Konfigurieren Sie Identitätszugriffskontrollen, um die FedRAMP High-Impact-Stufe zu erfüllen

Artikel
10/29/2023

Die Zugriffssteuerung ist ein wesentlicher Bestandteil zum Erzielen einer Betriebserlaubnis der Auswirkungsstufe „High“ im Rahmen des Federal Risk and Authorization Management Program (FedRAMP).

Die folgende Liste von Steuerelementen und Steuererweiterungen in der Zugriffsteuerungsgruppe (Access Control, AC) erfordert möglicherweise eine Konfiguration in Ihrem Microsoft Entra-Mandanten.

Steuerelementengruppe	BESCHREIBUNG
AC-2	Kontenverwaltung
AC-6	Mindestberechtigungen
AC-7	Fehlgeschlagene Anmeldeversuche
AC-8	Systemnutzungs-Benachrichtigung
AC-10	Steuerung simultaner Sessions
AC-11	Session-Sperre
AC-12	Beenden der Session
AC-20	Verwendung externer Informationssysteme

Jede Zeile in der folgenden Tabelle enthält eine ausführliche Anleitung, mit deren Hilfe Sie die Antwort Ihrer Organisation auf gemeinsame Zuständigkeiten für das Steuerelement oder die Steuererweiterung entwickeln können.

