Freigeben über


Konfigurieren von Microsoft Entra ID für die Erfüllung von CMMC Level 2

Microsoft Entra ID unterstützt bei der Erfüllung identitätsbezogener Verfahrensanforderungen auf allen CMMC-Ebenen (Cybersecurity Maturity Model Certification). Um die Anforderungen von CMMC V2.0 Level 2 zu erfüllen, liegt es in der Verantwortung von Unternehmen, die für das bzw. im Auftrag des US-Verteidigungsministeriums (DoD) arbeiten, weitere Konfigurationen oder Prozesse abzuschließen.

CMMC Level 2 umfasst 13 Bereiche, die ein oder mehrere identitätsbezogene Verfahren abdecken:

  • Zugriffssteuerung (Access Control, AC)
  • Überwachung und Verantwortlichkeit (AU)
  • Konfigurationsverwaltung (Configuration Management, CM)
  • Identifizierung und Authentifizierung (IA)
  • Reaktion auf Vorfälle (Incident Response, IR)
  • Wartung (Maintenance, MA)
  • Medienschutz (Media Protection, MP)
  • Personalsicherheit (PS)
  • Physischer Schutz (PE)
  • Risikobewertung (Risk Assessment, RA)
  • Sicherheitsbewertung (CA)
  • System- und Kommunikationsschutz (System and Communications, SC)
  • Integrität von System und Informationen (SI)

In diesem Artikel finden Sie Anleitungen für alle Bereiche mit Ausnahme von „Zugriffssteuerung (AC)“ und „Identifizierung und Authentifizierung (IA)“, die in anderen Artikeln behandelt werden. Für jeden Bereich gibt es eine Tabelle mit Links zu Inhalten, die eine Schritt-für-Schritt-Anleitung für die Durchführung des Verfahrens bieten.

Überwachung und Verantwortlichkeit

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
AU.L2-3.3.1

Verfahrensanweisung: Erstellen und speichern Sie Systemüberwachungsprotokolle und -datensätze, um die Überwachung, Analyse, Untersuchung und Berichterstellung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen.

Ziele:
Ermitteln Sie, ob:
[a.] Überwachungsprotokolle (z. B. zu protokollierende Ereignistypen) angegeben sind, um die Überwachung, Analyse, Untersuchung und Berichterstellung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten zu ermöglichen;
[b.] der Inhalt von Überwachungsdatensätzen, die zur Unterstützung der Überwachung, Analyse, Untersuchung und Berichterstellung von unrechtmäßigen oder nicht autorisierten Systemaktivitäten erforderlich sind, definiert ist;
[c.] Überwachungsdatensätze erstellt (generiert) werden;
[d.] die erstellten Überwachungsdatensätze den definierten Inhalt enthalten;
[e.] Aufbewahrungsanforderungen für Überwachungsdatensätze definiert sind; und
[f.] Überwachungsdatensätze wie definiert aufbewahrt werden.

AU.L2-3.3.2

Verfahrensanweisung: Stellen Sie sicher, dass die Aktionen einzelner Systembenutzer eindeutig zu diesen Benutzern zurückverfolgt werden können, damit sie für ihre Aktionen zur Verantwortung gezogen werden können.

Ziele:
Ermitteln Sie, ob:
[a.] der Inhalt der Überwachungsdatensätze definiert ist, die zur Unterstützung der eindeutigen Rückverfolgung von Benutzern zu ihren Aktionen erforderlich sind; und
[b.] die erstellten Überwachungsdatensätze den definierten Inhalt enthalten.
Alle Vorgänge werden in den Microsoft Entra-Auditprotokollen geprüft. Jeder Überwachungsprotokolleintrag enthält die unveränderliche Objekt-ID eines Benutzers, die dazu dient, einen einzelnen Systembenutzer eindeutig zu jeder Aktion zurückzuverfolgen. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren und so die Überwachung und Benachrichtigung zu ermöglichen.
Berichte zu Überwachungsaktivitäten im Azure-Portal
Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel
Tutorial: Streamen von Protokollen an einen Azure Event Hub
AU.L2-3.3.4

Verfahrensanweisung: Lösen Sie eine Warnung aus, wenn ein Überwachungsprotokollierungsprozess fehlschlägt.

