Configurer les contrôles d’accès aux identités pour être conforme au niveau d’impact élevé FedRAMP High
Le contrôle d’accès est un élément essentiel pour le fonctionnement du niveau d’impact élevé FedRAMP (Federal Risk and Authorization Management Program).
La liste suivante des contrôles et des améliorations de contrôle de la famille de contrôle d'accès (AC) peut nécessiter une configuration dans votre client Microsoft Entra.
| Famille de contrôle | Description |
|---|---|
| AC-2 | Gestion des comptes |
| AC-6 | Privilège minimum |
| AC-7 | Tentatives d’ouverture de session infructueuses |
| AC-8 | Notification d’utilisation du système |
| AC-10 | Contrôle des sessions simultanées |
| AC-11 | Verrouillage de session |
| AC-12 | Arrêt de session |
| AC-20 | Utilisation de systèmes d’information externes |
Chaque ligne du tableau suivant fournit des orientations prescriptives pour vous aider à élaborer la réponse de votre organisation aux responsabilités partagées concernant le contrôle ou le renforcement du contrôle.
Configurations
| ID et description du contrôle FedRAMP | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| GESTION DES COMPTES AC-2 L’organisation : (b.) Affecte des gestionnaires de comptes aux comptes du système d’information. (c.) Établit les conditions d’appartenance au groupe et au rôle. (d.) Spécifie les utilisateurs autorisés du système d’information, l’appartenance aux groupes et aux rôles, ainsi que les autorisations d’accès (par ex., les privilèges) et, si nécessaire, d’autres attributs pour chaque compte. (e.) Exige l’approbation [Affectation : du personnel ou des rôles définis par l’organisation] pour les requêtes de création de compte du système d’information. (f.) Crée, active, modifie, désactive et supprime les comptes du système d’information conformément aux [Affectation : procédures ou conditions définies par l’organisation]. (g.) Surveille l’utilisation des comptes du système d’information. (h.) Avertit les gestionnaires de comptes : (i.) Autorise l’accès au système d’information en fonction des éléments suivants : (j.) Vérifie la conformité des comptes aux exigences de gestion des comptes [Affectation FedRAMP : mensuellement pour l’accès privilégié, tous les six (6) mois pour l’accès non privilégié] (k.) Établit un processus de réémission des informations d’identification pour les comptes partagés ou de groupe (si déployés) lorsque des personnes sont retirées du groupe. |
Implémenter la gestion du cycle de vie des comptes pour les comptes contrôlés par le client. Surveiller l’utilisation des comptes et notifier les gestionnaires de comptes des événements de cycle de vie des comptes. Examiner les comptes en lien avec la conformité aux exigences de gestion de compte chaque mois pour l’accès privilégié et tous les six mois pour l’accès sans privilège. Utilisez Microsoft Entra ID pour provisionner des comptes à partir de systèmes RH externes, d'Active Directory sur site ou directement dans le cloud. Toutes les opérations du cycle de vie du compte sont auditées dans les journaux d'audit Microsoft Entra. Vous pouvez collecter et analyser les journaux en utilisant une solution SIEM (Security Information and Event Management) comme Microsoft Sentinel. Vous pouvez également utiliser Azure Event Hubs pour intégrer des journaux dans des solutions SIEM tierces afin d’activer la supervision et la notification. Utilisez la gestion des droits Microsoft Entra avec des examens d’accès pour garantir l’état de conformité des comptes. Provisionner des comptes Superviser les comptes Passer en revue les comptes Ressources
|
| AC-2 (1) L’organisation utilise des mécanismes automatisés pour gérer les comptes du système d’information. |
Utilisez des mécanismes automatisés pour prendre en charge la gestion des comptes contrôlés par le client. Configurez le provisionnement automatisé des comptes contrôlés par le client à partir de systèmes RH externes ou d’Active Directory local. Pour les applications qui prennent en charge le provisionnement d'applications, configurez Microsoft Entra ID pour créer automatiquement des identités et des rôles d'utilisateur dans les applications Cloud Software as a Solution (SaaS) auxquelles les utilisateurs doivent accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Pour faciliter la surveillance de l'utilisation du compte, vous pouvez diffuser les journaux Microsoft Entra ID Protection, qui affichent les utilisateurs à risque, les connexions à risque et les détections de risques, ainsi que les journaux d'audit directement dans Microsoft Sentinel ou Event Hubs. Approvisionner Contrôle et audit |
