共用方式為


符合具有 Microsoft Entra ID 的備忘錄 22-09 身分識別需求

改善國家網路安全的行政命令 (14028),指示聯邦機構推進安全措施,大幅降低對聯邦政府數位基礎設施成功網路攻擊的風險。 2022 年 1 月 26 日,為支援行政命令 (EO) 14028 號,管理和預算辦公室 (OMB)M 22-09行政部和機構首腦備忘錄中發佈了聯邦零信任戰略

本文系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指導,如備忘錄 22-09 中所述。

備忘錄 22-09 支援聯邦機構中的零信任計劃。 它具有聯邦網路安全和資訊隱私權法的法規指導。 備忘錄引用了 美國國防部 (DoD) 零信任參考架構

零信任模型的基礎原則是,安全性周邊外部或內部運作的執行者、系統、網路或服務都不受信任。而是必須驗證嘗試建立存取權的所有項目。從周邊驗證一次到每個使用者、裝置、應用程式和交易持續驗證,這是我們保護基礎結構、網路和資料安全理念的戲劇性範例轉變。

備忘錄確定了聯邦機構要達到的五個核心目標,該目標由網路安全資訊系統架構 (CISA) 成熟度模型組織。 CISA 零信任模型描述五個互補的工作領域,或支柱:

  • 身分識別
  • 裝置
  • 網路
  • 應用程式和工作負載
  • 資料

支柱與下列項目交集:

  • 可視性
  • 分析
  • 自動化
  • 協調流程
  • 治理

本指南的涵蓋範圍

使用文章系列來建置計劃以符合備忘需求。 它會假設使用 Microsoft 365 產品和 Microsoft Entra 租用戶。

深入瞭解:快速入門:在 Microsoft Entra ID 中建立新的租用戶

本文系列指示包括機構對 Microsoft 技術的投資,這些技術符合備忘錄的身分識別相關行動。

  • 針對機構使用者,機構會採用集中式身分識別管理系統,可與應用程式和通用平台整合
  • 機構使用全企業、強式多重要素驗證 (MFA)
    • MFA 會在應用程式層強制執行,而不是網路層
    • 對於代理人員、承包商和合作夥伴,需要網路釣魚防護 MFA
    • 對於公用使用者,網路釣魚防護 MFA 是一個選項
    • 密碼原則不需要特殊字元或定期輪替
  • 當機構授權使用者存取資源時,他們會考慮至少一個裝置層級的訊號,其中包含已驗證使用者的身分識別資訊

下一步