Ziele:
Ermitteln Sie, ob:
[a.] Mitarbeiter oder Rollen benachrichtigt werden sollen, wenn ein Fehler im Überwachungsprotokollierungsprozess identifiziert wird;
[b.] Typen von Fehlern des Überwachungsprotokollierungsprozesses, für die eine Warnung generiert wird, definiert sind; und
[c] identifizierte Mitarbeiter oder Rollen im Falle eines Fehlers im Überwachungsprotokollierungsprozess benachrichtigt werden.
Azure Service Health benachrichtigt Sie über Vorfälle im Azure-Dienst, damit Sie entsprechende Maßnahmen ergreifen können, um Ausfallzeiten zu vermeiden. Konfigurieren Sie für Microsoft Entra ID anpassbare Cloudwarnungen.
Was ist Azure Service Health?
Drei Möglichkeiten, über Azure-Dienstprobleme benachrichtigt zu werden
Azure Service Health
AU.L2-3.3.6

Verfahrensanweisung: Ermöglichen Sie die Verringerung von Überwachungsdatensätzen und die Erstellung von Berichten zur Unterstützung von On-Demand-Analysen und -Berichterstattung.

Ziele:
Ermitteln Sie, ob:
[a.] eine Funktion zur Verringerung von Überwachungsdatensätzen bereitgestellt wird, die On-Demand-Analysen unterstützt; und
[b.] eine Berichterstellungsfunktion bereitgestellt wird, die bedarfsgesteuerte Berichte unterstützt.
Stellen Sie sicher, dass Microsoft Entra-Ereignisse in die Strategie zur Ereignisprotokollierung einbezogen sind. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren und so die Überwachung und Benachrichtigung zu ermöglichen. Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen, um den Konformitätsstatus von Konten sicherzustellen.
Berichte zu Überwachungsaktivitäten im Azure-Portal
Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel
Tutorial: Streamen von Protokollen an einen Azure Event Hub
AU.L2-3.3.8

Verfahrensanweisung: Schützen Sie Überwachungsinformationen und Überwachungsprotokollierungstools vor nicht autorisierten Zugriffen, Änderungen und Löschungen.

Ziele:
Ermitteln Sie, ob:
[a.] Überwachungsinformationen vor nicht autorisiertem Zugriff geschützt sind;
[b.] Überwachungsinformationen vor nicht autorisierten Änderungen geschützt sind;
[c.] Überwachungsinformationen vor nicht autorisierten Löschungen geschützt sind;
[d.] Überwachungsprotokollierungstools vor nicht autorisiertem Zugriff geschützt sind;
[e.] Überwachungsprotokollierungstools vor nicht autorisierten Änderungen geschützt sind; und
[f.] Überwachungsprotokollierungstools vor nicht autorisierten Löschungen geschützt sind.

AU.L2-3.3.9

Verfahrensanweisung: Schränken Sie die Verwaltung der Funktionalität zur Überwachungsprotokollierung auf eine Teilmenge privilegierter Benutzer ein.

Ziele:
Ermitteln Sie, ob:
[a.] eine Teilmenge von privilegierten Benutzern, denen Zugriff auf die Verwaltung der Funktionalität zur Überwachungsprotokollierung gewährt wird, definiert ist; und
[b.] die Verwaltung der Funktionalität zur Überwachungsprotokollierung auf die definierte Teilmenge privilegierter Benutzer beschränkt ist.
Microsoft Entra-Protokolle werden standardmäßig 30 Tage aufbewahrt. Diese Protokolle können nicht geändert oder gelöscht werden und sind nur für eine begrenzte Gruppe privilegierter Rollen zugänglich.
Anmeldeprotokolle in Microsoft Entra ID
Überwachungsprotokolle in Microsoft Entra ID

Konfigurationsverwaltung (Configuration Management, CM)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
CM.L2-3.4.2

Verfahrensanweisung: Erstellen und erzwingen Sie Sicherheitskonfigurationseinstellungen für IT-Produkte, die in Organisationssystemen eingesetzt werden.

