Configurer des contrôles d’accès (AC) CMMC de niveau 2
Microsoft Entra ID peut vous aider à répondre aux exigences pratiques liées à l’identité dans chaque niveau de certification du modèle de maturité de la cybersécurité (CMMC). Pour être conforme aux exigences de CMMC V2.0 niveau 2, il est de la responsabilité des entreprises qui travaillent avec et pour le compte du Département de la défense des États-Unis d’effectuer d’autres configurations ou processus.
Dans la certification CMMC de niveau 2, 13 domaines comportent une ou plusieurs pratiques liées à l’identité :
- Contrôle d’accès (autorité de certification)
- Audit et responsabilité (AU)
- Gestion de la configuration (CM)
- Identification et authentification (IA)
- Réponse aux incidents
- Maintenance (MA)
- Protection média (MP)
- Sécurité du personnel
- Protection physique (PE)
- Évaluation des risques (RA)
- Évaluation de la sécurité (CA)
- Protection du système et des communications (SC)
- Intégrité du système et des informations (SI)
Le reste de cet article fournit des conseils pour le domaine Contrôle d’accès (AC). Vous trouverez un tableau contenant des liens vers du contenu qui fournit des instructions pas à pas pour accomplir la pratique.
Contrôle d’accès (autorité de certification)
Le tableau suivant fournit une liste de pratiques et d’objectifs, ainsi que des conseils et recommandations Microsoft Entra pour vous permettre de répondre à ces exigences avec Microsoft Entra ID.
| Énoncé de pratique et objectifs de la certification CMMC | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| AC.L2-3.1.3 Énoncé de pratique : Contrôler le flux de CUI conformément aux autorisations approuvées. Objectifs : Déterminez si : [a.] Des stratégies de contrôle de flux d’informations ont été définies. [b.] Des méthodes et des mécanismes d’application pour contrôler le flux de CUI ont été définis. [c.] Les sources et les destinations désignées (par exemple, les réseaux, les individus et les appareils) pour les CUI au sein du système et entre les systèmes interconnectés ont été identifiées. [d.] Des autorisations pour contrôler le flux de CUI ont été définies. [e.] Les autorisations approuvées pour contrôler le flux de CUI sont appliquées. |
Configurez des stratégies d’accès conditionnel pour contrôler le flux de CUI à partir d’emplacements, appareils et applications approuvés, et exiger une stratégie de protection des applications. Pour une autorisation plus précise à CUI, configurez les restrictions appliquées par l’application (Exchange et SharePoint Online), le contrôle d’application (avec Microsoft Defender for Cloud Apps) et le contexte d’authentification. Déployez le proxy d'application Microsoft Entra pour sécuriser l'accès aux applications sur site. Condition de localisation dans l'accès conditionnel Microsoft Entra Octroi de contrôles dans la stratégie d’accès conditionnel – Exiger que l’appareil soit marqué comme conforme Accorder des contrôles dans la stratégie d’accès conditionnel (exige un appareil avec jonction hybride à Microsoft Entra) Octroi de contrôles dans la stratégie d’accès conditionnel – Exiger une application cliente approuvée Octroi de contrôles dans la stratégie d’accès conditionnel – Exiger une stratégie de protection des applications Contrôles de session dans une stratégie d’accès conditionnel - Restrictions appliquées par l’application Protégez-vous avec le contrôle d’application par accès conditionnel Microsoft Defender for Cloud Apps Applications cloud, actions et contexte d’authentification dans la stratégie d’accès conditionnel Accès à distance aux applications sur site à l'aide du proxy d'application Microsoft Entra Contexte d’authentification Configuration du contexte d’authentification et attribution à la stratégie d’accès conditionnel Information Protection Identifiez et protégez vos données ; empêchez la perte de données. Protection des données sensibles avec Microsoft Purview Accès conditionnel Accès conditionnel pour Azure Information Protection (AIP) Application Proxy (Proxy d’application) Accès à distance aux applications sur site à l'aide du proxy d'application Microsoft Entra |
