Configurez Microsoft Entra ID pour atteindre le niveau FedRAMP High Impact

Le Federal Risk and Authorization Management Program (FedRAMP) est un processus d’évaluation et d’autorisation pour les fournisseurs de services cloud (CSP). Plus précisément, le processus est destiné aux CSP qui créent des offres de solution cloud pour une utilisation avec les agences fédérales. Azure et Azure Government ont obtenu une autorité provisoire d’exploitation (P-ATO) de niveau d’impact élevé auprès du Joint Authorization Board, l’échelon le plus haut en matière d’accréditation FedRAMP.

Azure fournit la possibilité de satisfaire à toutes les exigences de contrôle, afin d’obtenir une qualification élevée FedRAMP pour votre offre de solutions Cloud, ou en tant qu’organisme fédéral. Il est de la responsabilité de votre organisation d’effectuer les configurations ou processus supplémentaires pour assurer la conformité. Cette responsabilité s’applique aux fournisseurs de services cloud qui recherchent une autorisation FedRAMP élevée pour leur offre de solutions cloud, et aux organismes fédéraux qui recherchent une autorisation d’exploitation (ATO, Authority to Operate).

Microsoft et FedRAMP

Microsoft Azure prend en charge plus de services aux niveaux d’impact FedRAMP High que n’importe quel autre fournisseur de services cloud. Et même si ce niveau répond aux besoins de nombreux clients Secteur Public des États-Unis dans le cloud public Azure, les organismes avec des exigences plus rigoureuses peuvent s’appuyer sur le cloud Azure Government. Azure Government fournit des protections supplémentaires, telles que le filtrage renforcé du personnel.

Microsoft est tenu de renouveler la certification de ses services cloud tous les ans pour conserver ses autorisations. Pour ce faire, Microsoft supervise et évalue en permanence ses contrôles de sécurité et démontre que la sécurité de ses services reste conforme. Pour plus d’informations, consultez Autorisations FedRAMP des services cloud Microsoft et Rapports d’audit FedRAMP de Microsoft. Pour recevoir d’autres rapports FedRAMP, envoyez un e-mail à la Documentation fédérale Azure.

Plusieurs chemins mènent à l’autorisation FedRAMP. Vous pouvez réutiliser le package d’autorisation existant d’Azure et l’aide fournie ici pour réduire de manière significative le temps et les efforts nécessaires à l’obtention d’autorisations ATO ou P-ATO.

Étendue des recommandations

La ligne de base de FedRAMP High se compose de 421 contrôles et améliorations de contrôle issus du NIST 800-53 Security Controls Catalog Revision 4. Lorsque cela est possible, nous avons inclus des éclaircissements tirés de la publication 800-53 Revision 5. Cet ensemble d’articles définit un sous-ensemble de ces contrôles relatifs à l’identité et que vous devez configurer.

Nous fournissons des conseils prescriptifs pour vous aider à vous conformer aux contrôles que vous êtes chargé de configurer dans Microsoft Entra ID. Pour répondre entièrement à certaines exigences de contrôle d’identité, vous devrez peut-être utiliser d’autres systèmes. Les autres systèmes peuvent disposer d’un outil SIEM (Informations de sécurité et gestion d’événements), tel que Microsoft Sentinel. Si vous utilisez les services Azure en dehors de Microsoft Entra ID, vous devrez prendre en compte d’autres contrôles et vous pourrez utiliser les fonctionnalités déjà mises en place par Azure pour répondre aux contrôles.

La liste suivante répertorie les ressources FedRAMP :

• Federal Risk and Authorization Management Program

• FedRAMP Security Assessment Framework

• Agency Guide for FedRAMP Authorizations

• Gestion de la conformité dans le cloud chez Microsoft

• Cloud de Microsoft pour le Secteur Public

• Offres de conformité Azure

• Définition d’initiative intégrée de la Stratégie Azure FedRAMP High

• Portail de conformité Microsoft Purview

• Gestionnaire de conformité Microsoft Purview

Étapes suivantes

Configurer des contrôles d’accès

Configurer les contrôles d’identification et d’authentification

Configurer d’autres contrôles