Ziele:
Ermitteln Sie, ob:
[a.] Sicherheitskonfigurationseinstellungen für im System verwendete IT-Produkte festgelegt und in der Basiskonfiguration enthalten sind; und
[b.] Sicherheitskonfigurationseinstellungen für im System verwendete IT-Produkte erzwungen werden.
Führen Sie eine Zero-Trust-Sicherheitsstrategie ein. Verwenden Sie Richtlinien für bedingten Zugriff, um den Zugriff auf kompatible Geräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um mit MDM-Lösungen wie Microsoft Intune Sicherheitskonfigurationseinstellungen zu erzwingen. Microsoft Configuration Manager oder Gruppenrichtlinienobjekte können auch in Hybridbereitstellungen in Frage kommen und erfordern bei Kombination mit bedingtem Zugriff ein hybrid in Microsoft Entra ID eingebundenes Gerät.

Zero Trust
Sicherstellung der Identität mit Zero Trust

Bedingter Zugriff
Was ist der bedingte Zugriff in Microsoft Entra ID?
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff

Geräterichtlinien
Was ist Microsoft Intune?
Was sind die Defender-für-Cloud-Apps?
Was ist die Microsoft Intune App-Verwaltung?
Lösungen für die Microsoft-Endpunktverwaltung
CM.L2-3.4.5

Verfahrensanweisung: Definieren, dokumentieren, genehmigen und erzwingen Sie physische und logische Zugriffsbeschränkungen im Zusammenhang mit Änderungen an Organisationssystemen.

Ziele:
Ermitteln Sie, ob:
[a.] physische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System definiert sind;
[b.] physische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System dokumentiert sind;
[c.] physische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System genehmigt sind;
[d.] physische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System erzwungen werden;
[e.] logische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System definiert sind;
[f.] logische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System dokumentiert sind;
[g.] logische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System genehmigt sind; und
[h.] logische Zugriffsbeschränkungen im Zusammenhang mit Änderungen am System erzwungen werden.
Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst. Kunden haben keinen physischen Zugriff auf die Microsoft Entra ID-Rechenzentren. Daher wird jede physische Zugriffsbeschränkung von Microsoft erfüllt und von den Microsoft Entra ID-Kunden übernommen. Implementieren sie Microsoft Entra rollenbasierte Zugriffssteuerungen. Heben Sie den bestehenden privilegierten Zugriff auf, und ermöglichen Sie Just-in-Time-Zugriff mithilfe von Genehmigungsworkflows und Privileged Identity Management.
Übersicht über Microsoft Entra rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
Was ist Privileged Identity Management?
Genehmigen oder Ablehnen von Anforderungen für Microsoft Entra-Rollen in PIM
CM.L2-3.4.6

Verfahrensanweisung: Wenden Sie das Prinzip der geringsten Funktionalität an, indem Sie Organisationssysteme so konfigurieren, dass nur wesentliche Funktionen bereitgestellt werden.