| AC.L2-3.1.4 Énoncé de pratique : Séparer les tâches des individus pour réduire le risque d’activité malveillante sans collusion. Objectifs : Déterminez si : [a.] Les tâches qui doivent être séparées ont été définies. [b.] Les responsabilités des tâches qui doivent être séparées sont attribuées à des personnes distinctes. [c.] Les privilèges d’accès qui permettent l’exécution des tâches devant être séparées sont accordés à des personnes distinctes. |
Garantissez une séparation adéquate des tâches en définissant l’accès approprié. Configurez les packages d’accès de gestion des droits d’utilisation pour régir l’accès aux applications, aux groupes, et aux sites Teams et SharePoint. Configurez les vérifications de séparation des tâches dans les packages d’accès pour éviter qu’un utilisateur n’obtienne un accès excessif. Dans la gestion des droits Microsoft Entra, vous pouvez configurer plusieurs stratégies, avec des paramètres différents pour chaque communauté d'utilisateurs qui auront besoin d'accéder via un package d'accès. Cette configuration inclut des restrictions de sorte qu’un utilisateur d’un groupe particulier, ou à qui un autre package d’accès a déjà été affecté, ne se voie pas attribuer d’autres packages d’accès, stratégie par stratégie. Configurez les unités administratives dans Microsoft Entra ID pour étendre les privilèges administratifs afin que les administrateurs dotés de rôles privilégiés disposent uniquement de ces privilèges sur un ensemble limité d'objets d'annuaire (utilisateurs, groupes, appareils). Présentation de la gestion des droits d’utilisation Que sont les packages d’accès et quelles ressources gérer avec eux ? Configurer la séparation des tâches pour un package d'accès dans la gestion des droits Microsoft Entra Unités administratives dans Microsoft Entra ID |
| AC.L2-3.1.5 Énoncé de pratique : Utiliser le principe des privilèges minimum, y compris pour des fonctions de sécurité et des comptes privilégiés spécifiques. Objectifs : Déterminez si : [a.] Des comptes privilégiés ont été identifiés. [b.] L’accès aux comptes privilégiés est autorisé conformément au principe des privilèges minimum. [c.] Les fonctions de sécurité ont été identifiées. [d.] L’accès aux fonctions de sécurité est autorisé conformément au principe des privilèges minimum. |
Vous êtes responsable de l’implémentation et de l’application de la règle des privilèges minimum. Cette action peut être effectuée avec Privileged Identity Management pour la configuration de l’application, de la surveillance et des alertes. Définissez les exigences et les conditions d’appartenance au rôle. Une fois les comptes privilégiés identifiés et gérés, utilisez la gestion de cycle de vie des droits d’utilisation et les révisions d’accès pour définir l’accès adéquat, le maintenir et l’auditer. Utilisez l’API Microsoft Graph pour découvrir et surveiller les rôles d’annuaire. Attribuer des rôles Attribuer des rôles Microsoft Entra dans PIM Attribuer des rôles de ressources Azure dans Privileged Identity Management Affecter des propriétaires et des membres éligibles pour PIM pour les groupes Définir les paramètres des rôles Configurer les paramètres du rôle Microsoft Entra dans PIM Configurer les paramètres des rôles de ressources Azure dans PIM Configurer les paramètres PIM pour les groupes dans PIM Configurer des alertes Alertes de sécurité pour les rôles Microsoft Entra dans PIM Configurer les alertes de sécurité pour les rôles de ressources Azure dans Privileged Identity Management |
| AC.L2-3.1.6 Énoncé de pratique : Utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. Objectifs : Déterminez si : [a.] Des fonctions autres que des fonctions de sécurité ont été identifiées. [b.] Les utilisateurs doivent utiliser des comptes ou des rôles non privilégiés lors de l’accès à des fonctions non relatives à la sécurité. AC.L2-3.1.7 Énoncé de pratique : Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et de capturer l’exécution de ces fonctions dans les journaux d’audit. Objectifs : Déterminez si : [a.] Des fonctions privilégiées ont été définies. [b.] Les utilisateurs non privilégiés ont été définis. [c.] Les utilisateurs non privilégiés ne peuvent pas exécuter les fonctions privilégiées. [d.] L’exécution de fonctions privilégiées est capturée dans les journaux d’audit. |