Configurations

FedRAMP-Steuerungs-ID und Beschreibung	Leitfaden und Empfehlungen für Microsoft Entra
AC-2 KONTOVERWALTUNG Die Organisation (a.) identifiziert und benennt die folgenden Arten von Informationssystemkonten zur Unterstützung von Organisationsmissionen/Geschäftsfunktionen und wählt sie aus: [Zuweisung: von der Organisation definierte Informationssystemkonten]; (b.) weist Konto-Manager für Informationssystemkonten zu; (c.) legt Bedingungen für die Gruppen- und Rollenmitgliedschaft fest; (d.) spezifiziert autorisierte Informationssystembenutzer, Gruppen- und Rollenmitgliedschaften und Zugriffsautorisierungen (z. B. Berechtigungen) und ggf. weitere Attribute für jedes Konto; (e.) verlangt Genehmigungen durch [Zuweisung: von der Organisation definierte Mitarbeiter oder Rollen] für die Beantragung der Erstellung von Informationssystemkonten; (f.) erstellt, aktiviert, ändert, deaktiviert und entfernt Informationssystemkonten entsprechend den [Zuweisung: von der Organisation definierten Verfahren oder Bedingungen]; (g.) überwacht die Verwendung von Informationssystemkonten; (h.) benachrichtigt Kontomanager: (1.) wenn Konten nicht mehr benötigt werden; (2.) wenn Nutzer ausgeschlossen oder übertragen werden; und (3.) wenn sich die Nutzung einzelner Informationssysteme oder der Bedarf an Informationen ändert; (i.) autorisiert den Zugriff auf das Informationssystem basierend auf: (1.) einer gültigen Zugangsberechtigung; (2.) der beabsichtigten Systemnutzung; und (3.) anderen Attribute, die von der Organisation oder den zugehörigen Missionen/Geschäftsfunktionen verlangt werden; (j.) überprüft Konten auf Konformität mit den Kontoverwaltungsanforderungen [FedRAMP-Zuweisung: monatlich für privilegierten Zugriff, alle sechs (6) Monate für nicht privilegierten Zugriff]; und (k.) implementiert einen Vorgang, durch den für freigegebene oder Gruppenkonten (sofern vorhanden) bei Entfernung von Personen aus der Gruppe neue Anmeldeinformationen ausgestellt werden.	Implementierung des Account Lifecycle Management für kundenkontrollierte Accounts. Überwachen Sie die Nutzung von Konten und benachrichtigen Sie Kundenbetreuer über Ereignisse im Kontolebenszyklus. Überprüfung der Konten auf Einhaltung der Anforderungen an die Kontenverwaltung jeden Monat für privilegierten Zugang und alle sechs Monate für nicht privilegierten Zugang. Verwenden Sie Microsoft Entra ID zum Bereitstellen von Konten aus externen HR-Systemen, des lokalen Active Directory oder direkt in der Cloud. Alle Vorgänge des Kontolebenszyklus werden in den Microsoft Entra-Auditprotokollen geprüft. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren und so die Überwachung und Benachrichtigung zu ermöglichen. Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen, um den Konformitätsstatus von Konten sicherzustellen. Bereitstellen von Konten Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung Hinzufügen oder Löschen von Benutzern mit Microsoft Entra-ID Konten überwachen Aktivitätsberichte im Microsoft Entra Admin Center überwachen Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel Tutorial: Streamen von Protokollen an einen Azure Event Hub Konten überprüfen Was ist Microsoft Entra-Berechtigungsverwaltung? Erstellen einer Zugriffsüberprüfung eines Zugriffspakets in der Microsoft Entra-Berechtigungsverwaltung Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung Ressourcen Administratorrollenberechtigungen in Microsoft Entra ID Dynamische Gruppen in Microsoft Entra ID
AC-2(1) Die Organisation setzt automatisierte Mechanismen zur Unterstützung der Verwaltung von Informationssystemkonten ein.	Verwenden Sie automatisierte Mechanismen, um die Verwaltung von kundengesteuerten Konten zu unterstützen. Konfigurieren Sie die automatisierte Bereitstellung von kundengesteuerten Konten aus externen HR-Systemen oder dem lokalen Active Directory. Konfigurieren Sie Microsoft Entra ID für Anwendungen, welche die Anwendungsbereitstellung unterstützen, um automatisch Benutzeridentitäten und Rollen in SaaS-Anwendungen (Software-as-a-Solution) in der Cloud zu erstellen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Zur leichteren Überwachung der Kontonutzung können Sie Microsoft Entra ID-Identitätsschutz-Protokolle, die riskante Benutzer und Anmeldungen als auch Risikoerkennungen anzeigen, sowie Überwachungsprotokolle direkt in Microsoft Sentinel oder den Event Hub streamen. bereitstellen Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung Was ist die automatisierte Bereitstellung von SaaS-App-Benutzern in Microsoft Entra ID? Tutorials zur Integration von SaaS-Apps für die Verwendung mit Microsoft Entra ID Überwachung Untersuchen eines Risikos Aktivitätsberichte im Microsoft Entra Admin Center überwachen Was ist Microsoft Sentinel? Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
AC-2(2) Das Informationssystem [FedRAMP-Auswahl: deaktiviert] temporäre Konten und Notfallkonten automatisch nach [FedRAMP-Zuweisung: 24 Stunden nach der letzten Verwendung]. AC-02(3) Das Informationssystem deaktiviert inaktive Konten automatisch nach [FedRAMP-Zuweisung: fünfunddreißig (35) Tagen für Benutzerkonten]. AC-2 (3) Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Der Dienstanbieter definiert den Zeitraum für Nichtbenutzerkonten (z. B. Konten, die Geräten zugeordnet sind). Die Fristen werden vom JAB/AO genehmigt und akzeptiert. Wenn die Benutzerverwaltung eine Funktion des Dienstes ist, werden Berichte über die Tätigkeit der Consumerbenutzer zur Verfügung gestellt.	Verwenden Sie automatisierte Mechanismen, um das automatische Entfernen oder Deaktivieren von temporären Konten und Notfallkonten nach 24 Stunden ab der letzten Verwendung und aller kundengesteuerten Konten nach 35 Tagen Inaktivität zu unterstützen. Implementieren Sie die Automatisierung der Kontoverwaltung mit Microsoft Graph und Microsoft Graph PowerShell. Verwenden Sie Microsoft Graph, um Anmeldeaktivitäten zu überwachen, und Microsoft Graph PowerShell, um Innerhalb des erforderlichen Zeitrahmens Maßnahmen für Konten zu ergreifen. Bestimmen von Inaktivität Verwalten inaktiver Benutzerkonten in Microsoft Entra ID Verwalten veralteter Geräte in Microsoft Entra ID Entfernen oder Deaktivieren von Konten Arbeiten mit Benutzern in Microsoft Graph Abrufen eines Benutzers Benutzer aktualisieren Löschen eines Benutzers Arbeiten mit Geräten in Microsoft Graph Gerät abrufen Gerät aktualisieren Gerät löschen Weitere Informationen finden Sie in der Microsoft Graph PowerShell-Dokumentation. Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) Das Informationssystem überwacht automatisch alle Aktionen zur Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [FedRAMP-Zuweisung: den Systembesitzer der Organisation und/oder des Dienstanbieters].	Implementieren Sie ein automatisiertes Überwachungs- und Benachrichtigungssystem für den Verwaltungslebenszyklus kundengesteuerter Konten. Alle Vorgänge im Kontolebenszyklus (z. B. Erstellen, Ändern, Aktivieren, Deaktivieren und Entfernen des Kontos) werden in den Azure AD-Überwachungsprotokollen überwacht. Zur Unterstützung von Benachrichtigungen können Sie die Protokolle direkt in Microsoft Sentinel oder Event Hubs streamen. Überwachung Aktivitätsberichte im Microsoft Entra Admin Center überwachen Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID Benachrichtigung Was ist Microsoft Sentinel? Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
AC-2(5) Die Organisation erfordert, dass sich Benutzer abmelden, wenn [FedRAMP-Zuweisung: die Inaktivität voraussichtlich fünfzehn (15) Minuten überschreitet]. AC-2 (5) Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anleitung: Sollte einen kürzeren Zeitrahmen als AC-12 verwenden	Implementieren Sie eine Geräteabmeldung nach einem 15-minütigen Zeitraum der Inaktivität. Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, die den Zugriff auf kompatible Geräte beschränkt. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen (Mobile Device Management, mobile Geräteverwaltung) wie z. B. Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren. Bedingter Zugriff Markieren des Geräts als kompatibel erforderlich Anmeldehäufigkeit von Benutzern MDM-Richtlinie Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird und ein Kennwort zum Entsperren erforderlich ist (Android, iOS, Windows 10).