Ziele:
Ermitteln Sie, ob:
[a.] wesentliche Systemfunktionen auf der Grundlage des Prinzips der geringsten Funktionalität definiert sind; und
[b.] das System so konfiguriert ist, dass nur die definierten wesentlichen Funktionen bereitgestellt werden.
Konfigurieren Sie Geräteverwaltungslösungen (z. B. Microsoft Intune), um eine benutzerdefinierte Sicherheitsbaseline für Organisationssysteme umzusetzen, damit unwesentliche Anwendungen entfernt und unnötige Dienste deaktiviert werden. Lassen Sie nur die wenigsten Funktionen zu, die für einen effektiven Betrieb der Systeme erforderlich sind. Konfigurieren Sie bedingten Zugriff, um Zugriff auf konforme oder in hybrid eingebundene Microsoft Entra Geräte einzuschränken.
Was ist Microsoft Intune?
Markieren des Geräts als kompatibel erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: In Microsoft Entra eingebundenes Hybridgerät erforderlich
CM.L2-3.4.7

Verfahrensanweisung: Beschränken, deaktivieren oder verhindern Sie die Verwendung nicht benötigter Programme, Funktionen, Ports, Protokolle und Dienste.

Ziele:
Ermitteln Sie, ob:
[a.] wesentliche Programme definiert sind;
[b.] die Verwendung von nicht unbedingt erforderlichen Programmen definiert ist;
[c.] die Verwendung von nicht unbedingt erforderlichen Programmen wie definiert eingeschränkt, deaktiviert oder verhindert wird;
[d.] wesentliche Funktionen definiert sind;
[e.] die Verwendung von nicht unbedingt erforderlichen Funktionen definiert ist;
[f.] die Verwendung von nicht unbedingt erforderlichen Funktionen wie definiert eingeschränkt, deaktiviert oder verhindert wird;
[g.] wichtige Ports definiert sind;
[h.] die Verwendung von nicht unbedingt erforderlichen Ports definiert ist;
[i.] die Verwendung von nicht unbedingt erforderlichen Ports wie definiert eingeschränkt, deaktiviert oder verhindert wird;
[j.] wesentliche Protokolle definiert sind;
[k.] die Verwendung von nicht unbedingt erforderlichen Protokollen definiert ist;
[l.] die Verwendung von nicht unbedingt erforderlichen Protokollen wie definiert eingeschränkt, deaktiviert oder verhindert wird;
[m.] wesentliche Dienste definiert sind;
[n.] die Verwendung von nicht unbedingt erforderlichen Diensten definiert ist; und
[o.] die Verwendung von nicht unbedingt erforderlichen Diensten wie definiert eingeschränkt, deaktiviert oder verhindert wird.
Delegieren Sie mithilfe der Rolle „Anwendungsadministrator“ die autorisierte Nutzung wesentlicher Anwendungen. Verwalten Sie mittels App-Rollen oder Gruppenansprüchen den Zugriff mit den geringsten Rechten innerhalb der Anwendung. Konfigurieren Sie die Benutzereinwilligung, um eine Administratorgenehmigung anzufordern und keine Einwilligung durch Gruppenbesitzer zuzulassen. Konfigurieren Sie Workflows für die Anforderung von Administratoreinwilligungen, damit Benutzer Zugriff auf Anwendungen anfordern können, die eine Administratoreinwilligung erfordern. Verwenden Sie Microsoft Defender for Cloud Apps, um nicht genehmigte/unbekannte Anwendungsnutzung zu ermitteln. Bestimmen Sie anschließend mit diesen Telemetriedaten wesentliche und unwesentliche Apps.
Integrierte Microsoft Entra-Rollen – Anwendungsadministrator
Microsoft Entra-App-Rollen – App-Rollen im Vergleich zu Gruppen
Konfigurieren der Benutzereinwilligung für Anwendungen
Konfigurieren der Gruppenbesitzereinwilligung für Apps, die auf Gruppendaten zugreifen
Konfigurieren des Workflows für die Administratoreinwilligung (Vorschau)
Was sind die Defender-für-Cloud-Apps?
Tutorial zum Erkennen und Verwalten von Schatten-IT
CM.L2-3.4.8

Verfahrensanweisung: Wenden Sie eine Richtlinie vom Typ „Durch Ausnahme ablehnen“ (Sperrliste) an, um die Verwendung von nicht autorisierter Software zu verhindern, oder erlauben Sie über eine Richtlinie vom Typ „Alle ablehnen, durch Ausnahme zulassen“ (Positivliste) die Ausführung autorisierter Software.

