定高風險資料的備份。
建立和維護緊急存取帳戶。
針對 [自動登出保護]:
建立在預先決定非使用狀態時間後終止電子工作階段的程序。
設定及實作自動登出原則。
不重複使用者識別碼
下表提供 HIPAA 指導中唯一使用者識別碼的存取控制保護。 尋找 Microsoft 建議以符合保護實作需求。
HIPAA 保護 - 不重複使用者識別碼
Assign a unique name and/or number for identifying and tracking user identity.
建議 | 動作 |
---|---|
設定混合式以利用 Microsoft Entra ID | Microsoft Entra Connect 將內部部署目錄與 Microsoft Entra ID 整合,支援使用單一身分識別存取內部部署應用程式和雲端服務 (例如 Microsoft 365)。 它會協調 Active Directory (AD) 與 Microsoft Entra ID 之間的同步處理。 若要開始使用 Microsoft Entra Connect,請先檢閱必要條件,並記下伺服器需求,以及如何準備您的 Microsoft Entra 租用戶以進行管理。 Microsoft Entra Connect 同步處理 是雲端上受控的佈建代理程式。 佈建代理程式支援從多樹系中斷連線 AD 環境同步處理至 Microsoft Entra ID。 已安裝輕量型代理程式,且可與 Microsoft Entra Connect 搭配使用。 建議您使用 [密碼雜湊同步處理],協助減少密碼數目,並防止認證偵測外洩。 |
以佈建使用者帳戶 | Microsoft Entra ID 是雲端式身分識別和存取權管理服務,可提供單一登入、多重要素驗證和條件式存取,以防範安全性攻擊。 若要建立使用者帳戶,請以 [使用者管理員] 身分登入 Microsoft Entra 系統管理中心,然後瀏覽至功能表中的 [所有使用者] 來建立新的帳戶。 Microsoft Entra ID 為系統和應用程式的自動使用者佈建提供支援。 功能包括建立、更新及刪除使用者帳戶。 當新人員加入組織中的小組時,自動佈建會在正確的系統中為他們建立新帳戶,而當人員離開小組時,自動取消佈建會停用帳戶。 瀏覽至 Microsoft Entra 系統管理中心,然後選取企業應用程式來新增和管理應用程式設定,以設定佈建。 |
HR 驅動的佈建 | 在人力資源 (HR) 系統中整合 Microsoft Entra 帳戶佈建,可以降低過度存取和不再需要存取的風險。 HR 系統會成為新建立帳戶的授權單位起點,將功能擴充至帳戶取消佈建。 自動化會管理身分識別生命週期,並降低過度佈建的風險。 此方法遵循提供最低權限存取的安全性最佳做法。 |
建立生命週期工作流程 | 生命週期工作流程提供身分識別控管,以自動化加入者/移動者/離開者 (JML) 生命週期。 生命週期工作流程會使用內建範本或建立您自己的自訂工作流程,將工作流程集中化。 這種做法有助於減少或可能移除組織 JML 策略需求的手動工作。 在 Azure 入口網站中,瀏覽至 Microsoft Entra 功能表中 [身分識別治理],以檢閱或設定符合組織需求的工作。 |
管理特殊權限身分識別 | Microsoft Entra Privileged Identity Management (PIM) 會啟用管理、控制及監視存取的能力。 您可以視時間型和以核准為基礎的角色啟用,在需要時提供存取權。 此方法會限制過度、不必要或誤用存取權限的風險。 |
監視和警示 | Microsoft Entra ID Protection 提供可能影響組織身分識別的風險事件和潛在弱點的整合檢視。 啟用保護會套用現有的 Microsoft Entra 異常偵測功能,並引進即時偵測異常的風險事件類型。 透過 Microsoft Entra 系統管理中心,您可以登入、稽核及檢閱佈建記錄。 記錄可以下載、封存和串流至您的安全性資訊與事件管理 (SIEM) 工具。 Microsoft Entra 記錄位於 Microsoft Entra 功能表的 [監視] 區段中。 您也可以使用 Azure Log Analytics 工作區,將記錄傳送至 Azure 監視器,可以在其中設定連線資料的警示。 Microsoft Entra ID 可透過個別目錄物件上 [識別碼屬性] 來唯一識別使用者。 此方法可讓您篩選記錄檔案中的特定身分識別。 |
授權存取控制
下表提供適用於已授權存取控制之存取控制保護的 HIPAA 指導。 尋找 Microsoft 建議以符合保護實作需求。
HIPAA 保護 - 已授權的存取控制
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
建議 | 動作 |
---|---|
