共用方式為


符合備忘錄 22-09 的授權需求

此文章系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指引。 請參閱美國預算管理局 (OMB) M 22-09 執行部門和機構負責人備忘錄

備忘錄需求是多重要素驗證原則中的強制執行類型,以及裝置、角色、屬性和特殊權限存取管理的控制項。

裝置控制項

備忘錄 22-09 需求是至少一個裝置型訊號,以決定存取系統或應用程式的授權。 使用條件式存取來強制執行此需求。 在授權期間套用數個裝置訊號。 請參閱下表,了解訊號和擷取訊號的需求。

訊號 訊號擷取
裝置受到管理 與 Intune 或支援整合的其他行動裝置管理 (MDM) 解決方案整合。
已加入 Microsoft Entra 混合式 Active Directory 會管理裝置,而且非常適合。
裝置符合規範 與 Intune 或其他支援整合的 MDM 解決方案整合。 請參閱在 Microsoft Intune 中建立合規性政策 (部分機器翻譯)。
威脅訊號 適用於端點的 Microsoft Defender 和其他端點偵測及回應 (EDR) 工具可以與 Microsoft Entra ID 和 Intune 整合,並傳送可用來拒絕存取的威脅訊號。 威脅訊號支援合規狀態訊號。
跨租用戶存取原則 (公開預覽) 信任來自其他組織中裝置的裝置訊號。

角色控制項

使用角色型存取控制 (RBAC) 透過特定範圍的角色指派來強制執行授權。 例如,使用權利管理功能來指派存取權,包括存取權套件和存取權檢閱。 使用自助式要求管理授權,並使用自動化來管理生命週期。 例如,根據準則自動結束存取。

深入了解:

屬性控制項

屬性存取控制 (ABAC) 會使用指派給使用者或資源的中繼資料,在驗證期間允許或拒絕存取。 請參閱下列各節,透過驗證對資料和資源使用 ABAC 強制執行來建立授權。

指派給使用者的屬性

使用指派給使用者的屬性 (儲存在 Microsoft Entra ID 中) 來建立使用者授權。 系統會根據您在群組建立期間定義的規則集,自動將使用者指派給組動態成員資格群組。 規則會根據對使用者及其屬性所做的規則評估,從群組新增或移除使用者。 建議您維護屬性,並且不要在建立當天設定靜態屬性。

深入了解:在 Microsoft Entra ID 中建立或更新動態群組

指派給資料的屬性

透過 Microsoft Entra ID,您可以將授權整合至資料。 請參閱下列各節來整合授權。 您可以在條件式存取原則中設定驗證:限制使用者在應用程式或資料上採取的動作。 然後,這些驗證原則會對應到資料來源中。

資料來源可能是對應到驗證的 Microsoft Office 檔案,例如 Word、Excel 或 SharePoint 網站。 使用指派給應用程式中資料的驗證。 此方法需要與應用程式程式碼整合,並且需要開發人員採用此功能。 使用與 Microsoft Defender for Cloud Apps 的驗證整合,來控制透過工作階段控制項對資料採取的動作。

結合組動態成員資格群組與驗證內容,以控制資料與使用者屬性之間的使用者存取對應。

深入了解:

指派給資源的屬性

Azure 包含適用於儲存體的屬性型存取控制 (Azure ABAC)。 在 Azure Blob 儲存體帳戶中儲存的資料上指派中繼資料標記。 使用角色指派來授與存取權,進而將中繼資料指派給使用者。

深入了解:什麼是 Azure 屬性型存取控制?

Privileged Access Management

備忘錄會引述使用特殊權限存取管理工具搭配單一要素暫時認證來存取系統的低效率情形。 這些技術包括接受管理員使用多重要素驗證登入的密碼保存庫。這些工具會為存取系統的替代帳戶產生密碼。 系統存取會透過單一要素發生。

Microsoft 工具會為具特殊權限的系統實作 Privileged Identity Management (PIM),並以 Microsoft Entra ID 作為集中式身分識別管理系統。 針對大部分具特殊權限的系統 (應用程式、基礎結構元素或裝置) 強制執行多重要素驗證。

當具特殊權限的角色以 Microsoft Entra 身分識別實作時,對其使用 PIM。 識別需要保護的特殊權限系統,以防止橫向移動。

深入了解:

下一步