Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Entra ID vám může pomoct splnit požadavky na postupy související s identitou v každé úrovni certifikace modelu kybernetické bezpečnosti (CMMC). Aby byly splněny požadavky v CMMC V2.0 úrovně 2, je odpovědností společností, které provádějí práce pro a jménem Ministerstva obrany USA (DoD), dokončit další konfigurace nebo procesy.
Ve druhé úrovni certifikace CMMC je 13 domén, které obsahují jeden nebo více postupů souvisejících s identitou.
- Řízení přístupu (AC)
- Audit a odpovědnost (AU)
- Správa konfigurace (CM)
- Identifikace a ověřování (IA)
- Reakce na incidenty (IR)
- Údržba (MA)
- Ochrana médií (MP)
- Zabezpečení personálu (PS)
- Fyzická ochrana (PE)
- Posouzení rizik (RA)
- Posouzení zabezpečení (CA)
- Ochrana systému a komunikací (SC)
- Systém a integrita informací (SI)
Zbývající část tohoto článku obsahuje pokyny pro doménu řízení přístupu (AC). K dispozici je tabulka s odkazy na obsah, který obsahuje podrobné pokyny k provedení tohoto postupu.
Řízení přístupu (AC)
Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.
| Prohlášení o praktikách a cíle CMMC | Microsoft Entra – pokyny a doporučení |
|---|---|
| AC.L2-3.1.3 Praktické prohlášení: Řídí tok CUI v souladu se schválenými autorizacemi. Cíle: Určete, jestli: [a.] zásady řízení toku informací jsou definovány; [b.] jsou definovány metody a mechanismy vynucování pro řízení toku CUI; [c.] jsou identifikovány určené zdroje a cíle (například sítě, jednotlivci a zařízení) pro CUI v rámci systému a mezi propojenými systémy; [d.] jsou definovány autorizace pro řízení toku CUI; a [e.] Vynucují se schválená autorizace pro řízení toku CUI. |
Nakonfigurujte zásady podmíněného přístupu pro řízení toku CUI z důvěryhodných umístění, důvěryhodných zařízení, schválených aplikací a vyžadování zásad ochrany aplikací. Pro jemně odstupňovanou autorizaci pro CUI nakonfigurujte omezení vynucená aplikací (Exchange/SharePoint Online), Řízení aplikací (s Microsoft Defenderem pro cloudové aplikace), kontext ověřování. Nasaďte proxy aplikace Microsoft Entra pro zabezpečení přístupu k místním aplikacím. Podmínka umístění v podmíněném přístupu Microsoft Entra Ovládací prvky ve strategii podmíněného přístupu - Vyžadovat, aby zařízení bylo označeno jako vyhovující Ovládací prvky v podmíněném přístupu – vyžadovat zařízení s hybridním připojením Microsoft Entra Udělení ovládacích prvků v zásadách podmíněného přístupu – Vyžadování schválené klientské aplikace Nastavení ovládacích prvků v zásadách podmíněného přístupu – Vyžadovat zásady ochrany aplikací Řízení relací v zásadách podmíněného přístupu – Omezení vynucená aplikací Ochrana pomocí Řízení podmíněného přístupu k aplikacím v programu Microsoft Defender for Cloud Apps Cloudové aplikace, akce a kontext ověřování v zásadách podmíněného přístupu Vzdálený přístup k místním aplikacím pomocí proxy aplikací Microsoft Entra Kontext ověřování Konfigurace kontextu ověřování a přiřazení k zásadám podmíněného přístupu Ochrana informací Znalost a ochrana vašich dat; pomáhá předejít ztrátě dat. Ochrana citlivých dat pomocí Microsoft Purview Podmíněný přístup Podmíněný přístup pro Azure Information Protection (AIP) Proxy aplikace Vzdálený přístup k místním aplikacím pomocí proxy aplikací Microsoft Entra |
| AC. L2-3.1.4 Praktické prohlášení: Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. Cíle: Určete, jestli: [a.] povinnosti jednotlivců vyžadujících oddělení jsou definovány; [b.] povinnosti, které vyžadují oddělení, jsou přiřazeny samostatným jednotlivcům; a [c.] přístupová oprávnění, která jednotlivcům umožňují vykonávat povinnosti, které vyžadují oddělení, jsou udělena samostatným jednotlivcům. |