啟用多重要素驗證 (MFA) | Microsoft Entra ID 中的 MFA,透過新增另一層安全性來保護身分識別。 額外的層驗證有助於防止未經授權的存取。 使用 MFA 方法可以在驗證流程期間要求對登入認證進行更多驗證。 範例包括設定 Authenticator 應用程式進行單鍵驗證,或啟用無密碼驗證。 |
啟用條件式存取原則 | 條件式存取原則可協助組織限制已核准應用程式的存取。 Microsoft Entra 會分析來自使用者、裝置或位置的訊號,針對存取資源和資料以自動化決策並強制執行組織原則。 |
啟用角色型存取控制 (RBAC) | RBAC 透過職責區分的概念提供企業層級的安全性。 RBAC 可讓您透過系統調整和檢閱存取權以保護資源和敏感資料的機密性、隱私權和存取權管理。 Microsoft Entra ID 提供對內建角色的支援,這是無法修改的固定權限。 您也可以建立自己的自訂角色,並在其中新增預設清單。 |
啟用屬性型存取控制 (ABAC) | ABAC 會根據與安全性準則、資源和環境相關聯的屬性來定義存取權。 它提供更細緻的存取控制,並減少角色指派的數目。 ABAC 的使用範圍可限定於專用 Azure 儲存體內的內容。 |
在 SharePoint 中設定使用者群組存取 | SharePoint 群組是使用者的集合。 權限的範圍設定為網站集合層級,以存取內容。 此限制式的應用程式範圍可以限定為需要應用程式之間的資料流程存取的服務帳戶。 |
緊急存取程序
下表提供適用於緊急存取控制程序之存取控制保護的 HIPAA 指導。 尋找 Microsoft 建議以符合保護實作需求。
HIPAA 保護 - 緊急存取程序
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
建議 | 動作 |
---|---|
使用 Azure 復原服務 | Azure 備份提供備份重要和敏感性資料所需的支援。 涵蓋範圍包括儲存體/資料庫和雲端基礎結構,以及雲端的內部部署 Windows 裝置。 建立備份原則,以解決備份和復原流程風險。 請確保資料安全儲存,並且可以在最短的停機時間內擷取資料。 Azure Site Recovery 提供近乎常數的資料複寫,以確保副本已同步處理。設定服務之前的初始步驟是判斷復原點目標 (RPO) 和復原時間目標 (RTO) 以支援組織需求。 |
取用復原 | 復原有助於在業務營運和核心 IT 服務中斷時維護服務等級。 此功能橫跨服務、資料、Microsoft Entra ID 和 Active Directory 考量。 判斷策略性復原方案,以包含哪些系統和資料依賴 Microsoft Entra 和混合式環境。 Microsoft 365 復原涵蓋核心服務,包括 Exchange、SharePoint 和 OneDrive,以保護資料損毀,並套用復原資料點來保護 ePHI 內容。 |
建立安全窗口帳戶 | 建立緊急或安全窗口帳戶可確保系統和服務在未預期的情況下仍可存取,例如網路故障或其他系統管理存取遺失原因。 建議您不要將此帳戶與個人使用者或帳戶相關聯。 |
工作站安全性 - 自動登出
下表提供自動登出保護的 HIPAA 指導。 尋找 Microsoft 建議以符合保護實作需求。
HIPAA 保護 - 自動登出
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
建議 | 動作 |
---|---|
建立群組原則 | 支援未移轉至 Microsoft Entra ID 並由 Intune 管理的裝置,群組原則 (GPO) 可以強制 AD 上或混合式環境中的裝置登出或鎖定畫面時間。 |
評定裝置管理需求 | Microsoft Intune 會提供行動裝置管理 (MDM) 和行動應用程式管理 (MAM)。 其提供公司和個人裝置的控制。 您可以管理裝置使用方式,並強制執行原則來控制行動應用程式。 |
裝置條件式存取原則 | 實作裝置鎖定,方法為使用條件式存取原則,限制存取符合規範的裝置或 Microsoft Entra 混合式連結裝置。 設定原則設定。 若為非受控裝置,請設定 [登入頻率] 設定,以強制使用者重新驗證。 |
設定 Microsoft 365 的工作階段逾時 | 檢閱 Microsoft 365 應用程式和服務的工作階段逾時,以修改任何長時間逾時。 |
設定 Azure 入口網站 的工作階段逾時 | 檢閱 Azure 入口網站工作階段的工作階段逾時,方法是實作逾時,因為將其改為非使用狀態有助於保護資源免於未經授權的存取。 |
檢閱應用程式存取工作階段 | 持續性存取評估原則可以拒絕或授與應用程式的存取權。 如果登入成功,使用者就會獲得有效一 (1) 小時的存取權杖。 一旦存取權杖過期,會將用戶端導回 Microsoft Entra ID,重新評估條件,並重新整理權杖一小時。 |