Partager via


Configurer les contrôles d’identification et d’authentification pour atteindre le niveau d’impact élevé FedRAMP avec Microsoft Entra ID

L’identification et l’authentification sont primordiales pour atteindre un niveau d’impact élevé FedRAMP (Federal Risk and Authorization Management Program).

La liste suivante de contrôles et d’améliorations de contrôle de la famille Identification et authentification peut nécessiter une configuration dans votre locataire Microsoft Entra.

Famille de contrôle Description
IA-2 Identification et authentification (utilisateurs de l’organisation)
IA-3 Identification et authentification des appareils
IA-4 Gestion des identificateurs
IA-5 Gestion des authentificateurs
IA-6 Commentaires au sujet des authentificateurs
IA-7 Authentification du module de chiffrement
IA-8 Identification et authentification (utilisateurs extérieurs à l’organisation)

Chaque ligne du tableau suivant fournit des orientations prescriptives pour vous aider à élaborer la réponse de votre organisation aux responsabilités partagées concernant le contrôle ou le renforcement du contrôle.

Configurations

ID et description du contrôle FedRAMP Aide et recommandations relatives à Microsoft Entra
Identification et authentification de l’utilisateur IA-2
Le système d’information identifie et authentifie de manière unique les utilisateurs de l’organisation (ou les processus intervenant pour le compte des utilisateurs de l’organisation).
Identifiez et authentifiez de manière unique les utilisateurs ou les processus agissant au nom des utilisateurs.

Microsoft Entra ID identifie de façon unique les objets de principal de service et d’utilisateur directement. Microsoft Entra ID fournit plusieurs méthodes d’authentification, et vous pouvez configurer des méthodes conformes au niveau d’assurance d’authentification 3 du National Institute of Standards and Technology (NIST).

Identificateurs

  • Utilisateurs : Utilisation des utilisateurs dans Microsoft Graph : ID de propriété
  • Principaux de service : Type de ressource ServicePrincipal : ID de propriété

    Authentification et authentification multifacteur

  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft
  • IA-2(1)
    Le système d’information implémente l’authentification multifacteur pour l’accès réseau aux comptes privilégiés.

    IA-2(3)
    Le système d’information implémente l’authentification multifacteur pour l’accès local aux comptes privilégiés.
    Authentification multifacteur pour tous les accès aux comptes privilégiés.

    Configurez les éléments suivants pour une solution complète afin de garantir que tous les accès aux comptes privilégiés requièrent l’authentification multifacteur.

    Configurer des stratégies d’accès conditionnel pour exiger de tous les utilisateurs une authentification multi-facteur.
    Implémentez Microsoft Entra Privileged Identity Management de façon à exiger l’authentification multifacteur pour l’activation de l’attribution de rôle privilégiée avant utilisation.

    Avec l’exigence d’activation Privileged Identity Management, l’activation du compte avec privilège n’est pas possible sans un accès au réseau, si bien que l’accès local n’est jamais privilégié.

    Authentification multifacteur et Privileged Identity Management

  • Accès conditionnel : exiger de tous les utilisateurs l’authentification multi-facteur
  • Configurer les paramètres de rôle Microsoft Entra dans Privileged Identity Management
  • IA-2(2)
    Le système d’information implémente l’authentification multifacteur pour l’accès réseau aux comptes non privilégiés.

    IA-2(4)
    Le système d’information implémente l’authentification multi-facteur pour l’accès local aux comptes non privilégiés.
    Implémenter l’authentification multifacteur pour tous les accès à des comptes non privilégiés

    Configurez les éléments suivants en tant que solution globale pour garantir une authentification multi-facteur de tous les accès à des comptes non privilégiés.

    Configurer des stratégies d’accès conditionnel pour exiger l’authentification multifacteur pour tous les utilisateurs.
    Configurer des stratégies de gestion des appareils via MDM (par exemple, Microsoft Intune), Microsoft Endpoint Manager (MEM) ou des objets de stratégie de groupe (GPO) pour appliquer l’utilisation de méthodes d’authentification spécifiques.
    Configurer des stratégies d’accès conditionnel pour appliquer la conformité des appareils.