Les exigences d’AC.L2-3.1.6 et d’AC.L2-3.1.7 se complètent. Exigez des comptes distincts pour l’utilisation avec et sans privilèges. Configurez Privileged Identity Management (PIM) pour apporter un accès privilégié juste-à-temps (JIT) et supprimer l’accès permanent. Configurez des stratégies d’accès conditionnel en fonction du rôle afin de limiter l’accès à l’application de productivité pour les utilisateurs privilégiés. Pour les utilisateurs à privilèges élevés, sécurisez les appareils dans le cadre de l’article sur l’accès privilégié. Toutes les actions privilégiées sont capturées dans les journaux d'audit Microsoft Entra. Vue d’ensemble de la sécurisation de l’accès privilégié Configurer les paramètres du rôle Microsoft Entra dans PIM Utilisateurs et groupes dans la stratégie d’accès conditionnel Pourquoi les appareils à accès privilégié sont-ils importants ? |
| AC.L2-3.1.8 Énoncé de pratique : Limiter les tentatives d’authentification infructueuses. Objectifs : Déterminez si : [a.] Le mécanisme permettant de limiter les tentatives d’authentification infructueuses a été défini. [b.] Le mécanisme permettant de limiter les tentatives d’authentification infructueuses qui a été défini est implémenté. |
Activez les paramètres de verrouillage intelligent personnalisés. Configurez le seuil de verrouillage et la durée de verrouillage en secondes pour implémenter ces exigences. Protégez les comptes d'utilisateurs contre les attaques avec le verrouillage intelligent Microsoft Entra Gérer les valeurs de verrouillage intelligent de Microsoft Entra |
| AC.L2-3.1.9 Énoncé de pratique : Fournir des avis de confidentialité et de sécurité conformes aux règles applicables relatives aux informations non classifiées contrôlées (CUI). Objectifs : Déterminez si : [a.] Les avis de confidentialité et de sécurité exigés par les règles spécifiées par les CUI sont identifiés, cohérents et associés à une catégorie CUI spécifique. [b.] Les avis de confidentialité et de sécurité sont affichés. |
Avec Microsoft Entra ID, vous pouvez envoyer des notifications ou des bannières pour toutes les applications qui nécessitent et enregistrent un accusé de réception avant d'accorder l'accès. Vous pouvez cibler de manière granulaire ces conditions d’utilisation pour des utilisateurs spécifiques (membre ou invité). Il vous est également possible de les personnaliser par application via des stratégies d’accès conditionnel. Accès conditionnel Qu’est-ce que l’accès conditionnel dans Microsoft Entra ID ? Conditions d’utilisation Conditions d'utilisation de Microsoft Entra Afficher le rapport des utilisateurs ayant accepté et refusé les conditions d’utilisation |
| AC.L2-3.1.10 Énoncé de pratique : Utiliser un verrou de session avec des affichages de masquage de modèle pour empêcher l’accès et l’affichage des données après une période d’inactivité. Objectifs : Déterminez si : [a.] La période d’inactivité après laquelle le système applique un verrou de session a été définie. [b.] L’accès au système et l’affichage des données sont empêchés par l’application d’un verrou de session après la période d’inactivité définie. [c.] Les informations précédemment visibles sont masquées après la période d’inactivité définie. |
Implémentez le verrouillage des appareils en utilisant une stratégie d’accès conditionnel pour restreindre l’accès aux appareils conformes ou hybrides Microsoft Entra. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Microsoft Intune, Configuration Manager ou des objets de stratégie de groupe peuvent également être envisagés dans des déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau. Exiger que l’appareil soit marqué comme conforme Accorder des contrôles dans la stratégie d’accès conditionnel (exige un appareil avec jonction hybride à Microsoft Entra) Fréquence de connexion de l’utilisateur Configurez les appareils pour un nombre maximal de minutes d’inactivité avant le verrouillage de l’écran (Android, iOS, Windows 10). |
| AC.L2-3.1.11 Énoncé de pratique : Terminer (automatiquement) les sessions utilisateur après une condition définie. Objectifs : Déterminez si : [a.] Les conditions exigeant l’arrêt d’une session utilisateur ont été définies. [b.] Une session utilisateur est automatiquement arrêtée quand l’une des conditions définies est remplie. |