AC-2(7) Die Organisation: (a.) erstellt und verwaltet privilegierte Benutzerkonten gemäß einem Zugriffsschema auf Rollenbasis, mit dem der Zugriff auf und die Rechte im Informationssystem mithilfe von Rollen organisiert werden; (b.) überwacht die Zuweisung privilegierter Rollen; und (c.) [FedRAMP-Zuweisung: deaktiviert/widerruft den Zugriff innerhalb eines organisationsspezifischen Zeitrahmens], wenn privilegierte Rollenzuweisungen nicht mehr geeignet sind.	Verwalten und überwachen Sie privilegierte Rollenzuweisungen, indem Sie ein rollenbasiertes Zugriffsschema für kundenkontrollierte Konten anwenden. Deaktivierung oder Entzug von Zugriffsrechten für Konten, wenn diese nicht mehr angemessen sind. Implementieren Sie Microsoft Entra Privileged Identity Management mit Zugriffsüberprüfungen für privilegierte Rollen in Microsoft Entra ID, um Rollenzuweisungen zu überwachen und Rollenzuweisungen zu entfernen, sobald sie nicht mehr angemessen sind. Zur Unterstützung der Überwachung können Sie die Überwachungsprotokolle direkt in Microsoft Sentinel oder Event Hubs streamen. Verwalten Was ist Microsoft Entra Privileged Identity Management? Maximale Aktivierungsdauer Monitor Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM) Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in PIM Aktivitätsberichte im Microsoft Entra Admin Center überwachen Was ist Microsoft Sentinel? Verbinden von Daten über Microsoft Entra-ID Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
AC-2(11) Das Informationssystem erzwingt [Zuweisung: von der Organisation definierte Umstände und/oder die Nutzungsbedingungen] für [Zuweisung: von der Organisation definierte Informationssystemkonten].	Erzwingen Sie die Nutzung von kundengesteuerten Konten, um vom Kunden definierte Bedingungen oder Umstände zu erfüllen. Erstellen Sie Richtlinien für den bedingten Zugriff, um Zugriffssteuerungsentscheidungen über Benutzer und Geräte hinweg durchzusetzen. Bedingter Zugriff Erstellen der Richtlinie für bedingten Zugriff Was ist bedingter Zugriff?
AC-2(12) Die Organisation: (a) überwacht Informationssystemkonten auf [Zuweisung: von der Organisation definierte ungewöhnliche Nutzung]; und (b) meldet die atypische Nutzung von Konten des Informationssystems an [FedRAMP-Zuweisung: mindestens die ISSO und/oder eine ähnliche Rolle innerhalb der Organisation]. AC-2 (12) (a) und AC-2 (12) (b) Zusätzliche FedRAMP-Anforderungen und Anleitungen: Für privilegierte Konten erforderlich.	Überwachen Sie kundengesteuerte Konten mit privilegiertem Zugriff auf untypische Nutzung, und melden Sie diese. Zur Unterstützung bei der Überwachung von untypischer Nutzung können Sie Identitätsschutz(Identity Protection)-Protokolle zum Anzeigen riskanter Benutzer und Anmeldungen als auch von Risikoerkennunge sowie Überwachungsprotokolle zur Erleichterung der Korrelation mit der Berechtigungszuweisung direkt in eine SIEM-Lösung wie Microsoft Sentinel streamen. Sie können auch Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren. Schutz der Identität (Identity Protection) Was ist Microsoft Entra ID Protection? Untersuchen eines Risikos Benachrichtigungen zu Microsoft Entra ID-Protection Konten überwachen Was ist Microsoft Sentinel? Aktivitätsberichte im Microsoft Entra Admin Center überwachen Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel Tutorial: Streamen von Protokollen an einen Azure Event Hub
AC-2(13) Die Organisation deaktiviert Konten von Benutzern, von denen ein erhebliches Risiko ausgeht, innerhalb [FedRAMP-Zuweisung: einer (1) Stunde] nach Risikoerkennung.	Deaktivieren Sie kundengesteuerte Konten von Benutzern, die ein erhebliches Risiko darstellen, innerhalb von einer Stunde. Konfigurieren und aktivieren Sie in Microsoft Entra ID die Identity Protection eine Benutzerrisikorichtlinie mit dem Schwellenwert hoch. Erstellen Sie Richtlinien für den bedingten Zugriff, um den Zugriff für riskante Benutzer und riskante Anmeldungen zu sperren. Konfigurieren Sie Risikorichtlinien, um Benutzern die Möglichkeit zu geben, sich selbst zu korrigieren und nachfolgende Anmeldeversuche zu entsperren. Schutz der Identität (Identity Protection) Was ist Microsoft Entra ID Protection? Bedingter Zugriff Was ist bedingter Zugriff? Erstellen der Richtlinie für bedingten Zugriff Bedingter Zugriff: Auf dem Benutzerrisiko basierender bedingter Zugriff Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden Eigenwartung mit Risikorichtlinie
AC-6(7) Die Organisation: (a.) überprüft [FedRAMP-Zuweisung: mindestens jährlich] die Berechtigungen, die [FedRAMP-Zuweisung: allen Benutzern mit Berechtigungen] zugewiesen sind, um die Notwendigkeit solcher Berechtigungen zu überprüfen; und (b.) weist Berechtigungen entsprechend den Organisationszielen bzw. geschäftlichen Anforderungen im notwendigen Maße neu zu oder entfernt sie.	Überprüfen und validieren Sie jedes Jahr alle Benutzer mit privilegiertem Zugang. Stellen Sie sicher, dass Privilegien neu zugewiesen (oder ggf. entfernt) werden, um sie mit dem Unternehmensauftrag und den Geschäftsanforderungen in Einklang zu bringen. Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen für privilegierte Benutzer, um zu überprüfen, ob ein privilegierter Zugriff erforderlich ist. Zugriffsüberprüfungen Was ist Microsoft Entra-Berechtigungsverwaltung? Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM) Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung
AC-7 U Fehlgeschlagene Anmeldeversuche Die Organisation: (a.) erzwingt ein Limit von [FedRAMP-Zuweisung: nicht mehr als drei (3)] aufeinanderfolgenden ungültigen Anmeldeversuchen eines Benutzers innerhalb von [FedRAMP-Zuweisung: fünfzehn (15) Minuten]; und (b.) [Auswahl: sperrt das Konto/den Knoten automatisch für [FedRAMP-Zuweisung: mindestens drei (3) Stunden oder bis zum Entsperren durch einen Administrator]; verzögert die nächste Anmeldeaufforderung gemäß [Zuweisung: dem von der Organisation definierten Verzögerungsalgorithmus]], wenn die maximale Anzahl nicht erfolgreicher Versuche überschritten wird.	Begrenzung auf maximal drei aufeinanderfolgende fehlgeschlagene Anmeldeversuche bei vom Kunden bereitgestellten Ressourcen innerhalb von 15 Minuten. Sperren Sie das Konto für mindestens drei Stunden oder bis zur Entsperrung durch einen Administrator. Aktivieren Sie benutzerdefinierte Smart Lockout-Einstellungen. Konfigurieren Sie den Sperrschwellenwert und die Sperrdauer in Sekunden, um diese Anforderungen umzusetzen. Smart Lockout Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra Verwalten von Microsoft Entra Smart Lockout-Werten
AC-8 Systemnutzungsbenachrichtigung Das Informationssystem: (a.) zeigt Benutzern [Zuweisung: eine von der Organisation definierte Nachricht oder ein Banner zur Systemnutzung (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)] an, bevor der Zugriff auf das System gewährt wird, das Datenschutz- und Sicherheitshinweise im Einklang mit den geltenden Bundesgesetzen, Durchführungsverordnungen, Direktiven, Richtlinien, Vorschriften, Standards und Anleitungen enthält und Folgendes besagt: (1.) Benutzer greifen auf ein Informationssystem der US-Regierung zu; (2.) Die Nutzung des Informationssystems kann überwacht, aufgezeichnet und überprüft werden; (3.) Die unbefugte Nutzung des Informationssystems ist verboten und unterliegt strafrechtlichen und zivilrechtlichen Sanktionen; (4.) Die Nutzung des Informationssystems bedeutet die Zustimmung zur Überwachung und Aufzeichnung; (b.) belässt die Benachrichtigungsmeldung oder das Banner auf dem Bildschirm, bis der Benutzer die Nutzungsbedingungen bestätigt und eindeutige Handlungen durchführt, um sich anzumelden und nachfolgend auf das Informationssystem zuzugreifen; und (c.) für öffentlich zugängliche Systeme: (1.) zeigt Informationen zur Systemnutzung und [Zuweisung: von der Organisation definierte Bedingungen (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)], bevor es weiteren Zugriff gewährt; (2.) zeigt gegebenenfalls Verweise auf Überwachung, Aufzeichnung oder Überprüfung an, die im Einklang mit Datenschutzvorkehrungen für solche Systeme stehen, die diese Tätigkeiten im Allgemeinen verbieten; und (3.) enthält eine Beschreibung der autorisierten Nutzungsarten des Systems. AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anforderung: Der Dienstanbieter bestimmt Elemente der Cloudumgebung, die die Steuerung für die Systemnutzungsbenachrichtigung erfordern. Die Elemente der Cloudumgebung, die eine Benachrichtigung über die Systemnutzung erfordern, werden vom JAB/AO genehmigt und akzeptiert. Anforderung: Der Dienstanbieter legt fest, wie die Systemnutzungsbenachrichtigung überprüft wird, und stellt eine angemessene Periodizität der Überprüfung bereit. Die Überprüfung und Periodizität der Systemnutzungsbenachrichtigungen werden vom JAB/AO genehmigt und akzeptiert. Anleitung: Im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, kann der Prozentsatz der zu überprüfenden Elemente, die eine Einstellung erfordern und die Prüfung bestehen (oder nicht bestehen), angegeben werden. Anforderung: Nicht im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, muss eine dokumentierte Vereinbarung darüber vorliegen, wie die Ergebnisse der Überprüfung und die erforderliche Periodizität der Überprüfung durch den Dienstanbieter bereitgestellt werden. Die dokumentierte Vereinbarung über die Überprüfung der Ergebnisse wird von der JAB/AO genehmigt und akzeptiert.	Zeigen Sie Datenschutz- und Sicherheitshinweise an, und fordern Sie deren Bestätigung durch den Benutzer, bevor Sie den Zugriff auf Informationssysteme gewähren. Mit Microsoft Entra ID können Sie Benachrichtigungs- oder Bannermeldungen für alle Apps bereitstellen, die vor Gewähren des Zugriffs eine Bestätigung erfordern und erfassen. Sie können diese Nutzungsbedingungen genau auf bestimmte Benutzer (Mitglied oder Gast) ausrichten. Sie können sie auch über Richtlinien für bedingten Zugriff für jede Anwendung anpassen. Nutzungsbedingungen Microsoft Entra Nutzungsbedingungen Anzeigen des Berichts über abgelehnte und akzeptierte Nutzungsbedingungen