    Microsoft recommande l’utilisation d’un authentificateur matériel de chiffrement multifacteur (clés de sécurité FIDO2, Windows Hello Entreprise (avec module TPM matériel) ou carte à puce) pour atteindre le niveau AAL3. Si votre organisation est entièrement basée sur le Cloud, nous vous recommandons d’utiliser des clés de sécurité FIDO2 ou Windows Hello Entreprise.

    Windows Hello Entreprise n’a pas été validé au niveau de sécurité FIPS 140 requis et les clients des agences fédérales doivent procéder à l’évaluation des risques avant d’accepter cet authentificateur en tant qu’AAL3. Pour plus d’informations sur la validation FIPS 140 de Windows Hello Entreprise, consultez Microsoft NIST AALs.

    Les instructions relatives aux stratégies MDM diffèrent légèrement selon les méthodes d’authentification.

    Carte à puce / Windows Hello Entreprise
    Stratégie sans mot de passe - Exiger Windows Hello Entreprise ou une carte à puce
    Exiger que l’appareil soit marqué comme conforme
    Accès conditionnel : Exiger MFA pour tous les utilisateurs

    Hybride uniquement
    Stratégie sans mot de passe - Configurer des comptes d’utilisateur pour interdire l’authentification par mot de passe

    Carte à puce uniquement
    Créer une règle pour envoyer une revendication de méthode d’authentification
    Configurer des stratégies d’authentification

    Clé de sécurité FIDO2
    Stratégie sans mot de passe - Exclusion du fournisseur d’informations d’identification de mot de passe
    Exiger que l’appareil soit marqué comme conforme
    Accès conditionnel : Exiger MFA pour tous les utilisateurs

    Méthodes d’authentification
    Connexion sans mot de passe Microsoft Entra (préversion) | Clés de sécurité FIDO2
    Connexion avec clé de sécurité sans mot de passe Windows - Microsoft Entra ID
    AD FS : Authentification par certificat avec Microsoft Entra ID et Office 365
    Fonctionnement de la connexion par carte à puce dans Windows (Windows 10)
    Vue d’ensemble de Windows Hello Entreprise (Windows 10)

    Ressources supplémentaires :
    CSP de stratégie - Administration du client Windows
    Planifier un déploiement d’authentification sans mot de passe avec Microsoft Entra ID

    IA-2(5)
    Lorsqu’un authentificateur de groupe est utilisé, l’organisation demande aux personnes de s’authentifier au moyen d’un authentificateur individuel.
    Lorsque plusieurs utilisateurs ont accès à un mot de passe de compte partagé ou de groupe, exigez que chaque utilisateur s’authentifie d’abord à l’aide d’un authentificateur individuel.

    Utiliser un compte individuel par utilisateur. Si un compte partagé est requis, Microsoft Entra ID autorise la liaison de plusieurs authentificateurs à un compte de sorte que chaque utilisateur dispose d’un authentificateur individuel.

    Ressources

  • Comment fonctionne l’authentification multifacteur Microsoft Entra
  • Gérer les méthodes d’authentification pour l’authentification multifacteur Microsoft Entra
  • IA-2(8)
    Le système d’information implémente des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés.
    Implémentez des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés.

    Configurer des stratégies d’accès conditionnel pour exiger de tous les utilisateurs une authentification multi-facteur. Toutes les méthodes d’authentification Microsoft Entra aux niveaux AAL 2 et 3 utilisent des nonces ou des défis offrant une protection contre les attaques par relecture.

    Références

  • Accès conditionnel : exiger de tous les utilisateurs l’authentification multi-facteur
  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft
  • IA-2(11)
    Le système d’information implémente l’authentification multi-facteur pour l’accès distant vers les comptes avec ou sans privilèges. En outre, l’un des facteurs est fourni par un appareil séparé du système permettant l’accès. Cet appareil satisfait l’[Affectation FedRAMP : FIPS 140-2, certification NIAP ou approbation NSA*].