Activez l’évaluation continue de l’accès (CAE) pour toutes les applications prises en charge. Dans le cas des applications qui ne prennent pas en charge CAE, ou des conditions qui ne s’appliquent pas à CAE, implémentez dans Microsoft Defender for Cloud Apps des stratégies permettant d’arrêter automatiquement les sessions dans certaines conditions. De plus, configurez Microsoft Entra ID Protection pour évaluer les risques liés aux utilisateurs et aux connexions. Utilisez l’accès conditionnel avec Identity Protection pour permettre à l’utilisateur de corriger automatiquement les risques. Évaluation continue de l’accès dans Microsoft Entra ID Contrôle de l’utilisation des applications cloud par la création de stratégies Qu’est-ce que la protection de Microsoft Entra ID ? |
| AC.L2-3.1.12 Énoncé de pratique : Monitorer et contrôler les sessions d’accès à distance. Objectifs : Déterminez si : [a.] Les sessions d’accès à distance sont autorisées. [b.] Les types d’accès à distance autorisés sont identifiés. [c.] Les sessions d’accès à distance sont contrôlées. [d.] Les sessions d’accès à distance sont monitorées. |
Dans le monde d’aujourd’hui, les utilisateurs accèdent presque exclusivement aux applications cloud à distance, à partir de réseaux inconnus ou non approuvés. Il est essentiel de sécuriser ce modèle d’accès pour adopter des principes de Confiance Zéro. Pour répondre à ces exigences de contrôle dans un monde cloud moderne, nous devons vérifier explicitement chaque demande d’accès, implémenter le principe des privilèges minimum et supposer qu’il y a eu violation. Configurez des emplacements nommés pour délimiter les réseaux internes et externes. Configurez le contrôle d’application d’accès conditionnel pour router l’accès au travers d’applications Microsoft Defender pour le cloud. Configurez Defender for Cloud Apps pour contrôler et superviser toutes les sessions. Guide de déploiement Zero Trust pour Microsoft Entra ID Condition de localisation dans l'accès conditionnel Microsoft Entra Déployer le contrôle des applications à accès conditionnel Cloud App Security pour les applications Microsoft Entra Présentation de Microsoft Defender for Cloud Apps Surveillance des alertes générées dans Microsoft Defender for Cloud Apps |
| AC.L2-3.1.13 Énoncé de pratique : Utiliser des mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance. Objectifs : Déterminez si : [a.] Les mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance sont identifiés. [b.] Les mécanismes de chiffrement pour protéger la confidentialité des sessions d’accès à distance ont été implémentés. |
Tous les services Web Microsoft Entra destinés aux clients sont sécurisés avec le protocole Transport Layer Security (TLS) et sont implémentés à l'aide d'une cryptographie validée FIPS. Considérations sur la sécurité des données Microsoft Entra (microsoft.com) |
| AC.L2-3.1.14 Énoncé de pratique : Router l’accès à distance via des points de contrôle d’accès managés. Objectifs : Déterminez si : [a.] Les points de contrôle d’accès managés sont identifiés et implémentés. [b.] L’accès à distance est routé via des points de contrôle d’accès réseau managés. |
Configurez des emplacements nommés pour délimiter les réseaux internes et externes. Configurez le contrôle d’application d’accès conditionnel pour router l’accès au travers d’applications Microsoft Defender pour le cloud. Configurez Defender for Cloud Apps pour contrôler et superviser toutes les sessions. Sécurisez les appareils utilisés par les comptes privilégiés dans le cadre de l’article sur l’accès privilégié. Condition de localisation dans l'accès conditionnel Microsoft Entra Contrôles de session dans la stratégie d’accès conditionnel Vue d’ensemble de la sécurisation de l’accès privilégié |
| AC.L2-3.1.15 Énoncé de pratique : Autoriser l’exécution à distance des commandes privilégiées et l’accès à distance aux informations relatives à la sécurité. Objectifs : Déterminez si : [a.] Les commandes privilégiées autorisées pour l’exécution à distance sont identifiées. [b.] Les informations de sécurité qui peuvent être consultées à distance sont identifiées. [c.] L’exécution est autorisée pour les commandes privilégiées via l’accès à distance qui ont été identifiées. [d.] L’accès aux informations de sécurité identifiées par le biais d’un accès à distance est autorisé. |