| AC-2 (2) Le système d’information [Sélection FedRAMP : désactive] automatiquement les comptes temporaires et d’urgence [Affectation FedRAMP : 24 heures après la dernière utilisation]. AC-02(3) AC-2 (3) Exigences et conseils supplémentaires pour FedRAMP : |
Utilisez des mécanismes automatisés pour prendre en charge la suppression ou la désactivation automatique des comptes temporaires et d’urgence dans un délai de 24 heures à partir de la dernière utilisation et de tous les comptes contrôlés par le client après 35 jours d’inactivité. Implémentez l’automatisation de la gestion des comptes avec Microsoft Graph et Microsoft Graph PowerShell. Microsoft Graph permet de superviser l’activité de connexion et Azure AD PowerShell de prendre des mesures sur les comptes dans le délai imparti. Déterminer l’inactivité Supprimer ou désactiver des comptes Utiliser des appareils dans Microsoft Graph |
| AC-2 (4) Le système d’information vérifie automatiquement les actions de création, de modification, d’activation, de désactivation et de suppression des comptes et en informe [Affectation FedRAMP : le propriétaire du système du fournisseur de services et/ou l’organisation]. |
Implémentez un système d’audit et de notification automatisé pour le cycle de vie de gestion des comptes contrôlés par le client. Toutes les opérations de cycle de vie des comptes (opérations de création, de modification, d’activation, de désactivation et de suppression des comptes) sont auditées dans les journaux d’audit Azure. Vous pouvez diffuser en continu les journaux directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification. Audit Notification |
| AC-2 (5) L’organisation exige que les utilisateurs se déconnectent lorsque [Affectation FedRAMP : l’inactivité prévue dépasse quinze (15) minutes]. AC-2 (5) Exigences et conseils supplémentaires relatifs à FedRAMP : |
Implémentez la déconnexion de l’appareil après une période d’inactivité de 15 minutes. Implémentez le verrouillage des appareils à l'aide d'une stratégie d'accès conditionnel limitant l'accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau. Accès conditionnel Stratégie GPM |
| AC-2(7) L’organisation : |
Gérer et surveiller les attributions de rôles privilégiées en suivant un schéma d’accès en fonction du rôle pour les comptes contrôlés par le client. Désactiver ou révoquer l’accès avec privilège pour des comptes quand il n’est plus approprié. Implémentez la gestion des identités privilégiées de Microsoft Entra avec des examens d'accès pour les rôles privilégiés dans Microsoft Entra ID afin de surveiller les attributions de rôles et de supprimer les attributions de rôles lorsqu'elles ne sont plus appropriées. Vous pouvez diffuser en continu les journaux d’audit directement dans Microsoft Sentinel ou Event Hubs pour faciliter la notification. Administrer Superviser |
| AC-2 (11) Le système d’information applique les [Affectation : circonstances et/ou conditions d’utilisation définies par l’organisation] aux [Affectation : comptes du système d’information définis par l’organisation]. |
Appliquez l’utilisation des comptes contrôlés par le client pour répondre aux conditions ou aux circonstances définies par le client. Créez des stratégies d’accès conditionnel pour appliquer des décisions de contrôle d’accès sur les utilisateurs et les appareils. Accès conditionnel |
| AC-2 (12) L’organisation : AC-2 (12) (a) et AC-2 (12) (b) Exigences et conseils supplémentaires relatifs à FedRAMP : |
Supervisez et signalez les comptes contrôlés par le client avec un accès privilégié qui présentent un usage atypique. Pour faciliter la supervision en cas d’usage atypique, vous pouvez diffuser en continu les journaux Identity Protection (qui montrent les utilisateurs à risque, les connexions à risque et les détections de risques) et les journaux d’audit, avec l’aide de la corrélation avec l’attribution des privilèges, directement dans une solution SIEM comme Microsoft Sentinel. Vous pouvez également utiliser Event Hubs pour intégrer les journaux à des solutions SIEM tierces. Identity Protection Superviser les comptes |
| AC-2 (13) L’organisation désactive les comptes des utilisateurs présentant un risque élevé dans un délai d’[Affectation FedRAMP : une (1) heure] suivant la détection du risque. |