AC-10 Steuerung simultaner Sitzungen Das Informationssystem beschränkt die Anzahl gleichzeitiger Sitzungen für jeden [Zuweisung: durch die Organisation definierte Konten und/oder Kontotypen] auf [FedRAMP-Zuweisung: drei (3) Sitzungen für privilegierten Zugriff und zwei (2) Sitzungen für nicht privilegierten Zugriff].	Beschränken Sie gleichzeitige Sitzungen auf drei Sitzungen für privilegierten Zugriff und zwei für nicht privilegierten Zugriff. Aktuell stellen Benutzer Verbindungen von mehreren Geräten her, manchmal auch gleichzeitig. Das Beschränken gleichzeitiger Sitzungen führt zu beeinträchtigter Funktionalität für Benutzer und bietet nur einen geringen Nutzen im Hinblick auf die Sicherheit. Ein besserer Ansatz zum Erreichen dieser Zielsetzung ist die Einführung eines Zero Trust-Sicherheitsstatus. Bedingungen werden vor dem Erstellen einer Sitzung explizit überprüft, und diese Überprüfung wird während der gesamten Lebensdauer einer Sitzung kontinuierlich fortgesetzt. Verwenden Sie zusätzlich die folgenden ausgleichenden Steuerungsmöglichkeiten. Verwenden Sie Richtlinien für bedingten Zugriff, um den Zugriff auf kompatible Geräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um mit MDM-Lösungen wie Intune Einschränkungen für die Benutzeranmeldung auf Betriebssystemebene zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Verwenden Sie Privileged Identity Management, um privilegierte Konten weiter einzuschränken und zu steuern. Konfigurieren Sie eine intelligente Kontosperrung für ungültige Anmeldeversuche. Implementierungsleitfaden Zero Trust Sicherstellung der Identität mit Zero Trust Fortlaufende Zugriffsevaluierung in Microsoft Entra ID Bedingter Zugriff Was ist der bedingte Zugriff in Microsoft Entra ID? Markieren des Geräts als kompatibel erforderlich Anmeldehäufigkeit von Benutzern Geräterichtlinien Weitere Smartcard-Gruppenrichtlinieneinstellungen und Registrierungsschlüssel Übersicht über Microsoft Endpoint Manager Ressourcen Was ist Microsoft Entra Privileged Identity Management? Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra Weitere Anleitungen zur erneuten Auswertung von Sitzungen und Risikominderung finden Sie unter AC-12.
AC-11 Sitzungssperre Das Informationssystem: (a) verhindert weiteren Zugriff auf das System, indem eine Sitzungssperre nach [FedRAMP-Zuweisung: fünfzehn (15) Minuten] Inaktivität oder nach Erhalt einer Anforderung eines Benutzers initiiert wird; und (b) erhält die Sitzungssperre aufrecht, bis der Benutzer den Zugriff mithilfe festgelegter Identifizierungs- und Authentifizierungsverfahren erneut herstellt. AC-11(1) Das Informationssystem verbirgt über die Sitzungssperre Informationen, die zuvor auf dem Anzeigegerät sichtbar waren, mit einem allgemein sichtbaren Bild.	Implementieren Sie eine Sitzungssperre nach einer 15-minütigen Inaktivität oder nach Erhalt einer Anfrage von einem Benutzer. Behalten Sie die Sitzungssperre bei, bis sich der Benutzer erneut authentifiziert. Verbirgt zuvor sichtbare Informationen, wenn eine Sitzungssperre eingeleitet wird. Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, um den Zugriff auf kompatible Geräte zu beschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen wie Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren. Bedingter Zugriff Markieren des Geräts als kompatibel erforderlich Anmeldehäufigkeit von Benutzern MDM-Richtlinie Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird (Android, iOS, Windows 10).
AC-12 Sitzungsende Das Informationssystem beendet eine Benutzersitzung automatisch nach [Zuweisung: von der Organisation definierten Bedingungen oder Auslöseereignissen, die eine Trennung der Sitzung erfordern].	Beenden Sie Benutzersitzungen automatisch, wenn von der Organisation definierte Bedingungen oder Triggerereignisse auftreten. Implementieren Sie die automatische erneute Auswertung von Benutzersitzungen mit Microsoft Entra-Funktionen wie dem risikobasierten bedingten Zugriff und der fortlaufenden Zugriffsevaluierung. Sie können Inaktivitätsbedingungen auf Geräteebene implementieren, wie es unter AC-11 beschrieben ist. Ressourcen Risikobasierter bedingter Zugriff beim Anmelden Bedingter Zugriff anhand des Benutzerrisikos Fortlaufende Zugriffsevaluierung
AC-12(1) Das Informationssystem: (a.) stellt eine Abmeldefunktion für benutzerseitig initiierte Kommunikationssitzungen bereit, wenn eine Authentifizierung verwendet wird, um Zugriff auf [Zuweisung: von der Organisation definierte Datenressourcen] zu erhalten; und (b.) zeigt Benutzern eine ausdrückliche Abmeldenachricht an, die die zuverlässige Beendigung authentifizierter Kommunikationssitzungen signalisiert. AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen: Anleitung: Testen der Abmeldefunktionalität (OTG-SESS-006) Testen der Abmeldefunktionalität	Stellen Sie eine Abmeldefunktion für alle Sitzungen bereit, und zeigen Sie eine ausdrückliche Abmeldenachricht an. Alle in Microsoft Entra ID angezeigten Webschnittstellen bieten eine Abmeldefunktion für vom Benutzer initiierte Kommunikations-Sessions. Wenn SAML-Anwendungen in Microsoft Entra ID integriert sind, implementieren Sie das einmalige Abmelden. Abmeldefunktion Wenn der Benutzer Überall abmelden auswählt, werden alle aktuell ausgestellten Token widerrufen. Meldung anzeigen Microsoft Entra ID zeigt automatisch eine Meldung an, nachdem ein benutzerseitiges Abmelden initiiert wurde. Ressourcen Anzeigen und Suchen Ihrer letzten Anmeldeaktivität auf der Seite „Meine Anmeldungen“ SAML-Protokoll für einmaliges Abmelden
AC-20 Verwendung externer Informationssysteme Die Organisation legt Geschäftsbedingungen fest, die konsistent zu mit anderen Organisationen, die externe Informationssysteme besitzen, betreiben und/oder pflegen, hergestellten Vertrauensbeziehungen sind, und ermöglicht autorisierten Personen: (a.) Zugriff auf das Informationssystem über externe Informationssysteme; und (b.) das Verarbeiten, Speichern oder Übertragen von organisationsgesteuerten Informationen mithilfe externer Informationssysteme. AC-20(1) Die Organisation erlaubt autorisierten Personen nur dann, ein externes Informationssystem zu nutzen, um auf das Informationssystem zuzugreifen oder um von der Organisation kontrollierte Informationen zu verarbeiten, zu speichern oder zu übertragen, wenn die Organisation: (a.) die Implementierung der erforderlichen Sicherheitskontrollen auf dem externen System, wie in der Informationssicherheitsrichtlinie und dem Sicherheitsplan der Organisation angegeben, überprüft; oder (b.) genehmigte Verbindungs- oder Verarbeitungsvereinbarungen des Informationssystems mit der Organisationsentität, die das externe Informationssystem hostet, beibehält.	Legen Sie Bedingungen fest, die autorisierten Personen den Zugriff auf die vom Kunden bereitgestellten Ressourcen über externe Informationssysteme wie nicht verwaltete Geräte und externe Netzwerke ermöglichen. Fordern Sie die Annahme von Nutzungsbedingungen für autorisierte Benutzer, die von externen Systemen auf Ressourcen zugreifen. Implementieren Sie Richtlinien für den bedingten Zugriff, um den Zugriff von externen Systemen einzuschränken. Richtlinien für bedingten Zugriff können in Defender for Cloud-Apps integriert werden, um Steuerungsmöglichkeiten für cloudbasierte und lokale Anwendungen aus externen Systemen bereitzustellen. Die Verwaltung mobiler Anwendungen in Intune kann Daten der Organisation auf Anwendungsebene, einschließlich benutzerdefinierter Apps und Store-Apps, auf verwalteten Geräten schützen, die mit externen Systemen interagieren. Ein Beispiel wäre der Zugriff auf Clouddienste. Sie können die App-Verwaltung auf Geräten im Besitz der Organisation und persönlichen Geräten verwenden. Geschäftsbedingungen Nutzungsbedingungen: Microsoft Entra ID Bedingter Zugriff Markieren des Geräts als kompatibel erforderlich Bedingungen der Richtlinie für bedingten Zugriff: Gerätestatus (Vorschau) Schutz mit der App-Steuerung für bedingten Zugriff für Microsoft Defender-für-Cloud-Apps Standortbedingung beim bedingten Zugriff in Microsoft Entra MDM Was ist Microsoft Intune? Was sind die Defender-für-Cloud-Apps? Was ist die Microsoft Intune App-Verwaltung? Resource Integrieren von lokalen Apps in Defender-für-Cloud-Apps