L’accès conditionnel constitue le plan de contrôle Confiance Zéro pour cibler les stratégies d’accès à vos applications lorsqu’il est associé au contexte d’authentification. Vous pouvez appliquer différentes stratégies dans ces applications. Sécurisez les appareils utilisés par les comptes privilégiés dans le cadre de l’article sur l’accès privilégié. Configurez des stratégies d’accès conditionnel de façon à exiger l’utilisation de ces appareils sécurisés, par les utilisateurs privilégiés, lors de l’exécution de commandes privilégiées. Applications cloud, actions et contexte d’authentification dans la stratégie d’accès conditionnel Vue d’ensemble de la sécurisation de l’accès privilégié Filtre pour appareils comme condition dans la stratégie d’accès conditionnel |
| AC.L2-3.1.18 Énoncé de pratique : Contrôler la connexion des appareils mobiles. Objectifs : Déterminez si : [a.] Les appareils mobiles qui traitent, stockent ou transmettent les CUI sont identifiés. [b.] Les connexions d’appareils mobiles sont autorisées. [c.] Les connexions d’appareils mobiles sont monitorées et journalisées. |
Configurer des stratégies de gestion des appareils via une solution MDM (par exemple, Microsoft Intune), Configuration Manager ou des objets de stratégie de groupe (GPO) pour appliquer la configuration des appareils mobiles et le profil de connexion associé. Configurer des stratégies d’accès conditionnel pour appliquer la conformité des appareils. Accès conditionnel Exiger que l’appareil soit marqué comme conforme Exige un appareil avec jonction hybride à Microsoft Entra InTune Stratégies de conformité des appareils dans Microsoft Intune Qu’est-ce que la gestion des applications dans Microsoft Intune ? |
| AC.L2-3.1.19 Énoncé de pratique : Chiffrer les CUI sur les appareils mobiles et les plateformes informatiques mobiles. Objectifs : Déterminez si : [a.] Les appareils mobiles et les plateformes informatiques mobiles qui traitent, stockent ou transmettent les CUI sont identifiés. [b.] Le chiffrement est utilisé pour protéger les CUI sur les appareils mobiles et les plateformes informatiques mobiles identifiés. |
Appareil géré Configurez les politiques d'accès conditionnel pour appliquer les appareils conformes ou hybrides Microsoft Entra et pour garantir que les appareils gérés sont configurés de manière appropriée via une solution de gestion des appareils pour chiffrer CUI. Appareil non géré Configurez des stratégies d’accès conditionnel de façon à exiger des stratégies de protection d’applications. Octroi de contrôles dans la stratégie d’accès conditionnel – Exiger que l’appareil soit marqué comme conforme Accorder des contrôles dans la stratégie d’accès conditionnel (exige un appareil avec jonction hybride à Microsoft Entra) Octroi de contrôles dans la stratégie d’accès conditionnel – Exiger une stratégie de protection des applications |
| AC.L2-3.1.21 Énoncé de pratique : Limiter l’utilisation d’appareils de stockage portables sur les systèmes externes. Objectifs : Déterminez si : [a.] L’utilisation d’appareils de stockage portables contenant des CUI sur des systèmes externes est identifiée et documentée. [b.] Les limites d’utilisation des appareils de stockage portables contenant des CUI sur des systèmes externes sont définies. [c.] L’utilisation des appareils de stockage portables contenant des CUI sur des systèmes externes est limitée comme défini. |
Configurer des stratégies de gestion des appareils via une solution MDM (par exemple, Microsoft Intune), Configuration Manager ou des objets de stratégie de groupe (GPO) pour contrôler l’utilisation des appareils de stockage portables sur les systèmes. Configurez les paramètres de stratégie sur l’appareil Windows de façon à interdire complètement ou à restreindre l’utilisation du stockage portable au niveau du système d’exploitation. Pour tous les autres appareils sur lesquels il n’est pas nécessairement possible de contrôler avec précision l’accès au stockage portable, bloquez entièrement le téléchargement avec Microsoft Defender for Cloud Apps. Configurer des stratégies d’accès conditionnel pour appliquer la conformité des appareils. Accès conditionnel Exiger que l’appareil soit marqué comme conforme Exige un appareil avec jonction hybride à Microsoft Entra Configurer la gestion des sessions d’authentification Intune Stratégies de conformité des appareils dans Microsoft Intune Restriction des périphériques USB à l’aide de modèles d’administration dans Microsoft Intune Microsoft Defender for Cloud Apps Création de stratégies de session dans Defender for Cloud Apps |