Désactivez les comptes d’utilisateurs contrôlés par le client présentant un risque significatif dans un délai d’une heure. Dans Microsoft Entra ID Protection, configurez et activez une stratégie de risque utilisateur avec le seuil défini sur Élevé. Créez des stratégies d’accès conditionnel pour bloquer l’accès aux utilisateurs à risque et aux connexions à risque. Configurez les stratégies de risque pour permettre aux utilisateurs de corriger eux-mêmes et de débloquer les tentatives de connexion ultérieures. Identity Protection Accès conditionnel |
| AC-6 (7) L’organisation : |
Examiner et valider tous les utilisateurs disposant d’un accès privilégié chaque année. Vérifier que les privilèges sont réattribués (ou supprimés si nécessaire) pour s’aligner sur les besoins liés à l’activité et à la mission de l’organisation. Utilisez la gestion des droits Microsoft Entra avec des examens d'accès pour les utilisateurs privilégiés afin de vérifier si un accès privilégié est requis. Révisions d’accès |
| AC-7 Tentatives de connexion infructueuses L’organisation : |
Appliquer une limite de trois tentatives de connexion consécutives ayant échoué sur les ressources déployées par le client au cours d’une période de 15 minutes. Verrouiller le compte pendant au minimum trois heures ou jusqu’à ce qu’il soit déverrouillé par un administrateur. Activez les paramètres de verrouillage intelligent personnalisés. Configurez le seuil de verrouillage et la durée de verrouillage en secondes pour implémenter ces exigences. Verrouillage intelligent |
| AC-8 Notification d’utilisation du système Le système d’information : (b.) Continue d’afficher la notification ou la bannière à l’écran jusqu’à ce que les utilisateurs acceptent les conditions d’utilisation et prennent des mesures explicites pour se connecter ou accéder au système d’information. (c.) Pour les systèmes accessibles publiquement : AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP : |
Affichez et exigez un accusé de réception pour les remarques sur la confidentialité et la sécurité de l’utilisateur avant d’octroyer l’accès aux systèmes d’information. Avec Microsoft Entra ID, vous pouvez envoyer des notifications ou des bannières pour toutes les applications qui nécessitent et enregistrent un accusé de réception avant d'accorder l'accès. Vous pouvez cibler de manière granulaire ces conditions d’utilisation pour des utilisateurs spécifiques (membre ou invité). Il vous est également possible de les personnaliser par application via des stratégies d’accès conditionnel. Conditions d’utilisation |
| AC-10 Contrôle des sessions simultanées Le système d’information limite le nombre de sessions simultanées pour chaque [Affectation : compte défini par l’organisation et/ou type de compte] à [Affectation FedRAMP : trois (3) sessions pour l’accès privilégié et deux (2) sessions pour l’accès non privilégié]. |
Limitez les sessions simultanées à trois sessions pour un accès privilégié et à deux sessions pour un accès non privilégié. Aujourd'hui, les utilisateurs se connectent à partir de plusieurs appareils, parfois simultanément. Limiter les sessions simultanées provoque une dégradation de l’expérience utilisateur et a peu de valeur en termes de sécurité. Une meilleure approche pour traiter l’intention derrière ce contrôle consiste à adopter une position de sécurité Confiance Zéro. Les conditions sont validées explicitement avant qu’une session ne soit créée et validées en continu pendant toute la durée d’une session. En outre, utilisez les contrôles de compensation suivants. Utilisez les stratégies d’accès conditionnel pour restreindre l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer les restrictions d’inscription d’utilisateur au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Utilisez Privileged Identity Management pour restreindre et contrôler davantage les comptes privilégiés. Configurez le verrouillage de compte intelligent pour les tentatives de connexion non valides. Conseils d’implémentation Confiance Zéro Accès conditionnel Stratégies d’appareils Ressources Consultez la section AC-12 pour plus de conseils sur la réévaluation des sessions et l’atténuation des risques. |
| AC-11 Verrouillage de session Le système d’information : (a.) Empêche l’accès au système en lançant le verrouillage de session après [Affectation FedRAMP : quinze (15) minutes] d’inactivité ou à réception d’une demande d’un utilisateur. (b.) Maintient le verrouillage de session jusqu’à ce que l’utilisateur rétablisse l’accès en suivant les procédures d’identification et d’authentification établies. AC-11(1) |
