Konfigurieren von Microsoft Entra ID zum Erreichen der FedRAMP High Impact-Ebene

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Bewertungs- und Autorisierungsprozess für Clouddienstanbieter (Cloud Service Providers, CSPs). Der Prozess richtet sich insbesondere an CSPs, die Cloudlösungsangebote (Cloud Solution Offerings, CSOs) für die Verwendung in Bundesbehörden erstellen. Azure und Azure Government haben vom Joint Authorization Board, dem höchsten Organ für die FedRAMP-Zulassung, eine vorübergehende Betriebsgenehmigung (Provisional Authority to Operate, P-ATO) auf der High-Auswirkungsebene erhalten.

Azure bietet die Möglichkeit, alle Steuerungsanforderungen zu erfüllen, um eine hohe FedRAMP-Bewertung für Ihr CSO oder als Bundesorganisation zu erzielen. Es liegt in der Verantwortung Ihrer Organisation, zusätzliche Konfigurationen oder Prozesse zu erfüllen, um konform zu sein. Diese Verantwortung gilt sowohl für CSPs, die eine hohe FedRAMP-Autorisierung für ihr CSO beantragen, als auch für Bundesbehörden, die eine Autorität für den Betrieb (Authority to Operate, ATO) beantragen.

Microsoft und FedRAMP

Microsoft Azure unterstützt mehr Dienste auf FedRAMP High-Auswirkungsebenen als jeder andere CSP. Und während diese Ebene in der öffentlichen Azure-Cloud die Anforderungen vieler US-Behördenkunden erfüllt, können Behörden mit strengeren Anforderungen auf die Azure Government-Cloud zurückgreifen. Azure Government bietet zusätzliche Sicherheitsvorkehrungen, z. B. die verstärkte Personalüberprüfung.

Microsoft muss seine Clouddienste jedes Jahr neu zertifizieren, um seine Autorisierungen zu verwalten. Zu diesem Ziel überwacht und bewertet Microsoft kontinuierlich seine Sicherheitskontrollen und zeigt, dass die Sicherheit seiner Dienste konform bleibt. Weitere Informationen finden Sie unter FedRAMP-Autorisierungen für Microsoft Cloud Services und unter Microsoft FedRAMP-Überwachungsberichte. Um andere FedRAMP-Berichte zu erhalten, senden Sie eine E-Mail an Azure Federal Documentation.

Es gibt mehrere Pfade zur FedRAMP-Autorisierung. Sie können das vorhandene Autorisierungspaket von Azure und die hier enthaltenen Leitfäden wiederverwenden, um Zeit und Aufwand für den Erhalt einer ATO oder P-ATO erheblich zu reduzieren.

Umfang der Leitfäden

Die FedRAMP High-Baseline besteht aus 421 Kontrollen und Kontrollerweiterungen von NIST 800-53 Security Controls Catalog Revision 4. Sofern zutreffend, haben wir klarstellende Informationen aus der 800-53 Revision 5 hinzugefügt. Dieser Artikelsatz behandelt eine Teilmenge dieser Kontrollen, die sich auf die Identität beziehen und die Sie konfigurieren müssen.

Wir bieten einen ausführlichen Leitfaden, der Sie bei der Einhaltung von Kontrollen unterstützt, für deren Konfiguration in Microsoft Entra ID Sie verantwortlich sind. Um einige Anforderungen an die Identitätskontrolle vollständig zu erfüllen, müssen Sie möglicherweise andere Systeme verwenden. Andere Systeme enthalten beispielsweise ein SIEM-Tool (Security Information & Event Management) wie Azure Sentinel. Wenn Sie Azure-Dienste außerhalb von Microsoft Entra ID verwenden, gibt es weitere Kontrollen, die zu berücksichtigen sind. Sie können die bereits in Azure vorgefertigten Funktionen nutzen, um die Kontrollen zu erfüllen.

Nachstehend sehen Sie eine Liste der FedRAMP-Ressourcen:

• Federal Risk and Authorization Management Program (FedRAMP)

• FedRAMP Security Assessment Framework

• Agency Guide for FedRAMP Authorizations

• Verwalten von Compliance in der Cloud bei Microsoft

• Microsoft Government Cloud

• Complianceangebote von Azure

• FedRAMP High: In Azure Policy integrierte Initiativendefinition

• Grundlegendes zum Microsoft Purview-Complianceportal

• Grundlegendes zum Compliance-Manager für Microsoft Purview

Nächste Schritte

Konfigurieren der Zugriffssteuerung

Konfigurieren von Identifizierungs- und Authentifizierungskontrollen

Konfigurieren Sie andere Steuerelemente