Zajištění přiměřeného oddělení povinností stanovením odpovídajícího přístupu. Nakonfigurujte balíčky přístupu pro správu oprávnění, které řídí přístup k aplikacím, skupinám, Teams a SharePointovými weby. Nakonfigurujte kontroly oddělení povinností v rámci přístupových balíčků, abyste se vyhnuli uživateli, který získá nadměrný přístup. Ve správě nároků Microsoft Entra můžete nakonfigurovat více zásad s různými nastaveními pro každou komunitu uživatelů, která bude potřebovat přístup prostřednictvím přístupového balíčku. Tato konfigurace zahrnuje omezení, že uživateli určité skupiny nebo již přiřazenému jinému přístupovému balíčku není z důvodu zásady přiřazen další přístupový balíček. Konfigurujte jednotky pro správu v Microsoft Entra ID tak, aby oprávnění správce s privilegovanými rolemi omezili pouze na omezenou sadu objektů adresáře (uživatelé, skupiny, zařízení). Co je správa nároků? Co jsou přístupové balíčky a jaké prostředky s nimi můžu spravovat? Konfigurace oddělení povinností pro přístupový balíček ve správě nároků Microsoft Entra Jednotky pro správu v MICROSOFT Entra ID |
| AC.L2-3.1.5 Praktické prohlášení: Použití principu nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů. Cíle: Určete, jestli: [a.] jsou identifikovány privilegované účty; [b.] přístup k privilegovaným účtům je autorizovaný v souladu se zásadou nejnižších oprávnění; [c.] jsou identifikovány funkce zabezpečení; a [d.] přístup k funkcím zabezpečení je autorizovaný v souladu se zásadou nejnižších oprávnění. |
Zodpovídáte za implementaci a vynucování pravidla nejnižších oprávnění. Tuto akci lze provést pomocí Privileged Identity Management pro konfiguraci vynucení, monitorování a upozorňování. Nastavte požadavky a podmínky pro členství v roli. Jakmile jsou privilegované účty identifikovány a spravovány, použijte správu životního cyklu nároků a kontroly přístupu k nastavení, údržbě a auditování odpovídajícího přístupu. Pomocí rozhraní MS Graph API můžete zjišťovat a monitorovat role adresáře. Přiřazení rolí Přiřaďte role Microsoft Entra v PIM Přiřaďte role prostředků Azure ve službě Privileged Identity Management Přiřazení oprávněných vlastníků a členů v PIM pro skupiny Nastavení rolí Konfigurace nastavení role Microsoft Entra v PIM Konfigurace nastavení rolí prostředků Azure v PIM Konfigurace PIM pro nastavení skupin v PIM Nastavení upozornění Výstrahy zabezpečení pro role Microsoft Entra v PIM Konfigurace výstrah zabezpečení pro role prostředků Azure ve službě Privileged Identity Management |
| AC.L2-3.1.6 Praktické prohlášení: Při přístupu k funkcím nesouviseícím se zabezpečením používejte neprivilegované účty nebo role. Cíle: Určete, jestli: [a.] jsou identifikovány funkce nesouvisejí se zabezpečením; a [b.] Uživatelé musí při přístupu k funkcím nesouvisejí se zabezpečením používat neprivilegované účty nebo role. AC.L2-3.1.7 Praktické prohlášení: Zabránění neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachycení provádění těchto funkcí v protokolech auditu. Cíle: Určete, jestli: [a.] privilegované funkce jsou definovány; [b.] neprivilegovaní uživatelé jsou definováni; [c.] neprivilegovaným uživatelům se brání v provádění privilegovaných funkcí; a [d.] Provádění privilegovaných funkcí se zaznamenává v protokolech auditu. |
Požadavky v ac. L2-3.1.6 a AC. L2-3.1.7 se vzájemně doplňují. Vyžadovat samostatné účty pro oprávnění a neprivilegované použití. Nakonfigurujte Privileged Identity Management (PIM) tak, aby poskytoval privilegovaný přístup typu just-in-time (JIT) a odebíral trvalý přístup. Nakonfigurujte zásady podmíněného přístupu na základě rolí tak, aby omezily přístup k aplikaci pro produktivitu pro privilegované uživatele. Pro vysoce privilegované uživatele zabezpečte zařízení jako součást scénáře privilegovaného přístupu. Všechny privilegované akce se zaznamenávají v protokolech auditu Microsoft Entra. Přehled zabezpečení privilegovaného přístupu Konfigurace nastavení role Microsoft Entra v PIM Uživatelé a skupiny v zásadách podmíněného přístupu Proč jsou důležitá zařízení s privilegovaným přístupem |
| AC.L2-3.1.8 Praktické prohlášení: Omezte neúspěšné pokusy o přihlášení. Cíle: Určete, jestli: [a.] jsou definovány prostředky omezení neúspěšných pokusů o přihlášení; a [b.] jsou implementovány definované prostředky omezení neúspěšných pokusů o přihlášení. |
Povolte vlastní nastavení inteligentního uzamčení. Nakonfigurujte prahovou hodnotu uzamčení a dobu uzamčení v sekundách pro implementaci těchto požadavků. Ochrana uživatelských účtů před útoky s využitím inteligentního uzamykání Microsoft Entra Správa hodnot inteligentního uzamčení Microsoft Entra |
| AC.L2-3.1.9 Prohlášení o praxi: Poskytnutí oznámení o ochraně osobních údajů a zabezpečení v souladu s příslušnými pravidly CUI Cíle: Určete, jestli: [a.] oznámení o ochraně soukromí a zabezpečení vyžadovaná specifikovanými pravidly CUI jsou identifikována, konzistentní a přidružena ke konkrétní kategorii CUI; a [b.] Zobrazí se oznámení o ochraně osobních údajů a zabezpečení. |
Pomocí Microsoft Entra ID můžete doručit oznámení nebo bannerové zprávy pro všechny aplikace, které vyžadují potvrzení o přijetí před udělením přístupu. Tyto podmínky použití můžete podrobněji cílit na konkrétní uživatele (člena nebo hosta). Můžete je také přizpůsobit pro každou aplikaci prostřednictvím zásad podmíněného přístupu. Podmíněný přístup Co je podmíněný přístup v Microsoft Entra ID? Podmínky použití Podmínky použití služby Microsoft Entra Zobrazit sestavu, kdo přijal a odmítl |
| AC.L2-3.1.10 Praktický pokyn: Použijte zámek relace s displeji skrývajícími vzory, abyste zabránili přístupu a zobrazení dat po určité době nečinnosti. Cíle: Určete, jestli: [a.] období nečinnosti, po kterém systém zahájí uzamčení relace, je definováno; [b.] přístup k systému a zobrazení dat je zabráněno zahájením uzamčení relace po definované době nečinnosti; a [c.] dříve viditelné informace jsou skryty prostřednictvím displeje s maskovacím vzorem po definované době nečinnosti. |
Implementujte zámek zařízení pomocí zásad podmíněného přístupu, abyste omezili přístup na zařízení kompatibilní nebo hybridní zařízení připojená k Microsoftu Entra. Nakonfigurujte nastavení zásad v zařízení tak, aby vynucovali zámek zařízení na úrovni operačního systému pomocí řešení MDM, jako je Intune. V hybridních nasazeních lze také zvážit Microsoft Intune, Configuration Manager nebo objekty zásad skupiny. U nespravovaných zařízení nakonfigurujte nastavení Frekvence přihlašování tak, aby požadovalo opětovnou autentizaci uživatelů. Vyžadovat, aby zařízení bylo označeno jako vyhovující Ovládací prvky v podmíněném přístupu – vyžadovat zařízení s hybridním připojením Microsoft Entra Frekvence přihlašování uživatelů Nakonfigurujte zařízení na maximální počet minut nečinnosti, dokud se nezamkne obrazovka (Android, iOS, Windows 10). |
| AC.L2-3.1.11 Prohlášení o praxi: Ukončete (automaticky) uživatelskou relaci po definované podmínce. Cíle: Určete, jestli: [a.] jsou definovány podmínky, které vyžadují ukončení uživatelské relace; a [b.] uživatelská relace se automaticky ukončí, jakmile dojde k některé z definovaných podmínek. |
Povolte pro všechny podporované aplikace funkci CaE (Continuous Access Evaluation). Pro aplikaci, která nepodporuje CAE nebo pro podmínky, které se nevztahují na CAE, implementujte zásady v Programu Microsoft Defender for Cloud Apps, které automaticky ukončí relace v případě, že dojde k podmínkám. Kromě toho nakonfigurujte Microsoft Entra ID Protection tak, aby vyhodnocoval riziko uživatelů a přihlašování. Podmíněný přístup s Microsoft Entra ID Protection umožňuje uživatelům automaticky napravit rizika. Průběžné vyhodnocování přístupu v Microsoft Entra ID Řízení využití cloudových aplikací vytvořením zásad Co je Microsoft Entra ID Protection |
| AC.L2-3.1.12 Praktické prohlášení: Monitorování a řízení relací vzdáleného přístupu Cíle: Určete, jestli: [a.] Sezení vzdáleného přístupu jsou povolena. [b.] jsou identifikovány typy povoleného vzdáleného přístupu; [c.] relace vzdáleného přístupu jsou řízeny; a [d.] Relace vzdáleného přístupu se monitorují. |
V dnešním světě uživatelé přistupují k cloudovým aplikacím téměř výhradně z neznámých nebo nedůvěryhodných sítí. Pro zabezpečení tohoto modelu přístupu je důležité přijmout zásady nulové důvěryhodnosti. Abychom splnili tyto požadavky na kontroly v moderním cloudovém světě, musíme ověřit každý požadavek na přístup explicitně, implementovat nejnižší oprávnění a předpokládat porušení zabezpečení. Nakonfigurujte pojmenovaná umístění pro vymezení interních a externích sítí. Nakonfigurujte řízení podmíněného přístupu pro směrování přístupu přes Microsoft Defender for Cloud Apps. Nakonfigurujte Defender for Cloud Apps pro řízení a monitorování všech relací. Průvodce nasazením Zero Trust pro Microsoft Entra ID Podmínka umístění v podmíněném přístupu Microsoft Entra Nasazení funkce Řízení aplikací podmíněného přístupu ve službě Cloud App Security pro aplikace Microsoft Entra Co je Microsoft Defender for Cloud Apps? Monitorování výstrah vyvolaých v Programu Microsoft Defender for Cloud Apps |
| AC.L2-3.1.13 Praktické prohlášení: Používejte kryptografické mechanismy k ochraně důvěrnosti relací vzdáleného přístupu. Cíle: Určete, jestli: [a.] jsou identifikovány kryptografické mechanismy pro ochranu důvěrnosti relací vzdáleného přístupu; a [b.] Implementují se kryptografické mechanismy pro ochranu důvěrnosti relací vzdáleného přístupu. |
Všechny webové služby Microsoft Entra pro zákazníky jsou zabezpečené pomocí protokolu TLS (Transport Layer Security) a implementují se pomocí kryptografie ověřené protokolem FIPS. Aspekty zabezpečení dat Microsoft Entra (microsoft.com) |
| AC.L2-3.1.14 Praktické prohlášení: Směrování vzdáleného přístupu přes spravované body řízení přístupu Cíle: Určete, jestli: [a.] jsou identifikovány a implementovány spravované body řízení přístupu; a [b.] vzdálený přístup se směruje přes spravované body řízení přístupu k síti. |
Nakonfigurujte pojmenovaná umístění pro vymezení interních a externích sítí. Nakonfigurujte řízení podmíněného přístupu pro směrování přístupu přes Microsoft Defender for Cloud Apps. Nakonfigurujte Defender for Cloud Apps pro řízení a monitorování všech relací. Zabezpečení zařízení používaných privilegovanými účty v rámci scénáře privilegovaného přístupu Podmínka umístění v podmíněném přístupu Microsoft Entra Řízení relací v zásadách podmíněného přístupu Přehled zabezpečení privilegovaného přístupu |
| AC.L2-3.1.15 Praktické prohlášení: Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím souvisejícím se zabezpečením Cíle: Určete, jestli: [a.] jsou identifikovány privilegované příkazy autorizované ke vzdálenému spuštění; [b.] jsou identifikovány informace související se zabezpečením, k nimž je povolen přístup vzdáleně; [c.] provádění identifikovaných privilegovaných příkazů prostřednictvím vzdáleného přístupu je autorizované; a [d.] přístup k identifikovaným informacím souvisejícím se zabezpečením prostřednictvím vzdáleného přístupu je autorizovaný. |
Podmíněný přístup je řídicím prvkem modelu Zero Trust pro uplatnění zásad přístupu k vašim aplikacím v kombinaci s kontextem ověřování. V těchto aplikacích můžete použít různé zásady. Zabezpečení zařízení používaných privilegovanými účty v rámci scénáře privilegovaného přístupu Nakonfigurujte zásady podmíněného přístupu tak, aby při provádění privilegovaných příkazů vyžadovaly použití těchto zabezpečených zařízení privilegovanými uživateli. Cloudové aplikace, akce a kontext ověřování v zásadách podmíněného přístupu Přehled zabezpečení privilegovaného přístupu Filtrování zařízení jako podmínky v zásadách podmíněného přístupu |
| AC.L2-3.1.18 Praktické prohlášení: Řízení připojení mobilních zařízení. Cíle: Určete, jestli: [a.] jsou identifikována mobilní zařízení, která zpracovávají, ukládají nebo přenášejí CUI; [b.] připojení mobilních zařízení jsou autorizovaná; a [c.] Připojení mobilních zařízení se monitorují a protokolují. |
Nakonfigurujte zásady správy zařízení prostřednictvím MDM (například Microsoft Intune), Configuration Manageru nebo objektů zásad skupiny (GPO) a vynucujte konfiguraci mobilních zařízení a profil připojení. Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovali dodržování předpisů zařízením. Podmíněný přístup Vyžadovat, aby zařízení bylo označeno jako vyhovující Vyžadování zařízení hybridně připojeného k Microsoft Entra Intune Zásady dodržování předpisů u zařízení v Microsoft Intune Co je správa aplikací v Microsoft Intune? |
| AC L2-3.1.19 Praktické prohlášení: Šifrování CUI na mobilních zařízeních a mobilních výpočetních platformách Cíle: Určete, jestli: [a.] jsou identifikovány mobilní zařízení a mobilní výpočetní platformy, které zpracovávají, ukládají nebo přenášejí CUI; a [b.] šifrování se používá k ochraně CUI na identifikovaných mobilních zařízeních a mobilních výpočetních platformách. |
Spravované zařízení Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovaly kompatibilní zařízení nebo hybridní zařízení připojené k Microsoft Entra a aby se zajistilo, že spravovaná zařízení jsou správně nakonfigurovaná prostřednictvím řešení pro správu zařízení za účelem šifrování CUI. Nespravované zařízení Nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly zásady ochrany aplikací. Ovládací prvky ve strategii podmíněného přístupu - Vyžadovat, aby zařízení bylo označeno jako vyhovující Ovládací prvky v podmíněném přístupu – vyžadovat zařízení s hybridním připojením Microsoft Entra Nastavení ovládacích prvků v zásadách podmíněného přístupu – Vyžadovat zásady ochrany aplikací |
| AC.L2-3.1.21 Praktické prohlášení: Omezte používání přenosných úložných zařízení na externích systémech. Cíle: Určete, jestli: [a.] použití přenosných úložných zařízení obsahujících CUI na externích systémech je identifikováno a zdokumentováno; [b.] jsou definována omezení používání přenosných úložných zařízení obsahujících CUI na externích systémech; a [c.] používání přenosných úložných zařízení obsahujících CUI na externích systémech je omezené podle definice. |
Nakonfigurujte zásady správy zařízení prostřednictvím MDM (například Microsoft Intune), Configuration Manageru nebo objektů zásad skupiny (GPO) pro řízení používání přenosných úložných zařízení v systémech. Nakonfigurujte nastavení zásad na zařízení s Windows tak, aby na úrovni operačního systému úplně zakázalo nebo omezilo použití přenosného úložiště. Pro všechna ostatní zařízení, kde nebudete moci detailně řídit přístup k přenosnému úložišti, zcela blokujte stažení pomocí Microsoft Defender for Cloud Apps. Nakonfigurujte zásady podmíněného přístupu tak, aby vynucovali dodržování předpisů zařízením. Podmíněný přístup Vyžadovat, aby zařízení bylo označeno jako vyhovující Vyžadování zařízení hybridně připojeného k Microsoft Entra Konfigurace správy relací ověřování Intune Zásady dodržování předpisů u zařízení v Microsoft Intune Omezení zařízení USB pomocí šablon pro správu v Microsoft Intune Microsoft Defender pro cloudové aplikace Vytváření zásad relací v Defenderu pro Cloud Apps |