Implémentez un verrou de session après une période d’inactivité de 15 minutes ou lors de la réception d’une demande d’un utilisateur. Conserver le verrou de session jusqu’à ce que l’utilisateur se réauthentifie. Masquer les informations précédemment visibles lors du lancement d’un verrou de session. Implémentez le verrouillage de l’appareil à l’aide d’une stratégie d’accès conditionnel limitant l’accès aux appareils conformes. Configurez les paramètres de stratégie sur l’appareil pour appliquer le verrouillage de l’appareil au niveau du système d’exploitation avec des solutions de gestion des appareils mobiles comme Intune. Endpoint Manager ou des objets de stratégie de groupe peuvent également être envisagés dans les déploiements hybrides. Pour les appareils non managés, configurez le paramètre de fréquence de connexion pour forcer les utilisateurs à s’authentifier à nouveau. Accès conditionnel Stratégie GPM |
| AC-12 Arrêt de session Le système d’information arrête automatiquement une session utilisateur après [Affectation : conditions ou événements déclenchant la déconnexion de la session définis par l’organisation]. |
Arrêtez automatiquement les sessions utilisateur quand des conditions définies par l’organisation ou des événements déclencheurs se produisent. Implémentez la réévaluation automatique des sessions utilisateur avec les fonctionnalités de Microsoft Entra telles que l'accès conditionnel basé sur les risques et l'évaluation continue des accès. Vous pouvez implémenter les conditions d’inactivité au niveau de l’appareil, comme décrit à la section AC-11. Ressources |
| AC-12(1) Le système d’information : (a.) Fournit une fonctionnalité de déconnexion des sessions de communications initiées par l’utilisateur lorsque l’authentification est utilisée pour accéder aux [Affectation : ressources d’informations définies par l’organisation]. (b.) Affiche un message de déconnexion explicite aux utilisateurs indiquant l’arrêt fiable des sessions de communications authentifiées. AC-8 Exigences et conseils supplémentaires relatifs à FedRAMP : |
Fournissez une capacité de déconnexion pour toutes les sessions et affichez un message de déconnexion explicite. Toutes les interfaces Web Microsoft Entra ID offrent une fonctionnalité de déconnexion pour les sessions de communication initiées par l'utilisateur. Lorsque les applications SAML sont intégrées à Microsoft Entra ID, implémentez la déconnexion unique. Capacité de déconnexion Afficher un message
Ressources |
| AC-20 Utilisation des systèmes d’information externes Conformément à toute relation d’approbation établie avec d’autres organisations qui possèdent, exploitent ou assurent la maintenance de systèmes d’information externes, l’organisation établit les conditions générales qui permettent aux personnes autorisées d’accéder au système d’information à partir de systèmes d’information externes. (a.) Accède au système d’information à partir de systèmes d’information externes. (b.) Traite, stocke ou transmet des informations contrôlées par l’organisation à l’aide de systèmes d’information externes. AC-20(1) |
Établissez des conditions générales permettant aux personnes autorisées d’accéder aux ressources déployées par le client à partir de systèmes d’information externes tels que des appareils non managés et des réseaux externes. Exigez l’acceptation des conditions d’utilisation pour les utilisateurs autorisés accédant aux ressources à partir de systèmes externes. Implémentez des stratégies d’accès conditionnel pour restreindre l’accès à partir de systèmes externes. Les stratégies d’accès conditionnel peuvent également être intégrées aux applications Microsoft Defender pour le Cloud afin de contrôler les applications Cloud et sur site à partir de systèmes externes. La gestion des applications mobiles dans Intune peut protéger les données de l’organisation au niveau de l’application, notamment les applications personnalisées et les applications du Store, des appareils managés qui interagissent avec les systèmes externes. Par exemple lors de l’accès à des services cloud. Vous pouvez utiliser la gestion des applications sur des appareils personnels et des appareils appartenant à l’organisation. Conditions générales Accès conditionnel GESTION DES APPAREILS MOBILES Ressource |
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour