Partager via

Configurer des contrôles CMMC de niveau 1

  • Article

Microsoft Entra ID répond aux pratiques obligatoires liées à l’identité dans chaque niveau de CMMC (Cybersecurity Maturity Model Certification). Pour être conforme aux exigences de CMMC, il est de la responsabilité des entreprises qui travaillent avec et pour le Département de la Défense des États-Unis d’effectuer d’autres configurations ou processus. Dans la certification CMMC niveau 1, il existe trois domaines qui ont une ou plusieurs pratiques liées à l’identité :

  • Contrôle d’accès (autorité de certification)
  • Identification et authentification (IA)
  • Intégrité du système et des informations (SI)

En savoir plus :

Le reste de ce contenu est organisé par domaine et pratiques associées. Pour chaque domaine, vous trouverez un tableau contenant des liens vers du contenu qui fournit des instructions pas à pas pour accomplir la pratique.

Domaine Contrôle d’accès

Le tableau suivant fournit une liste de pratiques et d’objectifs, ainsi que des conseils et recommandations Microsoft Entra pour vous permettre de répondre à ces exigences avec Microsoft Entra ID.

Énoncé de pratique et objectifs de la certification CMMC Aide et recommandations relatives à Microsoft Entra
AC.L1-3.1.1

Énoncé de pratique : Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris d’autres systèmes d’information).

Objectifs :
Déterminez si :
[a.] Les utilisateurs autorisés sont identifiés.
[b.] Les processus agissant pour le compte des utilisateurs autorisés sont identifiés.
[c.] Les appareils (et autres systèmes) autorisés à se connecter au système sont identifiés.
[d.] L’accès au système est limité aux utilisateurs autorisés.
[e.] L’accès au système est limité aux processus agissant pour le compte des utilisateurs autorisés.
[f.] L’accès au système est limité aux appareils autorisés (y compris les autres systèmes).		 Vous êtes responsable de la configuration des comptes Microsoft Entra, qui s’effectue à partir des systèmes RH externes, d’une instance locale d’Active Directory ou directement dans le cloud. Vous configurez l’accès conditionnel pour accorder uniquement l’accès à partir d’un appareil (inscrit/managé) connu. En outre, vous devez appliquer également le concept du privilège minimum lors de l’octroi d’autorisations d’application. Si possible, utilisez l’autorisation déléguée.

Configurer les utilisateurs
  • Planifier l'application RH cloud pour le provisionnement des utilisateurs Microsoft Entra
  • Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
  • Ajouter ou supprimer des utilisateurs – Microsoft Entra ID

    Configurer les appareils
  • Qu’est-ce que l’identité de l’appareil dans Microsoft Entra ID

    Configurer des applications
  • Démarrage rapide : Inscrire une application dans la plateforme d’identités Microsoft
  • Étendues, autorisations et consentement de la plateforme d’identités Microsoft
  • Sécurisation des principaux de service dans Microsoft Entra ID

    Accès conditionnel
  • Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID
  • L’accès conditionnel nécessite un appareil managé
    		•
    AC.L1-3.1.2

    Énoncé de pratique : Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter.

    Objectifs :
    Déterminez si :
    [a.] Les types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter sont définis.
    [b.] L’accès système est limité aux types définis de transactions et de fonctions pour les utilisateurs autorisés.    		 Vous êtes responsable de la configuration des contrôles d’accès tels que les contrôles d’accès en fonction du rôle (RBAC) avec des rôles intégrés ou personnalisés. Utilisez des groupes auxquels il est possible d’attribuer des rôles afin de gérer les attributions de rôles pour plusieurs utilisateurs nécessitant le même accès. Configurez les contrôles d’accès basés sur les attributs (ABAC) avec des attributs de sécurité par défaut ou personnalisés. L’objectif est de contrôler de manière granulaire l’accès aux ressources protégées avec Microsoft Entra ID.

    Configurer le RBAC
  • Vue d’ensemble du contrôle d’accès en fonction du rôle dans Active Directory Rôles intégrés Microsoft Entra
  • Créer et attribuer un rôle personnalisé dans Microsoft Entra ID

    Configurer ABAC
  • Qu’est-ce que le contrôle d’accès en fonction des attributs Azure (Azure ABAC)
  • Que sont les attributs de sécurité personnalisés dans Microsoft Entra ID ?