Ziele:
Ermitteln Sie, ob:
[a.] eine Richtlinie festgelegt ist, die angibt, ob eine Positivliste oder eine Sperrliste implementiert werden soll;
[b.] die Software, die gemäß der Positivliste ausgeführt werden darf oder deren Verwendung gemäß der Sperrliste verweigert wird, angegeben ist; und
[c.] eine Positivliste zum Zulassen der Ausführung autorisierter Software oder eine Sperrliste zum Verhindern der Verwendung nicht autorisierter Software wie angegeben implementiert ist.

CM.L2-3.4.9

Verfahrensanweisung: Steuern und überwachen Sie vom Benutzer installierte Software.

Ziele:
Ermitteln Sie, ob:
[a.] eine Richtlinie zum Steuern der Installation von Software durch Benutzer festgelegt ist;
[b.] die Installation von Software durch Benutzer auf der Grundlage der festgelegten Richtlinie gesteuert wird; und
[c.] die Installation von Software durch die Benutzer überwacht wird.
Konfigurieren Sie die MDM-/Konfigurationsverwaltungsrichtlinie, um die Nutzung nicht autorisierter Software zu verhindern. Konfigurieren Sie Zuweisungskontrollen für bedingten Zugriff, um konforme oder hybrid eingebundene Geräte anzufordern, um die Gerätekonformität mit der MDM-/Konfigurationsverwaltungsrichtlinie in die Autorisierungsentscheidung für bedingten Zugriff einzubeziehen.
Was ist Microsoft Intune?
Bedingter Zugriff: Anfordern konformer oder hybrider in Azure AD eingebundener Geräte

Reaktion auf Vorfälle (Incident Response, IR)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
IR. L2-3.6.1

Verfahrensanweisung: Richten Sie eine operative Funktion zur Behandlung von Vorfällen für Organisationssysteme ein, die Aktivitäten zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Benutzerreaktion umfasst.

Ziele:
Ermitteln Sie, ob:
[a.] eine operative Funktion zur Behandlung von Vorfällen eingerichtet ist;
[b.] die operative Funktion zur Behandlung von Vorfällen die Vorbereitung umfasst;
[c.] die operative Funktion zur Behandlung von Vorfällen die Erkennung umfasst;
[d.] die operative Funktion zur Behandlung von Vorfällen die Analyse umfasst;
[e.] die operative Funktion zur Behandlung von Vorfällen die Eindämmung umfasst;
[f.] die operative Funktion zur Behandlung von Vorfällen die Wiederherstellung umfasst; und
[g.] die operative Funktion zur Behandlung von Vorfällen Benutzerreaktionen umfasst.
Implementieren Sie Funktionen zur Bearbeitung und Überwachung von Vorfällen. Die Überwachungsprotokolle zeichnen alle Konfigurationsänderungen auf. Authentifizierungs- und Autorisierungsereignisse werden in den Anmeldeprotokollen und ggf. erkannte Risiken in den Identity Protection-Protokollen überwacht. Sie können jedes dieser Protokolle direkt in eine SIEM-Lösung wie z. B. Microsoft Sentinel streamen. Alternativ können Sie auch Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren.

Überwachen von Ereignissen
Berichte zu Überwachungsaktivitäten im Azure-Portal
Berichte zu Anmeldeaktivitäten im Azure-Portal
Anleitung: Untersuchen eines Risikos

SIEM-Integrationen
Microsoft Sentinel: Verbinden von Daten aus Microsoft Entra IDStreamen von Daten in Azure Event Hub und anderen SIEM-Lösungen

Wartung (Maintenance, MA)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
MA.L2-3.7.5

Verfahrensanweisung: Legen Sie die Multi-Faktor-Authentifizierung als erforderlich fest, um nicht lokale Wartungssitzungen über externe Netzwerkverbindungen einzurichten, und beenden Sie solche Verbindungen, wenn die nicht lokale Wartung abgeschlossen ist.

Ziele:
Ermitteln Sie, ob:
[a.] die Multi-Faktor-Authentifizierung verwendet wird, um nicht lokale Wartungssitzungen über externe Netzwerkverbindungen einzurichten; und
[b.] über externe Netzwerkverbindungen eingerichtete nicht lokale Wartungssitzungen beendet werden, wenn die nicht lokale Wartung abgeschlossen ist.
Konten, denen Administratorrechte zugewiesen sind, werden von Angreifern ins Visier genommen, einschließlich Konten, die zum Einrichten nicht lokaler Wartungssitzungen dienen. Die Anforderung von Multi-Faktor-Authentifizierung (MFA) für diese Konten ist ein einfacher Weg, um das Risiko zu verringern, dass diese Konten gefährdet werden.
Bedingter Zugriff – MFA für alle Benutzer anfordern
MP.L2-3.8.7

Verfahrensanweisung: Steuern und überwachen Sie die Verwendung von Wechselmedien auf Systemkomponenten.

Ziele:
Ermitteln Sie, ob:
[a.] die Verwendung von Wechselmedien auf Systemkomponenten gesteuert und überwacht wird.
Konfigurieren Sie Geräteverwaltungsrichtlinien über eine MDM-Lösung (wie z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um die Verwendung von Wechselmedien zu kontrollieren. Sie können die Zugriffssteuerung für Wechselmedien mit Intune, Configuration Manager oder einer Gruppenrichtlinie bereitstellen und verwalten. Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Anfordern Microsoft Entra hybrid eingebundenen Geräts

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune

Zugriffssteuerung für Wechselmedien
Bereitstellen und Verwalten der Zugriffssteuerung für Wechselmedien mit Intune
Bereitstellen und Verwalten der Zugriffssteuerung für Wechselmedien mit Gruppenrichtlinie

Personalsicherheit (PS)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
PS.L2-3.9.2

Verfahrensanweisung: Stellen Sie sicher, dass Organisationssysteme, die kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) enthalten, während und nach Personalmaßnahmen wie z. B. Kündigungen und Versetzungen geschützt sind.

Ziele:
Ermitteln Sie, ob:
[a.] eine Richtlinie und/oder ein Verfahren zum Beenden des Systemzugriffs und zum Entfernen aller Anmeldeinformationen im Zuge von Personalmaßnahmen festgelegt ist;
[b.] der Systemzugriff und die Anmeldeinformationen entsprechend den Personalmaßnahmen wie Kündigungen oder Versetzungen beendet/entfernt werden; und
[c] das System während und nach Personalversetzungsmaßnahmen geschützt ist.
Konfigurieren Sie die Bereitstellung von Konten in Microsoft Entra ID (einschließlich Deaktivierung bei Beendigung) über externe Personalsysteme, lokales Active Directory oder direkt in der Cloud. Widerrufen Sie vorhandene Sitzungen, um den Systemzugriff vollständig zu beenden.

Kontobereitstellung
Was ist die Identitätsbereitstellung mit Microsoft Entra ID?
Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
Was ist die Microsoft Entra Connect-Cloudsynchronisierung?

Widerrufen aller zugeordneten Authentifikatoren
Widerrufen des Benutzerzugriffs in Microsoft Entra ID in einem Notfall

System- und Kommunikationsschutz (System and Communications, SC)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
SC.L2-3.13.3

Verfahrensanweisung: Trennen Sie die Benutzerfunktionalität von Systemverwaltungsfunktionen.