FedRAMP-Steuerungs-ID und Beschreibung

Leitfaden und Empfehlungen für Microsoft Entra

AC-2 KONTOVERWALTUNG

Die Organisation
(a.) identifiziert und benennt die folgenden Arten von Informationssystemkonten zur Unterstützung von Organisationsmissionen/Geschäftsfunktionen und wählt sie aus: [Zuweisung: von der Organisation definierte Informationssystemkonten];

(b.) weist Konto-Manager für Informationssystemkonten zu;

(c.) legt Bedingungen für die Gruppen- und Rollenmitgliedschaft fest;

(d.) spezifiziert autorisierte Informationssystembenutzer, Gruppen- und Rollenmitgliedschaften und Zugriffsautorisierungen (z. B. Berechtigungen) und ggf. weitere Attribute für jedes Konto;

(e.) verlangt Genehmigungen durch [Zuweisung: von der Organisation definierte Mitarbeiter oder Rollen] für die Beantragung der Erstellung von Informationssystemkonten;

(f.) erstellt, aktiviert, ändert, deaktiviert und entfernt Informationssystemkonten entsprechend den [Zuweisung: von der Organisation definierten Verfahren oder Bedingungen];

(g.) überwacht die Verwendung von Informationssystemkonten;

(h.) benachrichtigt Kontomanager:
(1.) wenn Konten nicht mehr benötigt werden;
(2.) wenn Nutzer ausgeschlossen oder übertragen werden; und
(3.) wenn sich die Nutzung einzelner Informationssysteme oder der Bedarf an Informationen ändert;

(i.) autorisiert den Zugriff auf das Informationssystem basierend auf:
(1.) einer gültigen Zugangsberechtigung;
(2.) der beabsichtigten Systemnutzung; und
(3.) anderen Attribute, die von der Organisation oder den zugehörigen Missionen/Geschäftsfunktionen verlangt werden;

(j.) überprüft Konten auf Konformität mit den Kontoverwaltungsanforderungen [FedRAMP-Zuweisung: monatlich für privilegierten Zugriff, alle sechs (6) Monate für nicht privilegierten Zugriff]; und

(k.) implementiert einen Vorgang, durch den für freigegebene oder Gruppenkonten (sofern vorhanden) bei Entfernung von Personen aus der Gruppe neue Anmeldeinformationen ausgestellt werden.

Implementierung des Account Lifecycle Management für kundenkontrollierte Accounts. Überwachen Sie die Nutzung von Konten und benachrichtigen Sie Kundenbetreuer über Ereignisse im Kontolebenszyklus. Überprüfung der Konten auf Einhaltung der Anforderungen an die Kontenverwaltung jeden Monat für privilegierten Zugang und alle sechs Monate für nicht privilegierten Zugang.

Verwenden Sie Microsoft Entra ID zum Bereitstellen von Konten aus externen HR-Systemen, des lokalen Active Directory oder direkt in der Cloud. Alle Vorgänge des Kontolebenszyklus werden in den Microsoft Entra-Auditprotokollen geprüft. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren und so die Überwachung und Benachrichtigung zu ermöglichen. Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen, um den Konformitätsstatus von Konten sicherzustellen.

Bereitstellen von Konten

Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung

Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung

Hinzufügen oder Löschen von Benutzern mit Microsoft Entra-ID

Konten überwachen

Aktivitätsberichte im Microsoft Entra Admin Center überwachen

Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel

Tutorial: Streamen von Protokollen an einen Azure Event Hub

Konten überprüfen

Was ist Microsoft Entra-Berechtigungsverwaltung?

Erstellen einer Zugriffsüberprüfung eines Zugriffspakets in der Microsoft Entra-Berechtigungsverwaltung

Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung

Ressourcen

Administratorrollenberechtigungen in Microsoft Entra ID

Dynamische Gruppen in Microsoft Entra ID

AC-2(1)
Die Organisation setzt automatisierte Mechanismen zur Unterstützung der Verwaltung von Informationssystemkonten ein.

Verwenden Sie automatisierte Mechanismen, um die Verwaltung von kundengesteuerten Konten zu unterstützen.

Konfigurieren Sie die automatisierte Bereitstellung von kundengesteuerten Konten aus externen HR-Systemen oder dem lokalen Active Directory. Konfigurieren Sie Microsoft Entra ID für Anwendungen, welche die Anwendungsbereitstellung unterstützen, um automatisch Benutzeridentitäten und Rollen in SaaS-Anwendungen (Software-as-a-Solution) in der Cloud zu erstellen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Zur leichteren Überwachung der Kontonutzung können Sie Microsoft Entra ID-Identitätsschutz-Protokolle, die riskante Benutzer und Anmeldungen als auch Risikoerkennungen anzeigen, sowie Überwachungsprotokolle direkt in Microsoft Sentinel oder den Event Hub streamen.

bereitstellen

Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung

Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung

Was ist die automatisierte Bereitstellung von SaaS-App-Benutzern in Microsoft Entra ID?

Tutorials zur Integration von SaaS-Apps für die Verwendung mit Microsoft Entra ID

Überwachung

Untersuchen eines Risikos

Aktivitätsberichte im Microsoft Entra Admin Center überwachen

Was ist Microsoft Sentinel?

Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID

Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub

AC-2(2)
Das Informationssystem [FedRAMP-Auswahl: deaktiviert] temporäre Konten und Notfallkonten automatisch nach [FedRAMP-Zuweisung: 24 Stunden nach der letzten Verwendung].

AC-02(3)
Das Informationssystem deaktiviert inaktive Konten automatisch nach [FedRAMP-Zuweisung: fünfunddreißig (35) Tagen für Benutzerkonten].

AC-2 (3) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
Anforderung: Der Dienstanbieter definiert den Zeitraum für Nichtbenutzerkonten (z. B. Konten, die Geräten zugeordnet sind). Die Fristen werden vom JAB/AO genehmigt und akzeptiert. Wenn die Benutzerverwaltung eine Funktion des Dienstes ist, werden Berichte über die Tätigkeit der Consumerbenutzer zur Verfügung gestellt.

Verwenden Sie automatisierte Mechanismen, um das automatische Entfernen oder Deaktivieren von temporären Konten und Notfallkonten nach 24 Stunden ab der letzten Verwendung und aller kundengesteuerten Konten nach 35 Tagen Inaktivität zu unterstützen.

Implementieren Sie die Automatisierung der Kontoverwaltung mit Microsoft Graph und Microsoft Graph PowerShell. Verwenden Sie Microsoft Graph, um Anmeldeaktivitäten zu überwachen, und Microsoft Graph PowerShell, um Innerhalb des erforderlichen Zeitrahmens Maßnahmen für Konten zu ergreifen.

Bestimmen von Inaktivität

Verwalten inaktiver Benutzerkonten in Microsoft Entra ID

Verwalten veralteter Geräte in Microsoft Entra ID

Entfernen oder Deaktivieren von Konten

Arbeiten mit Benutzern in Microsoft Graph

Abrufen eines Benutzers

Benutzer aktualisieren

Löschen eines Benutzers

Arbeiten mit Geräten in Microsoft Graph

Gerät abrufen

Gerät aktualisieren

Gerät löschen

Weitere Informationen finden Sie in der Microsoft Graph PowerShell-Dokumentation.

AC-2(4)
Das Informationssystem überwacht automatisch alle Aktionen zur Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [FedRAMP-Zuweisung: den Systembesitzer der Organisation und/oder des Dienstanbieters].

Implementieren Sie ein automatisiertes Überwachungs- und Benachrichtigungssystem für den Verwaltungslebenszyklus kundengesteuerter Konten.

Alle Vorgänge im Kontolebenszyklus (z. B. Erstellen, Ändern, Aktivieren, Deaktivieren und Entfernen des Kontos) werden in den Azure AD-Überwachungsprotokollen überwacht. Zur Unterstützung von Benachrichtigungen können Sie die Protokolle direkt in Microsoft Sentinel oder Event Hubs streamen.

Überwachung

Aktivitätsberichte im Microsoft Entra Admin Center überwachen

Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID

Benachrichtigung

Was ist Microsoft Sentinel?

Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub

AC-2(5)
Die Organisation erfordert, dass sich Benutzer abmelden, wenn [FedRAMP-Zuweisung: die Inaktivität voraussichtlich fünfzehn (15) Minuten überschreitet].

AC-2 (5) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
Anleitung: Sollte einen kürzeren Zeitrahmen als AC-12 verwenden

Implementieren Sie eine Geräteabmeldung nach einem 15-minütigen Zeitraum der Inaktivität.

Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, die den Zugriff auf kompatible Geräte beschränkt. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen (Mobile Device Management, mobile Geräteverwaltung) wie z. B. Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

Bedingter Zugriff

Markieren des Geräts als kompatibel erforderlich

Anmeldehäufigkeit von Benutzern

MDM-Richtlinie

Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird und ein Kennwort zum Entsperren erforderlich ist (Android, iOS, Windows 10).

AC-2(7)

Die Organisation:
(a.) erstellt und verwaltet privilegierte Benutzerkonten gemäß einem Zugriffsschema auf Rollenbasis, mit dem der Zugriff auf und die Rechte im Informationssystem mithilfe von Rollen organisiert werden;
(b.) überwacht die Zuweisung privilegierter Rollen; und
(c.) [FedRAMP-Zuweisung: deaktiviert/widerruft den Zugriff innerhalb eines organisationsspezifischen Zeitrahmens], wenn privilegierte Rollenzuweisungen nicht mehr geeignet sind.

Verwalten und überwachen Sie privilegierte Rollenzuweisungen, indem Sie ein rollenbasiertes Zugriffsschema für kundenkontrollierte Konten anwenden. Deaktivierung oder Entzug von Zugriffsrechten für Konten, wenn diese nicht mehr angemessen sind.

Implementieren Sie Microsoft Entra Privileged Identity Management mit Zugriffsüberprüfungen für privilegierte Rollen in Microsoft Entra ID, um Rollenzuweisungen zu überwachen und Rollenzuweisungen zu entfernen, sobald sie nicht mehr angemessen sind. Zur Unterstützung der Überwachung können Sie die Überwachungsprotokolle direkt in Microsoft Sentinel oder Event Hubs streamen.

Verwalten

Was ist Microsoft Entra Privileged Identity Management?

Maximale Aktivierungsdauer

Monitor

Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM)

Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in PIM

Aktivitätsberichte im Microsoft Entra Admin Center überwachen

Was ist Microsoft Sentinel?

Verbinden von Daten über Microsoft Entra-ID

Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub

AC-2(11)
Das Informationssystem erzwingt [Zuweisung: von der Organisation definierte Umstände und/oder die Nutzungsbedingungen] für [Zuweisung: von der Organisation definierte Informationssystemkonten].

Erzwingen Sie die Nutzung von kundengesteuerten Konten, um vom Kunden definierte Bedingungen oder Umstände zu erfüllen.

Erstellen Sie Richtlinien für den bedingten Zugriff, um Zugriffssteuerungsentscheidungen über Benutzer und Geräte hinweg durchzusetzen.

Bedingter Zugriff

Erstellen der Richtlinie für bedingten Zugriff

Was ist bedingter Zugriff?

AC-2(12)

Die Organisation:
(a) überwacht Informationssystemkonten auf [Zuweisung: von der Organisation definierte ungewöhnliche Nutzung]; und
(b) meldet die atypische Nutzung von Konten des Informationssystems an [FedRAMP-Zuweisung: mindestens die ISSO und/oder eine ähnliche Rolle innerhalb der Organisation].

AC-2 (12) (a) und AC-2 (12) (b) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
Für privilegierte Konten erforderlich.

Überwachen Sie kundengesteuerte Konten mit privilegiertem Zugriff auf untypische Nutzung, und melden Sie diese.

Zur Unterstützung bei der Überwachung von untypischer Nutzung können Sie Identitätsschutz(Identity Protection)-Protokolle zum Anzeigen riskanter Benutzer und Anmeldungen als auch von Risikoerkennunge sowie Überwachungsprotokolle zur Erleichterung der Korrelation mit der Berechtigungszuweisung direkt in eine SIEM-Lösung wie Microsoft Sentinel streamen. Sie können auch Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren.

Schutz der Identität (Identity Protection)

Was ist Microsoft Entra ID Protection?

Untersuchen eines Risikos

Benachrichtigungen zu Microsoft Entra ID-Protection

Konten überwachen

Was ist Microsoft Sentinel?

Aktivitätsberichte im Microsoft Entra Admin Center überwachen

Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel

Tutorial: Streamen von Protokollen an einen Azure Event Hub

AC-2(13)
Die Organisation deaktiviert Konten von Benutzern, von denen ein erhebliches Risiko ausgeht, innerhalb [FedRAMP-Zuweisung: einer (1) Stunde] nach Risikoerkennung.

Deaktivieren Sie kundengesteuerte Konten von Benutzern, die ein erhebliches Risiko darstellen, innerhalb von einer Stunde.

Konfigurieren und aktivieren Sie in Microsoft Entra ID die Identity Protection eine Benutzerrisikorichtlinie mit dem Schwellenwert hoch. Erstellen Sie Richtlinien für den bedingten Zugriff, um den Zugriff für riskante Benutzer und riskante Anmeldungen zu sperren. Konfigurieren Sie Risikorichtlinien, um Benutzern die Möglichkeit zu geben, sich selbst zu korrigieren und nachfolgende Anmeldeversuche zu entsperren.

Schutz der Identität (Identity Protection)

Was ist Microsoft Entra ID Protection?

Bedingter Zugriff

Was ist bedingter Zugriff?

Erstellen der Richtlinie für bedingten Zugriff

Bedingter Zugriff: Auf dem Benutzerrisiko basierender bedingter Zugriff

Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden

Eigenwartung mit Risikorichtlinie

AC-6(7)

Die Organisation:
(a.) überprüft [FedRAMP-Zuweisung: mindestens jährlich] die Berechtigungen, die [FedRAMP-Zuweisung: allen Benutzern mit Berechtigungen] zugewiesen sind, um die Notwendigkeit solcher Berechtigungen zu überprüfen; und
(b.) weist Berechtigungen entsprechend den Organisationszielen bzw. geschäftlichen Anforderungen im notwendigen Maße neu zu oder entfernt sie.