    *NIAP (National Information Assurance Partnership)
    Exigences et conseils supplémentaires pour FedRAMP :
    Conseils : PIV = appareil distinct. Reportez-vous à NIST SP 800-157 : lignes directrices relatives aux informations d'identification lors de la vérification de l'identité personnelle (PIV). FIPS 140-2 signifie validé par le programme CMVP (Cryptographic Module Validation Program).
    Implémentez l’authentification multifacteur Microsoft Entra pour accéder à distance aux ressources déployées par le client afin que l’un des facteurs soit fourni par un appareil distinct du système obtenant un accès lorsque l’appareil répond à la norme FIPS-140-2, à la certification NIAP ou à l’approbation NSA.

    Consultez les conseils relatifs à IA-02 (1-4). Les méthodes d’authentification Microsoft Entra à prendre en compte au niveau AAL3 en termes de respect des exigences des appareils sont les suivantes :

    Clés de sécurité FIDO2

  • Windows Hello Entreprise avec module TPM matériel (le module TPM est reconnu en tant que facteur valide par NIST 800-63B Section 5.1.7.1)
  • Carte à puce

    Références

  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft
  • NIST 800-63B Section 5.1.7.1
  • **IA-2(12)*
    Le système d’information accepte et vérifie par voie électronique les informations d’identification de la vérification d’identité personnelle (PIV).

    IA-2 (12) Exigences et conseils supplémentaires pour FedRAMP :
    Instructions : incluez la carte d’accès commun (CAC), c’est-à-dire l’implémentation technique du DoD de PIV/FIPS 201/HSPD-12.
    Acceptez et vérifiez les informations d’identification pour la vérification d’identité personnelle (PIV). Ce contrôle n’est pas applicable si le client ne déploie pas les informations d’identification PIV.

    Configurez l’authentification fédérée à l’aide des services de fédération Active Directory (AD FS) pour accepter le modèle PIV (authentification par certificat) en tant que méthodes d’authentification principale et multifacteur, puis émettez la revendication d’authentification multifacteur (MultipleAuthN) lorsque la valeur PIV est utilisée. Configurez le domaine fédéré dans Microsoft Entra ID avec le paramètre federatedIdpMfaBehavior sur enforceMfaByFederatedIdp (recommandé) ou SupportsMfa sur $True pour diriger les requêtes d’authentification multifacteur provenant de Microsoft Entra ID vers des services de fédération Active Directory (AD FS). Vous pouvez également utiliser le modèle PIV pour la connexion sur des appareils Windows et utiliser ultérieurement l’authentification Windows intégrée avec l’authentification unique transparente. Le client et le serveur Windows vérifient les certificats par défaut lorsqu’ils sont utilisés à des fins d’authentification.

    Ressources

  • Qu’est-ce que la fédération avec Microsoft Entra ID ?
  • Configurer AD FS pour l’authentification par certificat utilisateur
  • Configurer des stratégies d’authentification
  • Sécuriser les ressources avec l’authentification multifacteur Microsoft Entra et AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect : Authentification unique transparente
  • IA-3 Identification et authentification des appareils
    Le système d’information identifie et authentifie de manière unique [Affectation : types d’appareils et/ou appareils spécifiques définis par l’organisation] avant d’établir une connexion [Sélection (une ou plusieurs réponses) : locale ; distante ; réseau].
    Implémenter l’identification et l’authentification des appareils avant d’établir une connexion.

    Configurez Microsoft Entra ID de façon à identifier et à authentifier les appareils inscrits auprès de Microsoft Entra, joints à Microsoft Entra, et à jonction hybride Microsoft Entra.

    Ressources

  • Qu’est-ce qu’une identité d’appareil ?
  • Planifier un déploiement d’appareils Microsoft Entra
  • Exiger des appareils managés pour accéder aux applications cloud avec l’accès conditionnel
  • IA-04 Gestion des identificateurs
    L’organisation gère les identificateurs de système d’information pour les utilisateurs et les appareils par les actions suivantes :
    (a.) Réception de l’autorisation de l’[Affectation FedRAMP au minimum, l’ISSO (ou un rôle similaire au sein de l’organisation)] pour attribuer un identificateur d’individu, de groupe, de rôle ou d’appareil ;
    (b.) Sélection d’un identificateur d’un individu, d’un groupe, d’un rôle ou d’un appareil ;
    (c.) Attribution de l’identificateur à l’individu, au groupe, au rôle ou à l’appareil prévus ;
    (d.) Empêchement de la réutilisation des identificateurs pour [Affectation FedRAMP : au moins deux (2) ans] ; et
    (e.) Désactivation de l’identificateur après [Affectation FedRAMP : trente-cinq (35) jours (voir exigences et conseils supplémentaires)]
    IA-4e Exigences et conseils supplémentaires pour FedRAMP :
    Exigence : le fournisseur de services définit la période d’inactivité des identificateurs d’appareil.
    Instructions : concernant les clouds DoD, consultez le site web cloud du DoD pour connaître les exigences spécifiques du DoD qui vont au-delà de FedRAMP.

    IA-4(4)
    L’organisation gère les identificateurs individuels en identifiant chaque individu de manière unique en tant qu’[Affectation FedRAMP : entrepreneurs ; ressortissants étrangers].
    Désactiver les identificateurs de compte après 35 jours d’inactivité et empêcher leur réutilisation pendant 2 ans. Gérer les identificateurs individuels en identifiant de manière unique chaque individu (par exemple, sous-traitants et ressortissants étrangers).

    Attribuez et gérez les identificateurs de compte individuels et les états dans Microsoft Entra ID conformément aux stratégies organisationnelles existantes définies dans AC-02. Suivre AC-02 (3) pour désactiver automatiquement les comptes d’utilisateur et d’appareil après 35 jours d’inactivité. Veillez à ce que la stratégie organisationnelle gère tous les comptes à l’état désactivé pendant au moins 2 ans. À l’issue de cette période, vous pouvez les supprimer.

    Déterminer l’inactivité

  • Gérer les comptes d’utilisateur inactifs dans Microsoft Entra ID
  • Gérer les appareils obsolètes dans Microsoft Entra ID
  • Consultez les conseils relatifs à AC-02
  • IA-5 Gestion des authentificateurs
    L’organisation gère les authentificateurs du système d’information par les actions suivantes :
    (a.) Vérification, dans le cadre de leur distribution initiale, de l’identité de la personne, du groupe, du rôle ou de l’appareil recevant l’authentificateur ;
    (b.) Établissement du contenu initial de l’authentificateur pour les authentificateurs définis par l’organisation ;
    (c.) Vérification que les authentificateurs disposent d’une force de mécanisme suffisante pour leur utilisation prévue ;
    (d.) Établissement et implémentation des procédures administratives pour leur distribution initiale, les authentificateurs perdus, compromis ou endommagés et la révocation des authentificateurs ;
    (e.) Modification du contenu par défaut des authentificateurs avant l’installation du système d’information ;
    (f.) Établissement de restrictions de durée de vie minimale et maximale et conditions de réutilisation pour les authentificateurs ;
    (g.) Modification/actualisation des authentificateurs [Affectation : période définie par l’organisation par type d’authentificateur].
    (h.) Protection du contenu de l’authentificateur contre toute divulgation et modification non autorisée ;
    (i.) Exigence des individus qu'ils prennent, et que les appareils mettent en œuvre, des mesures de sécurité spécifiques pour protéger les authentificateurs ; et
    (j.) Modification des authentificateurs pour les comptes de groupe/rôle lors de changements de l’appartenance à ces comptes.

    IA-5 Exigences et conseils supplémentaires pour FedRAMP :
    Exigence : les authentificateurs doivent être conformes au NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. Lien https://pages.nist.gov/800-63-3
    Configurer et gérer les authentificateurs du système d’information.

    Microsoft Entra ID prend en charge différentes méthodes d’authentification. Vous pouvez utiliser vos stratégies organisationnelles existantes pour la gestion. Consultez les conseils relatifs à la sélection de l’authentificateur dans IA-02 (1-4). Autorisez les utilisateurs dans le cadre d’une inscription combinée pour SSPR et l’authentification multifacteur Microsoft Entra ID, et demandez aux utilisateurs d’inscrire un minimum de deux méthodes d’authentification multifacteur acceptables pour faciliter la correction automatique. Vous pouvez révoquer les authentificateurs configurés par l’utilisateur à tout moment avec l’API des méthodes d’authentification.

    Force de l’authentificateur/Protéger le contenu de l’authentificateur

  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft

    Méthodes d’authentification et inscription combinée

  • Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
  • Inscription combinée pour la SSPR et l’authentification multifacteur Microsoft Entra

    Révoquer l’authentificateur

  • Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra
  • IA-5(1)
    Le système d’information, pour l’authentification par mot de passe :
    (a.) Applique au mot de passe une complexité minimale de [Affectation : exigences définies par l’organisation en termes de casse, de nombre de caractères, de combinaison de majuscules, minuscules, chiffres et caractères spéciaux, y compris la configuration minimale requise pour chaque type] ;
    (b.) Applique au moins le nombre de caractères modifiés suivant lors de la création de mots de passe : [Affectation FedRAMP : au moins cinquante pour cent (50 %)] ;
    (c.) Stocke et transmet uniquement les mots de passe protégés par chiffrement ;
    (d.) Applique les restrictions de durée de vie minimale et maximale du mot de passe de [Affectation : nombres définis par l’organisation pour la durée de vie minimale, durée de vie maximale] ;
    (e.)** Interdit la réutilisation du mot de passe pour [Affectation FedRAMP : vingt-quatre (24)] générations ; et
    (f.) Autorise l’utilisation d’un mot de passe temporaire pour les connexions système avec un changement immédiat en mots de passe permanents.

    IA-5 (1) a et d Exigences et conseils supplémentaires de FedRAMP :
    Orientation : si les stratégies de mot de passe sont conformes aux instructions du secret mémorisé NIST SP 800-63B (section 5.1.1), le contrôle peut être considéré comme conforme.
    Implémenter les exigences d’authentification par mot de passe.

    Conformément à NIST SP 800-63B Section 5.1.1 : Tenir à jour la liste des mots de passe couramment utilisés, attendus ou compromis.

    Avec la protection par mot de passe de Microsoft Entra, des listes globales de mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs dans un locataire Microsoft Entra. Pour répondre aux besoins de votre entreprise et de votre sécurité, vous pouvez définir des entrées dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts.

    Nous encourageons vivement l’utilisation des stratégies de mot de passe. Ce contrôle s’applique uniquement aux authentificateurs de mot de passe. Par conséquent, la suppression de mots de passe en tant qu’authentificateur disponible rend ce contrôle non applicable.

    Documents de référence NIST

  • NIST Special Publication 800-63B
  • NIST Special Publication 800-53 Revision 5 - IA-5 - Control Enhancement (1)

    Ressource

  • Éliminer les mots de passe incorrects à l’aide de la protection par mot de passe Microsoft Entra
  • IA-5(2)
    Système d’information, pour l’authentification basée sur PKI :
    (a.) Valide les certifications en construisant et en vérifiant un chemin d’accès de certification menant à une ancre d’approbation acceptée, y compris en vérifiant les informations sur l’état du certificat ;
    (b.) Applique l’accès autorisé à la clé privée correspondante ;
    (c.) Mappe l’identité authentifiée au compte de l’individu ou du groupe ; et
    (d.) Implémente un cache local des données de révocation pour prendre en charge la détection et la validation du chemin d’accès en cas d’incapacité à accéder aux informations de révocation via le réseau.
    Implémenter les exigences d’authentification basée sur une infrastructure à clé publique.

    Fédérez Microsoft Entra ID via AD FS pour implémenter l’authentification basée sur une infrastructure à clé publique. Par défaut, ADFS valide les certificats, met en cache localement les données de révocation et mappe les utilisateurs à l’identité authentifiée dans Active Directory.

    Ressources

  • Qu’est-ce que la fédération avec Microsoft Entra ID ?
  • Configurer AD FS pour l’authentification par certificat utilisateur
  • IA-5(4)
    L’organisation utilise des outils automatisés pour déterminer si les authentificateurs de mot de passe sont suffisamment forts pour satisfaire l’[Affectation FedRAMP : complexité telle qu’identifiée dans IA-5 (1) Amélioration des contrôles (H) Partie A].

    IA-5(4) Exigences et conseils supplémentaires de FedRAMP :
    Instructions : si les mécanismes automatisés appliquant la performance de l’authentificateur par mot de passe ne sont pas utilisés lors de la création, les mécanismes automatisés doivent être employés pour auditer la performance des authentificateurs par mot de passe créés.
    Utiliser des outils automatisés pour valider les exigences de niveau de sécurité des mots de passe.

    Microsoft Entra ID implémente des mécanismes automatisés qui appliquent la force de l’authentificateur de mot de passe lors de la création. Ce mécanisme automatisé peut également être étendu pour garantir l’efficacité de l’authentificateur de mot de passe pour une instance Active Directory locale. La révision 5 relative à NIST 800-53 a supprimé IA-04(4) et incorporé l’exigence dans IA-5(1).

    Ressources

  • Éliminer les mots de passe incorrects à l’aide de la protection par mot de passe Microsoft Entra
  • Protection par mot de passe Microsoft Entra pour Active Directory Domain Services
  • NIST Special Publication 800-53 Revision 5 - IA-5 - Control Enhancement (4)
  • IA-5(6)
    L’organisation protège les authentificateurs d’après la catégorie de sécurité des informations à laquelle l’utilisation de l’authentificateur permet d’accéder.
    Protégez les authentificateurs tel que défini dans le niveau d’impact élevé FedRAMP.

    Pour plus d’informations sur la façon dont Microsoft Entra ID protège les authentificateurs, consultez Considérations relatives à la sécurité des données Microsoft Entra.

    IA-05(7)
    L’organisation garantit qu’aucun authentificateur statique non chiffré n’est incorporé dans les applications ou les scripts d’accès, ni stocké sur les touches de fonction.
    Veiller à ce qu’aucun authentificateur statique non chiffré (mot de passe, par exemple) ne soit incorporé dans les applications ou les scripts d’accès, ni stocké sur les touches de fonction.

    Implémentez des identités managées ou des objets de principal de service (configurés avec un certificat uniquement).

    Ressources

  • Que sont les identités managées pour les ressources Azure ?
  • Créer une application et un principal de service Microsoft Entra dans le portail
  • IA-5(8)
    L’organisation implémente l’[Affectation FedRAMP : différents authentificateurs sur différents systèmes] pour gérer le risque de compromission du fait que des personnes ont des comptes sur plusieurs systèmes d’information.
    Implémenter des protections de sécurité lorsque des utilisateurs disposent de comptes sur plusieurs systèmes informatiques.

    Implémentez l’authentification unique en connectant toutes les applications à Microsoft Entra ID, par opposition au fait de disposer de comptes individuels sur plusieurs systèmes informatiques.

    Qu’est-ce que l’authentification unique Azure ?

    IA-5(11)
    Dans le cadre de l’authentification basée sur les jetons matériels, le système d’information utilise des mécanismes qui répondent aux conditions définies [Affectation : exigences de qualité des jetons définies par l’organisation].
    Répondre aux exigences de qualité de jeton matériel conformément au niveau d’impact élevé FedRAMP.

    Exiger l’utilisation de jetons matériels conformes au niveau AAL3.

    Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft

    IA-5(13)
    Le système d’information interdit l’utilisation des authentificateurs mis en cache après [Affectation : période de temps définie par l’organisation].
    Appliquer l’expiration des authentificateurs mis en cache.

    Les authentificateurs mis en cache sont utilisés pour s’authentifier sur l’ordinateur local lorsque le réseau n’est pas disponible. Pour limiter l’utilisation des authentificateurs mis en cache, configurer les appareils Windows pour désactiver leur utilisation. Lorsque cela n’est pas possible ou pratique, utiliser les contrôles de compensation suivants :

    Configurez des contrôles de session d’accès conditionnel à l’aide de restrictions appliquées par l’application pour les applications Office.
    Configurez l’accès conditionnel à l’aide de contrôles d’application pour les autres applications.