Ziele:
Ermitteln Sie, ob:
[a.] die Benutzerfunktionalität identifiziert ist;
[b.] Systemverwaltungsfunktionen identifiziert sind; und
[c.] die Benutzerfunktionalität von den Systemverwaltungsfunktionen getrennt ist.
Verwalten Sie separate Benutzerkonten in Microsoft Entra ID für die tägliche produktive Nutzung und administrative Verwaltung bzw. die Verwaltung des System-/privilegierten Zugriffs. Privilegierte Konten sollten reine Cloudkonten oder verwaltete Konten sein und nicht lokal synchronisiert werden, um die Cloudumgebung vor lokalen Kompromittierungen zu schützen. Der System-/privilegierte Zugriff sollte nur auf einer Privileged Access Workstation (PAW) mit gehärteter Sicherheit zugelassen werden. Konfigurieren Sie Gerätefilter für bedingten Zugriff, um den Zugriff auf administrative Anwendungen auf PAWs einzuschränken, die mithilfe von Azure Virtual Desktop-Instanzen aktiviert sind.
Warum sind Geräte mit privilegiertem Zugriff wichtig?
Geräterollen und -profile
Filter für Geräte als Bedingung in der Richtlinie für bedingten Zugriff
Azure Virtual Desktop
SC.L2-3.13.4

Verfahrensanweisung: Verhindern Sie eine nicht autorisierte und unbeabsichtigte Informationsübertragung durch freigegebene Systemressourcen.

Ziele:
Ermitteln Sie, ob:
[a.] eine nicht autorisierte und unbeabsichtigte Informationsübertragung durch freigegebene Systemressourcen verhindert wird.
Konfigurieren Sie Geräteverwaltungsrichtlinien über eine MDM-Lösung (z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um die Konformität von Geräten mit Systemhärtungsverfahren sicherzustellen. Schließen Sie die Einhaltung von Unternehmensrichtlinien für Softwarepatches ein, um zu verhindern, dass Angreifer Schwachstellen ausnutzen.

Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Anfordern Microsoft Entra hybrid eingebundenen Geräts

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune
SC.L2-3.13.13

Verfahrensanweisung: Steuern und überwachen Sie die Verwendung von mobilem Code.

Ziele:
Ermitteln Sie, ob:
[a.] die Verwendung von mobilem Code gesteuert wird; und
[b.] die Verwendung von mobilem Code überwacht wird.
Konfigurieren Sie Geräteverwaltungsrichtlinien über eine MDM-Lösung (wie z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um die Verwendung von mobilem Code zu deaktivieren. Wenn die Verwendung von mobilem Code erforderlich ist, überwachen Sie die Verwendung mit einer Lösung für Endpunktsicherheit wie Microsoft Defender for Endpoint.

Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Anfordern Microsoft Entra hybrid eingebundenen Geräts

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune

Defender für Endpunkt
Microsoft Defender für den Endpunkt

Integrität von System und Informationen (SI)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
SI. L2-3.14.7

Verfahrensanweisung:

Ziele: Identifizieren Sie die nicht autorisierte Verwendung von Organisationssystemen.
Ermitteln Sie, ob:
[a.] die autorisierte Verwendung des Systems definiert ist; und
[b.] die nicht autorisierte Verwendung des Systems identifiziert ist.
Konsolidieren von Telemetriedaten: Microsoft Entra-Protokolle zum Streamen in eine SIEM-Lösung, z. B. Azure Sentinel, Konfigurieren von Geräteverwaltungsrichtlinien über eine MDM-Lösung (z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um anzufordern, dass Intrusion Detection/Intrusion Protection-Systeme (IDS/IPS) wie z. B. Microsoft Defender for Endpoint installiert sind und verwendet werden. Nutzen Sie die von der IDS/IPS-Lösung bereitgestellten Telemetriedaten, um ungewöhnliche Aktivitäten oder Bedingungen im Zusammenhang mit ein- und ausgehendem Datenverkehr oder nicht autorisierter Nutzung zu erkennen.

Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Anfordern Microsoft Entra hybrid eingebundenen Geräts

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune

Defender für Endpunkt
Microsoft Defender für den Endpunkt

Nächste Schritte