Konfigurace ovládacích prvků pro identifikaci a ověřování (IA) řadiče pro správu základní desky úrovně 2

Microsoft Entra ID pomáhá splnit požadavky na praxi související s identitou na každé úrovni certifikace modelu kybernetické bezpečnosti (CMMC). Aby bylo možné dokončit další konfigurace nebo procesy, které vyhovují požadavkům cmmc verze 2.0 úrovně 2, je odpovědností společností, se kterými pracují, a jménem amerického oddělení obrany (DoD).

CMMC Level 2 má 13 domén, které mají jeden nebo více postupů souvisejících s identitou. Domény jsou:

• Řízení přístupu (AC)
• Audit a odpovědnost (AU)
• Správa konfigurace (CM)
• Identifikace a ověřování (IA)
• Reakce na incidenty (IR)
• Údržba (MA)
• Ochrana médií (MP)
• Zabezpečení personálu (PS)
• Fyzická ochrana (PE)
• Posouzení rizik (RA)
• Posouzení zabezpečení (CA)
• System and Communications Protection (SC)
• Systém a integrita informací (SI)

Zbývající část tohoto článku obsahuje pokyny pro doménu IA (Identification and Authorization). K dispozici je tabulka s odkazy na obsah, který obsahuje podrobné pokyny k provedení tohoto postupu.

Identifikace a ověřování

Následující tabulka obsahuje seznam postupů a cílů a pokyny a doporučení společnosti Microsoft Entra, které vám umožní splnit tyto požadavky s ID Microsoft Entra.

Prohlášení o praktickém prohlášení a cíle CMMC	Microsoft Entra – pokyny a doporučení
IA. L2-3.5.3 Postup: Použití vícefaktorového ověřování pro přístup k privilegovaným účtům a síťovému přístupu k neprivilegovaným účtům. Cíle: Určete, jestli: [a.] jsou identifikovány privilegované účty; [b.] vícefaktorové ověřování je implementováno pro místní přístup k privilegovaným účtům; [c.] vícefaktorové ověřování je implementováno pro síťový přístup k privilegovaným účtům; a [d.] Vícefaktorové ověřování je implementováno pro síťový přístup k neprivilegovaným účtům.	Následující položky jsou definice termínů použitých pro tuto oblast ovládacího prvku: Místní přístup – Přístup k informačnímu systému organizace uživatelem (nebo procesem jménem uživatele) komunikujícího přes přímé připojení bez použití sítě. Přístup k síti – Přístup k informačnímu systému uživatelem (nebo procesem jménem uživatele) komunikujícího přes síť (například místní síť, síť wide area, internet). Privilegovaný uživatel – uživatel, který má oprávnění (a proto je důvěryhodný), aby prováděl funkce související se zabezpečením, které běžní uživatelé nemají oprávnění k provádění. Rozdělení předchozího požadavku znamená: Všichni uživatelé vyžadují vícefaktorové ověřování pro síťový nebo vzdálený přístup. Pro místní přístup se vyžaduje vícefaktorové ověřování jenom privilegovaným uživatelům. Pokud mají běžné uživatelské účty oprávnění správce jenom na svých počítačích, nejedná se o privilegovaný účet a nevyžaduje vícefaktorové ověřování pro místní přístup. Zodpovídáte za konfiguraci podmíněného přístupu tak, aby vyžadoval vícefaktorové ověřování. Povolte metody ověřování Microsoft Entra, které splňují AAL2 a vyšší. Udělení ovládacích prvků v zásadách podmíněného přístupu Dosažení úrovní záruky authenticatoru NIST pomocí Microsoft Entra ID Metody a funkce ověřování
IA. L2-3.5.4 Praktické prohlášení: Pro přístup k privilegovaným a neprivilegovaným účtům používejte mechanismy ověřování odolné proti přehrání. Cíle: Určete, jestli: [a.] Mechanismy ověřování odolné proti přehrání se implementují pro přístup k účtu sítě k privilegovaným a neprivilegovaným účtům.	Všechny metody ověřování Microsoft Entra v AAL2 a vyšší jsou odolné proti přehrání. Dosažení úrovní záruky authenticatoru NIST pomocí Microsoft Entra ID
IA. L2-3.5.5 Praktické tvrzení: Zabránění opakovanému použití identifikátorů pro definované období. Cíle: Určete, jestli: [a.] období, ve kterém se identifikátory nedají znovu použít, je definována; a [b.] Opakované použití identifikátorů je v definovaném období zabráněno.	Všichni uživatelé, skupina, objekt zařízení globálně jedinečné identifikátory (GUID) jsou zaručeny jedinečné a opakovaně použitelné po celou dobu životnosti tenanta Microsoft Entra. Typ prostředku uživatele – Microsoft Graph v1.0 Typ prostředku skupiny – Microsoft Graph v1.0 typ prostředku zařízení – Microsoft Graph v1.0
IA. L2-3.5.6 Practice statement: Disable identifiers after a defined period of inactivity. Cíle: Určete, jestli: [a.] období nečinnosti, po kterém je identifikátor zakázán; a [b.] identifikátory jsou zakázány po definovaném období nečinnosti.	Implementujte automatizaci správy účtů pomocí sady Microsoft Graph a Microsoft Graph PowerShell SDK. Pomocí Microsoft Graphu můžete monitorovat aktivitu přihlašování a sadu Microsoft Graph PowerShell SDK a provádět akce s účty v rámci požadovaného časového rámce. Určení nečinnosti Správa neaktivních uživatelských účtů v Microsoft Entra ID Správa zastaralých zařízení v Microsoft Entra ID Odebrání nebo zakázání účtů Práce s uživateli v Microsoft Graphu Získání uživatele Aktualizace uživatele Odstranění uživatele Práce se zařízeními v Microsoft Graphu Získání zařízení Aktualizace zařízení Odstranění zařízení Použití sady Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
IA. L2-3.5.7 Prohlášení o praxi: Cíle: Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. Určete, jestli: [a.] požadavky na složitost hesla jsou definovány; [b.] změna hesla požadavků na znak jsou definovány; [c.] minimální požadavky na složitost hesla, jak je definováno, se vynucují při vytváření nových hesel; a [d.] Minimální změna hesla požadavků na znak, jak je definováno, se vynucují při vytváření nových hesel. IA. L2-3.5.8 Praktické prohlášení: Zakáže opakované použití hesla pro zadaný počet generací. Cíle: Určete, jestli: [a.] počet generací, během kterých nelze heslo znovu použít; a [b.] opakované použití hesel je zakázáno během zadaného počtu generací.	Důrazně doporučujeme strategie bez hesel. Tento ovládací prvek platí jenom pro ověřovací moduly hesel, takže odebrání hesel jako dostupného ověřovacího objektu tento ovládací prvek nevykreslí. Podle NIST SP 800-63 B Oddíl 5.1.1: Udržujte seznam běžně používaných, očekávaných nebo ohrožených hesel. S ochranou hesel Microsoft Entra se výchozí globální seznamy zakázaných hesel automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Pokud chcete podporovat potřeby vaší firmy a zabezpečení, můžete definovat položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel. Pro zákazníky, kteří vyžadují striktní změnu znaku hesla, používají opakované použití hesla a požadavky na složitost hybridní účty nakonfigurované se synchronizací hodnot hash hesel. Tato akce zajišťuje, že hesla synchronizovaná s ID Microsoft Entra dědí omezení nakonfigurovaná v zásadách hesel služby Active Directory. Další ochrana místních hesel konfigurací místní ochrany heslem Microsoft Entra pro Doména služby Active Directory Services. Zvláštní publikace NIST 800-63 B Zvláštní publikace NIST 800-53 Revize 5 (IA-5 - Vylepšení řízení (1) Eliminace chybná hesla pomocí ochrany heslem Microsoft Entra Co je synchronizace hodnot hash hesel s Microsoft Entra ID?
IA. L2-3.5.9 Praktické prohlášení: Povolí dočasné použití hesla pro přihlášení systému s okamžitou změnou na trvalé heslo. Cíle: Určete, jestli: [a.] Okamžitá změna trvalého hesla se vyžaduje, když se k přihlášení systému použije dočasné heslo.	Počáteční heslo uživatele Microsoft Entra je dočasné jednotné heslo, které po úspěšném použití je okamžitě nutné změnit na trvalé heslo. Microsoft důrazně podporuje přijetí metod ověřování bez hesla. Uživatelé můžou spouštět metody ověřování bez hesla pomocí dočasného přístupového passu (TAP). TAP je čas a použijte omezené heslo vydané správcem, který splňuje požadavky silného ověřování. Použití ověřování bez hesla spolu s časem a použitím omezeného tap zcela eliminuje používání hesel (a jejich opakované použití). Přidání nebo odstranění uživatelů Konfigurace dočasného přístupového passu v MICROSOFT Entra ID pro registraci metod ověřování bez hesla Ověřování bez hesla
IA. L2-3.5.10 Praktické prohlášení: Ukládat a přenášet pouze kryptograficky chráněná hesla. Cíle: Určete, jestli: [a.] hesla jsou kryptograficky chráněna v úložišti; a [b.] hesla jsou kryptograficky chráněna při přenosu.	Šifrování tajných kódů v klidovém stavu: Kromě šifrování na úrovni disku se tajné kódy uložené v adresáři šifrují pomocí Správce distribuovaných klíčů (DKM). Šifrovací klíče se ukládají do úložiště Microsoft Entra Core a zašifrují se pomocí klíče jednotky škálování. Klíč je uložený v kontejneru chráněném seznamy ACL adresáře pro nejvyšší privilegované uživatele a konkrétní služby. Symetrický klíč se obvykle obměňuje každých šest měsíců. Přístup k prostředí je dále chráněn provozními ovládacími prvky a fyzickým zabezpečením. Šifrování během přenosu: Aby se zajistilo zabezpečení dat, data adresáře v MICROSOFT Entra ID jsou při přenosu mezi datovými centry v jednotce škálování podepsaná a šifrovaná. Data jsou šifrovaná a nešifrovaná vrstvou úložiště Microsoft Entra Core, která se nachází v zabezpečených oblastech hostování serverů přidružených datových center Microsoftu. Webové služby přístupné zákazníkům jsou zabezpečené protokolem TLS (Transport Layer Security). Další informace najdete v tématu Důležité informace o ochraně dat – Zabezpečení dat. Na stránce 15 najdete další podrobnosti. Demystifikace synchronizace hodnot hash hesel (microsoft.com) Důležité informace o zabezpečení dat microsoftu Entra
IA. L2-3.5.11 Praktické prohlášení: Zakrývají zpětnou vazbu ověřovacích informací. Cíle: Určete, jestli: [a.] informace o ověřování jsou během procesu ověřování nejasné.	Ve výchozím nastavení microsoft Entra ID zakrývá všechny ověřovací názory.

Další kroky

• Konfigurace ID Microsoft Entra pro dodržování předpisů CMMC
• Konfigurace ovládacích prvků CMMC úrovně 1
• Konfigurace řízení přístupu na úrovni 2 (AC) CMMC
• Konfigurace dalších ovládacích prvků cmmc úrovně 2