    Ressources

  • Ouverture de session interactive - Nombre d’ouvertures de session précédentes à mettre en cache
  • Contrôles de session dans une stratégie d’accès conditionnel : restrictions appliquées par l’application
  • Contrôles de session dans une stratégie d’accès conditionnel : contrôle d’application par accès conditionnel
  • IA-6 Commentaires au sujet des authentificateurs
    Le système d’information masque les commentaires apportés aux informations d’authentification pendant le processus d’authentification. L’objectif est de protéger les informations contre toute exploitation ou utilisation possible par des personnes non autorisées.
    Masquer les informations de commentaires d’authentification lors du processus d’authentification.

    Par défaut, Microsoft Entra ID masque tous les commentaires de l’authentificateur.

    IA-7 Authentification du module de chiffrement
    Le système d’information implémente des mécanismes d’authentification dans un module de chiffrement. Ces derniers répondent aux exigences des lois fédérales en vigueur, ainsi que des décrets, directives, stratégies, réglementations, normes et conseils applicables à une telle authentification.
    Implémenter des mécanismes d’authentification auprès d’un module de chiffrement répondant aux lois fédérales en vigueur.

    Le niveau d’impact élevé FedRAMP nécessite l’authentificateur AAL3. Tous les authentificateurs pris en charge par Microsoft Entra ID au niveau AAL3 fournissent des mécanismes permettant d’authentifier l’accès de l’opérateur auprès du module, si besoin. Par exemple, dans un déploiement Windows Hello Entreprise avec module TPM matériel, configurer le niveau d’autorisation du propriétaire du module TPM.

    Ressources

  • Pour plus d'informations, consultez la section IA-02 (2 et 4).
  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft
  • Paramètres de stratégie de groupe de module de plateforme sécurisée (TPM)
  • IA-8 Identification et authentification (utilisateurs extérieurs à l’organisation)
    Le système d’information identifie et authentifie de manière unique les utilisateurs extérieurs à l’organisation (ou les processus intervenant pour le compte des utilisateurs extérieurs à l’organisation).
    Le système d’information identifie et authentifie de manière unique les utilisateurs extérieurs à l’organisation (ou les processus intervenant pour des utilisateurs extérieurs à l’organisation).

    Microsoft Entra ID identifie et authentifie de manière unique les utilisateurs non organisationnels hébergés dans le locataire de l’organisation ou dans des annuaires externes à l’aide des protocoles approuvés par le programme FICAM (Federal Identity, Credential, and Access Management).

    Ressources

  • Qu’est-ce que la collaboration B2B dans Microsoft Entra ID ?
  • Fédération directe avec un fournisseur d’identité pour B2B
  • Propriétés d’un utilisateur invité B2B
  • IA-8(1)
    Le système d’information accepte et vérifie par voie électronique les informations d’identification de la vérification d’identité personnelle (PIV) émanant d’autres agences fédérales.

    IA-8(4)
    Le système d’information est conforme aux profils émis par FICAM.
    Accepter et vérifier les informations d’identification PIV émises par d’autres agences fédérales. Se conformer aux profils émis par le programme FICAM.

    Configurez Microsoft Entra ID pour accepter les informations d’identification PIV via la fédération (OIDC, SAML) ou localement via l’authentification Windows intégrée.

    Ressources

  • Qu’est-ce que la fédération avec Microsoft Entra ID ?
  • Configurer AD FS pour l’authentification par certificat utilisateur
  • Qu’est-ce que la collaboration B2B dans Microsoft Entra ID ?
  • Fédération directe avec un fournisseur d’identité pour B2B
  • IA-8(2)
    Le système d’information accepte uniquement les informations d’identification tierces approuvées par la FICAM.
    Accepter uniquement les informations d’identification approuvées par le programme FICAM.

    Microsoft Entra ID prend en charge les authentificateurs aux niveaux NIST AAL 1, 2 et 3. Limiter l’utilisation des authentificateurs en fonction de la catégorie de sécurité du système en cours d’accès.

    Microsoft Entra ID prend en charge un large éventail de méthodes d’authentification.

    Ressources

  • Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
  • Vue d’ensemble de l’API de stratégie de méthodes d’authentification Microsoft Entra
  • Atteindre les niveaux d’assurance de l’authentificateur NIST avec la plateforme d’identités Microsoft                                     
  • Étapes suivantes