Überprüfen und validieren Sie jedes Jahr alle Benutzer mit privilegiertem Zugang. Stellen Sie sicher, dass Privilegien neu zugewiesen (oder ggf. entfernt) werden, um sie mit dem Unternehmensauftrag und den Geschäftsanforderungen in Einklang zu bringen.

Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen für privilegierte Benutzer, um zu überprüfen, ob ein privilegierter Zugriff erforderlich ist.

Zugriffsüberprüfungen

Was ist Microsoft Entra-Berechtigungsverwaltung?

Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM)

Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung

AC-7 U Fehlgeschlagene Anmeldeversuche

Die Organisation:
(a.) erzwingt ein Limit von [FedRAMP-Zuweisung: nicht mehr als drei (3)] aufeinanderfolgenden ungültigen Anmeldeversuchen eines Benutzers innerhalb von [FedRAMP-Zuweisung: fünfzehn (15) Minuten]; und
(b.) [Auswahl: sperrt das Konto/den Knoten automatisch für [FedRAMP-Zuweisung: mindestens drei (3) Stunden oder bis zum Entsperren durch einen Administrator]; verzögert die nächste Anmeldeaufforderung gemäß [Zuweisung: dem von der Organisation definierten Verzögerungsalgorithmus]], wenn die maximale Anzahl nicht erfolgreicher Versuche überschritten wird.

Begrenzung auf maximal drei aufeinanderfolgende fehlgeschlagene Anmeldeversuche bei vom Kunden bereitgestellten Ressourcen innerhalb von 15 Minuten. Sperren Sie das Konto für mindestens drei Stunden oder bis zur Entsperrung durch einen Administrator.

Aktivieren Sie benutzerdefinierte Smart Lockout-Einstellungen. Konfigurieren Sie den Sperrschwellenwert und die Sperrdauer in Sekunden, um diese Anforderungen umzusetzen.

Smart Lockout

Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra

Verwalten von Microsoft Entra Smart Lockout-Werten

AC-8 Systemnutzungsbenachrichtigung

Das Informationssystem:
(a.) zeigt Benutzern [Zuweisung: eine von der Organisation definierte Nachricht oder ein Banner zur Systemnutzung (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)] an, bevor der Zugriff auf das System gewährt wird, das Datenschutz- und Sicherheitshinweise im Einklang mit den geltenden Bundesgesetzen, Durchführungsverordnungen, Direktiven, Richtlinien, Vorschriften, Standards und Anleitungen enthält und Folgendes besagt:
(1.) Benutzer greifen auf ein Informationssystem der US-Regierung zu;
(2.) Die Nutzung des Informationssystems kann überwacht, aufgezeichnet und überprüft werden;
(3.) Die unbefugte Nutzung des Informationssystems ist verboten und unterliegt strafrechtlichen und zivilrechtlichen Sanktionen;
(4.) Die Nutzung des Informationssystems bedeutet die Zustimmung zur Überwachung und Aufzeichnung;

(b.) belässt die Benachrichtigungsmeldung oder das Banner auf dem Bildschirm, bis der Benutzer die Nutzungsbedingungen bestätigt und eindeutige Handlungen durchführt, um sich anzumelden und nachfolgend auf das Informationssystem zuzugreifen; und

(c.) für öffentlich zugängliche Systeme:
(1.) zeigt Informationen zur Systemnutzung und [Zuweisung: von der Organisation definierte Bedingungen (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)], bevor es weiteren Zugriff gewährt;
(2.) zeigt gegebenenfalls Verweise auf Überwachung, Aufzeichnung oder Überprüfung an, die im Einklang mit Datenschutzvorkehrungen für solche Systeme stehen, die diese Tätigkeiten im Allgemeinen verbieten; und
(3.) enthält eine Beschreibung der autorisierten Nutzungsarten des Systems.

AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
Anforderung: Der Dienstanbieter bestimmt Elemente der Cloudumgebung, die die Steuerung für die Systemnutzungsbenachrichtigung erfordern. Die Elemente der Cloudumgebung, die eine Benachrichtigung über die Systemnutzung erfordern, werden vom JAB/AO genehmigt und akzeptiert.
Anforderung: Der Dienstanbieter legt fest, wie die Systemnutzungsbenachrichtigung überprüft wird, und stellt eine angemessene Periodizität der Überprüfung bereit. Die Überprüfung und Periodizität der Systemnutzungsbenachrichtigungen werden vom JAB/AO genehmigt und akzeptiert.
Anleitung: Im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, kann der Prozentsatz der zu überprüfenden Elemente, die eine Einstellung erfordern und die Prüfung bestehen (oder nicht bestehen), angegeben werden.
Anforderung: Nicht im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, muss eine dokumentierte Vereinbarung darüber vorliegen, wie die Ergebnisse der Überprüfung und die erforderliche Periodizität der Überprüfung durch den Dienstanbieter bereitgestellt werden. Die dokumentierte Vereinbarung über die Überprüfung der Ergebnisse wird von der JAB/AO genehmigt und akzeptiert.

Zeigen Sie Datenschutz- und Sicherheitshinweise an, und fordern Sie deren Bestätigung durch den Benutzer, bevor Sie den Zugriff auf Informationssysteme gewähren.

Mit Microsoft Entra ID können Sie Benachrichtigungs- oder Bannermeldungen für alle Apps bereitstellen, die vor Gewähren des Zugriffs eine Bestätigung erfordern und erfassen. Sie können diese Nutzungsbedingungen genau auf bestimmte Benutzer (Mitglied oder Gast) ausrichten. Sie können sie auch über Richtlinien für bedingten Zugriff für jede Anwendung anpassen.

Nutzungsbedingungen

Microsoft Entra Nutzungsbedingungen

Anzeigen des Berichts über abgelehnte und akzeptierte Nutzungsbedingungen

AC-10 Steuerung simultaner Sitzungen
Das Informationssystem beschränkt die Anzahl gleichzeitiger Sitzungen für jeden [Zuweisung: durch die Organisation definierte Konten und/oder Kontotypen] auf [FedRAMP-Zuweisung: drei (3) Sitzungen für privilegierten Zugriff und zwei (2) Sitzungen für nicht privilegierten Zugriff].

Beschränken Sie gleichzeitige Sitzungen auf drei Sitzungen für privilegierten Zugriff und zwei für nicht privilegierten Zugriff.

Aktuell stellen Benutzer Verbindungen von mehreren Geräten her, manchmal auch gleichzeitig. Das Beschränken gleichzeitiger Sitzungen führt zu beeinträchtigter Funktionalität für Benutzer und bietet nur einen geringen Nutzen im Hinblick auf die Sicherheit. Ein besserer Ansatz zum Erreichen dieser Zielsetzung ist die Einführung eines Zero Trust-Sicherheitsstatus. Bedingungen werden vor dem Erstellen einer Sitzung explizit überprüft, und diese Überprüfung wird während der gesamten Lebensdauer einer Sitzung kontinuierlich fortgesetzt.

Verwenden Sie zusätzlich die folgenden ausgleichenden Steuerungsmöglichkeiten.

Verwenden Sie Richtlinien für bedingten Zugriff, um den Zugriff auf kompatible Geräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um mit MDM-Lösungen wie Intune Einschränkungen für die Benutzeranmeldung auf Betriebssystemebene zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden.

Verwenden Sie Privileged Identity Management, um privilegierte Konten weiter einzuschränken und zu steuern.

Konfigurieren Sie eine intelligente Kontosperrung für ungültige Anmeldeversuche.