    Configurer des groupes pour l’attribution de rôles
  • Utiliser des groupes Microsoft Entra pour gérer les attributions de rôles
    		•
    AC.L1-3.1.20

    Énoncé de pratique : Vérifier et contrôler/limiter les connexions aux systèmes d’information externes, ainsi que leur utilisation.

    Objectifs :
    Déterminez si :
    [a.] Les connexions aux systèmes externes sont identifiées.
    [b.] L’utilisation de systèmes externes est identifiée.
    [c.] Les connexions aux systèmes externes sont vérifiées.
    [d.] L’utilisation de systèmes externes est vérifiée.
    [e.] Les connexions aux systèmes externes sont contrôlées et/ou limitées.
    [f.] L’utilisation de systèmes externes est contrôlée et/ou limitée.    		 Vous êtes responsable de la configuration des stratégies d’accès conditionnel à l’aide de contrôles d’appareil et/ou d’emplacements réseau pour contrôler et/ou limiter les connexions et l’utilisation de systèmes externes. Configurez les conditions d’utilisation afin d’avoir un accusé de réception enregistré de l’utilisateur des termes et conditions pour l’utilisation de systèmes externes pour l’accès.

    Configurer l’accès conditionnel en fonction des besoins
  • Qu’est-ce que l’accès conditionnel ?
  • Exiger des appareils managés pour accéder aux applications cloud avec l’accès conditionnel
  • Exiger que l’appareil soit marqué comme conforme
  • Accès conditionnel : Filtre pour appareils

    Utiliser l’accès conditionnel pour bloquer l’accès
  • Accès conditionnel - Bloquer l’accès par emplacement

    Configurer les conditions d’utilisation
  • Conditions d’utilisation
  • L’accès conditionnel nécessite des conditions d’utilisation
    		•
    AC.L1-3.1.22

    Énoncé de pratique : Informations de contrôle publiées ou traitées sur des systèmes d’information accessibles publiquement.

    Objectifs :
    Déterminez si :
    [a.] Les personnes autorisées à publier ou à traiter de l’information sur des systèmes accessibles au public sont identifiées.
    [b.] Les procédures permettant de s’assurer que les FCI ne sont pas affichées ou traitées sur des systèmes accessibles au public sont identifiées.
    [c.] Un processus d’examen est en place avant la publication de tout contenu sur des systèmes accessibles au public.
    [d.] Le contenu des systèmes accessibles au public est examiné pour s’assurer qu’il n’inclut pas d’informations sur les contrats fédéraux (FCI).    		 Vous êtes responsable de la configuration de Privileged Identity Management (PIM) pour gérer l’accès aux systèmes où les informations publiées sont accessibles à tous. Exigez des approbations avec justification avant l’attribution de rôles dans PIM. Configurez des conditions d’utilisation pour les systèmes où les informations publiées sont accessibles à tous afin d’avoir un accusé de réception enregistré des termes et conditions pour la publication d’informations accessibles à tous.

    Planifier le déploiement de PIM
  • Qu’est-ce que Privileged Identity Management ?
  • Planifier un déploiement de Privileged Identity Management

    Configurer les conditions d’utilisation
  • Conditions d’utilisation
  • L’accès conditionnel nécessite des conditions d’utilisation
  • Configurer les paramètres des rôles Microsoft Entra dans PIM - Exiger une justification
    		•

    Domaine d’identification et d’authentification (IA)

    Le tableau suivant fournit une liste de pratiques et d’objectifs, ainsi que des conseils et recommandations Microsoft Entra pour vous permettre de répondre à ces exigences avec Microsoft Entra ID.

    Énoncé de pratique et objectifs de la certification CMMC Aide et recommandations relatives à Microsoft Entra
    IA.L1-3.5.1

    Énoncé de pratique : Identifier les utilisateurs du système d’information, les processus agissant pour le compte des utilisateurs ou les appareils.

    Objectifs :
    Déterminez si :
    [a.] Les utilisateurs du système sont identifiés.
    [b.] Les processus agissant pour le compte des utilisateurs sont identifiés.
    [c.] Les appareils qui accèdent au système sont identifiés.    		 Microsoft Entra ID identifie de manière unique les utilisateurs, les processus (identités de principal de service/charge de travail) et les appareils via la propriété ID sur les objets d’annuaire respectifs. Vous pouvez filtrer les fichiers journaux pour faciliter votre évaluation à l’aide des liens suivants. Utilisez la référence suivante pour atteindre les objectifs d’évaluation.

    Filtrage des journaux par propriétés utilisateur
  • Type de ressource utilisateur : propriété ID

    Filtrage des journaux par propriétés de service
  • Type de ressource ServicePrincipal : propriété ID

    Filtrage des journaux par propriétés d’appareil
  • Type de ressource ServicePrincipal : propriété ID
    		•
    IA.L1-3.5.2

    Énoncé de pratique : Authentifier (ou vérifier) les identités des utilisateurs, des processus ou des appareils, comme prérequis à l’autorisation de l’accès aux systèmes d’information de l’organisation.

    Objectifs :
    Déterminez si :
    [a.] L’identité de chaque utilisateur est authentifiée ou vérifiée comme prérequis à l’accès au système.
    [b.] L’identité de chaque processus agissant pour le compte d’un utilisateur est authentifiée ou vérifiée comme prérequis à l’accès au système.
    [c.] L’identité de chaque appareil accédant au système ou se connectant au système est authentifiée ou vérifiée comme prérequis à l’accès au système.    		 Microsoft Entra ID authentifie ou vérifie de manière unique chaque utilisateur, processus agissant au nom de l’utilisateur, ou appareil comme condition préalable à l’accès au système. Utilisez la référence suivante pour atteindre les objectifs d’évaluation.

    Configurer les comptes d'utilisateurs
  • Qu’est-ce que l’authentification Microsoft Entra ?

    Configurer Microsoft Entra ID pour répondre aux niveaux d’assurance de l’authentificateur NIST

    Configurer des comptes de principal de service
  • Authentification d’un principal du service

    Configurer des comptes d’appareil
  • Qu’est-ce qu’une identité d’appareil ?
  • Fonctionnement : inscription de l’appareil
  • Qu’est-ce qu’un jeton d’actualisation principal ?
  • Que contient le PRT ?
    		•

    Domaine d’intégrité du système et des informations (SI)

    Le tableau suivant fournit une liste de pratiques et d’objectifs, ainsi que des conseils et recommandations Microsoft Entra pour vous permettre de répondre à ces exigences avec Microsoft Entra ID.

    Énoncé de pratique de la certification CMMC Aide et recommandations relatives à Microsoft Entra
    SI.L1-3.14.1 - Identifier, signaler et corriger les failles des systèmes d’information en temps voulu.

    SI.L1-3.14.2 - Assurer une protection contre le code malveillant aux emplacements appropriés au sein des systèmes d’information de l’organisation.

    SI.L1-3.14.4 - Mettre à jour les mécanismes de protection contre le code malveillant quand de nouvelles versions sont disponibles.

    SI.L1-3.14.5 - Effectuer des analyses périodiques du système d’information et des analyses en temps réel des fichiers à partir de sources externes, à mesure que les fichiers sont téléchargés, ouverts ou exécutés.    		 Instructions regroupées pour les appareils managés hérités
    Configurez l’accès conditionnel pour exiger Microsoft Entra appareil hybride joint. Pour les appareils joints à une instance locale d’AD, le contrôle est supposé être appliqué à l’aide de solutions de gestion comme Configuration Manager ou une stratégie de groupe. Étant donné qu’il n’existe aucune méthode permettant à Microsoft Entra ID de déterminer si une de ces méthodes a été appliquée à un appareil, exiger un appareil joint Microsoft Entra hybride constitue un mécanisme relativement faible pour exiger un appareil managé. L’administrateur détermine si les méthodes appliquées à vos appareils joints au domaine local sont suffisamment fortes pour constituer un appareil managé, si l’appareil est aussi un appareil joint Microsoft Entra hybride.

    Instructions regroupées pour les appareils managés dans le cloud (ou de comanagement)
    Configurez l’accès conditionnel pour exiger qu’un appareil soit marqué conforme, façon la plus forte de demander un appareil managé. Cette option exige qu’un appareil soit inscrit auprès d’Azure AD et marqué comme conforme par Intune ou un système de gestion des appareils mobiles (MDM) tiers qui manage les appareils Windows 10 via l’intégration Microsoft Entra.

    Étapes suivantes