Implementierungsleitfaden

Zero Trust

Sicherstellung der Identität mit Zero Trust

Fortlaufende Zugriffsevaluierung in Microsoft Entra ID

Bedingter Zugriff

Was ist der bedingte Zugriff in Microsoft Entra ID?

Markieren des Geräts als kompatibel erforderlich

Anmeldehäufigkeit von Benutzern

Geräterichtlinien

Weitere Smartcard-Gruppenrichtlinieneinstellungen und Registrierungsschlüssel

Übersicht über Microsoft Endpoint Manager

Ressourcen

Was ist Microsoft Entra Privileged Identity Management?

Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra

Weitere Anleitungen zur erneuten Auswertung von Sitzungen und Risikominderung finden Sie unter AC-12.

AC-11 Sitzungssperre
Das Informationssystem:
(a) verhindert weiteren Zugriff auf das System, indem eine Sitzungssperre nach [FedRAMP-Zuweisung: fünfzehn (15) Minuten] Inaktivität oder nach Erhalt einer Anforderung eines Benutzers initiiert wird; und
(b) erhält die Sitzungssperre aufrecht, bis der Benutzer den Zugriff mithilfe festgelegter Identifizierungs- und Authentifizierungsverfahren erneut herstellt.

AC-11(1)
Das Informationssystem verbirgt über die Sitzungssperre Informationen, die zuvor auf dem Anzeigegerät sichtbar waren, mit einem allgemein sichtbaren Bild.

Implementieren Sie eine Sitzungssperre nach einer 15-minütigen Inaktivität oder nach Erhalt einer Anfrage von einem Benutzer. Behalten Sie die Sitzungssperre bei, bis sich der Benutzer erneut authentifiziert. Verbirgt zuvor sichtbare Informationen, wenn eine Sitzungssperre eingeleitet wird.

Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, um den Zugriff auf kompatible Geräte zu beschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen wie Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

Bedingter Zugriff

Markieren des Geräts als kompatibel erforderlich

Anmeldehäufigkeit von Benutzern

MDM-Richtlinie

Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird (Android, iOS, Windows 10).

AC-12 Sitzungsende
Das Informationssystem beendet eine Benutzersitzung automatisch nach [Zuweisung: von der Organisation definierten Bedingungen oder Auslöseereignissen, die eine Trennung der Sitzung erfordern].

Beenden Sie Benutzersitzungen automatisch, wenn von der Organisation definierte Bedingungen oder Triggerereignisse auftreten.

Implementieren Sie die automatische erneute Auswertung von Benutzersitzungen mit Microsoft Entra-Funktionen wie dem risikobasierten bedingten Zugriff und der fortlaufenden Zugriffsevaluierung. Sie können Inaktivitätsbedingungen auf Geräteebene implementieren, wie es unter AC-11 beschrieben ist.

Ressourcen

Risikobasierter bedingter Zugriff beim Anmelden

Bedingter Zugriff anhand des Benutzerrisikos

Fortlaufende Zugriffsevaluierung

AC-12(1)
Das Informationssystem:
(a.) stellt eine Abmeldefunktion für benutzerseitig initiierte Kommunikationssitzungen bereit, wenn eine Authentifizierung verwendet wird, um Zugriff auf [Zuweisung: von der Organisation definierte Datenressourcen] zu erhalten; und
(b.) zeigt Benutzern eine ausdrückliche Abmeldenachricht an, die die zuverlässige Beendigung authentifizierter Kommunikationssitzungen signalisiert.

AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
Anleitung: Testen der Abmeldefunktionalität (OTG-SESS-006) Testen der Abmeldefunktionalität

Stellen Sie eine Abmeldefunktion für alle Sitzungen bereit, und zeigen Sie eine ausdrückliche Abmeldenachricht an.

Alle in Microsoft Entra ID angezeigten Webschnittstellen bieten eine Abmeldefunktion für vom Benutzer initiierte Kommunikations-Sessions. Wenn SAML-Anwendungen in Microsoft Entra ID integriert sind, implementieren Sie das einmalige Abmelden.

Abmeldefunktion

Wenn der Benutzer Überall abmelden auswählt, werden alle aktuell ausgestellten Token widerrufen.

Meldung anzeigen
Microsoft Entra ID zeigt automatisch eine Meldung an, nachdem ein benutzerseitiges Abmelden initiiert wurde.

Screenshot einer Zugriffssteuerungsmeldung

Ressourcen

Anzeigen und Suchen Ihrer letzten Anmeldeaktivität auf der Seite „Meine Anmeldungen“

SAML-Protokoll für einmaliges Abmelden

AC-20 Verwendung externer Informationssysteme
Die Organisation legt Geschäftsbedingungen fest, die konsistent zu mit anderen Organisationen, die externe Informationssysteme besitzen, betreiben und/oder pflegen, hergestellten Vertrauensbeziehungen sind, und ermöglicht autorisierten Personen:
(a.) Zugriff auf das Informationssystem über externe Informationssysteme; und
(b.) das Verarbeiten, Speichern oder Übertragen von organisationsgesteuerten Informationen mithilfe externer Informationssysteme.

AC-20(1)
Die Organisation erlaubt autorisierten Personen nur dann, ein externes Informationssystem zu nutzen, um auf das Informationssystem zuzugreifen oder um von der Organisation kontrollierte Informationen zu verarbeiten, zu speichern oder zu übertragen, wenn die Organisation:
(a.) die Implementierung der erforderlichen Sicherheitskontrollen auf dem externen System, wie in der Informationssicherheitsrichtlinie und dem Sicherheitsplan der Organisation angegeben, überprüft; oder
(b.) genehmigte Verbindungs- oder Verarbeitungsvereinbarungen des Informationssystems mit der Organisationsentität, die das externe Informationssystem hostet, beibehält.

Legen Sie Bedingungen fest, die autorisierten Personen den Zugriff auf die vom Kunden bereitgestellten Ressourcen über externe Informationssysteme wie nicht verwaltete Geräte und externe Netzwerke ermöglichen.

Fordern Sie die Annahme von Nutzungsbedingungen für autorisierte Benutzer, die von externen Systemen auf Ressourcen zugreifen. Implementieren Sie Richtlinien für den bedingten Zugriff, um den Zugriff von externen Systemen einzuschränken. Richtlinien für bedingten Zugriff können in Defender for Cloud-Apps integriert werden, um Steuerungsmöglichkeiten für cloudbasierte und lokale Anwendungen aus externen Systemen bereitzustellen. Die Verwaltung mobiler Anwendungen in Intune kann Daten der Organisation auf Anwendungsebene, einschließlich benutzerdefinierter Apps und Store-Apps, auf verwalteten Geräten schützen, die mit externen Systemen interagieren. Ein Beispiel wäre der Zugriff auf Clouddienste. Sie können die App-Verwaltung auf Geräten im Besitz der Organisation und persönlichen Geräten verwenden.

Geschäftsbedingungen

Nutzungsbedingungen: Microsoft Entra ID

Bedingter Zugriff

Markieren des Geräts als kompatibel erforderlich

Bedingungen der Richtlinie für bedingten Zugriff: Gerätestatus (Vorschau)

Schutz mit der App-Steuerung für bedingten Zugriff für Microsoft Defender-für-Cloud-Apps

Standortbedingung beim bedingten Zugriff in Microsoft Entra

MDM

Was ist Microsoft Intune?

Was sind die Defender-für-Cloud-Apps?

Was ist die Microsoft Intune App-Verwaltung?

Resource