A Microsoft Entra ID konfigurálása a CMMC 2. szintjének megfelelőre
A Microsoft Entra ID segít megfelelni az identitással kapcsolatos gyakorlatra vonatkozó követelményeknek minden kiberbiztonsági érettségi modell minősítési (CMMC) szintjén. Ahhoz, hogy megfeleljen a CMMC V2.0 2. szintű követelményeinek, azoknak a vállalatoknak a feladata, amelyek más konfigurációk vagy folyamatok elvégzéséhez az EGYESÜLT Államok Védelmi Osztályával (DoD) dolgoznak együtt és annak nevében.
A CMMC 2. szintjén 13 tartomány rendelkezik egy vagy több identitással kapcsolatos gyakorlattal:
- Hozzáférés-vezérlés (AC)
- Naplózás & elszámoltathatóság (AU)
- Konfigurációkezelés (CM)
- Azonosítás & hitelesítés (IA)
- Incidenskezelés (IR)
- Karbantartás (MA)
- Media Protection (MP)
- Személyzeti biztonság (PS)
- Fizikai védelem (PE)
- Kockázatértékelés (RA)
- Security Assessment (CA)
- System and Communications Protection (SC)
- Rendszer- és információintegritás (SI)
A cikk további része útmutatást nyújt az összes tartományhoz, kivéve a hozzáférés-vezérlést (AC) és az azonosítást és hitelesítést (IA), amelyekről más cikkekben olvashat. Minden tartományhoz tartozik egy tartalomra mutató hivatkozásokat tartalmazó táblázat, amely részletes útmutatást nyújt a gyakorlat elvégzéséhez.
Naplózás & elszámoltathatóság
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| AU. L2-3.3.1 Gyakorlatutasítás: Rendszernaplók és -rekordok létrehozása és megőrzése a jogellenes vagy jogosulatlan rendszertevékenységek monitorozásának, elemzésének, vizsgálatának és jelentésének lehetővé tétele érdekében. Célkitűzések: Állapítsa meg, hogy: [a.] naplózási naplókat (például naplózandó eseménytípusokat) a jogellenes vagy jogosulatlan rendszertevékenységek monitorozásának, elemzésének, vizsgálatának és jelentésének engedélyezéséhez; [b.] a jogellenes vagy jogosulatlan rendszertevékenységek monitorozásához, elemzéséhez, vizsgálatához és jelentéséhez szükséges ellenőrzési nyilvántartások tartalma meghatározásra kerül; [c.] naplózási rekordok jönnek létre (jönnek létre); [d.] a létrehozott naplórekordok tartalmazzák a megadott tartalmat; [e.] meg vannak határozva a naplózási rekordok megőrzési követelményei; és [f.] a naplózási rekordok a megadott módon vannak megőrzve. AU. L2-3.3.2 Gyakorlatutasítás: Győződjön meg arról, hogy az egyes rendszerfelhasználók műveletei egyedileg nyomon követhetők ezekre a felhasználókra, hogy felelősségre vonhatók legyenek a tevékenységeikért. Célkitűzések: Állapítsa meg, hogy: [a.] meg van határozva a felhasználók tevékenységhez való egyedi nyomon követésének támogatásához szükséges auditrekordok tartalma; és [b.] a létrehozott naplórekordok tartalmazzák a megadott tartalmat. |
Minden művelet naplózása a Microsoft Entra naplózási naplóiban van. Minden naplózási naplóbejegyzés tartalmaz egy felhasználó nem módosítható objektumazonosítóját, amely az egyes rendszerfelhasználók egyedi nyomon követésére használható az egyes műveletekhez. Naplókat gyűjthet és elemezhet egy biztonsági információ- és eseménykezelési (SIEM) megoldással, például a Microsoft Sentinellel. Másik lehetőségként az Azure Event Hubs használatával is integrálhatja a naplókat külső SIEM-megoldásokkal a figyelés és az értesítés engedélyezéséhez. Tevékenységjelentések naplózása az Azure Portalon Microsoft Entra-adatok csatlakoztatása a Microsoft Sentinelhez Oktatóanyag: Naplók streamelése egy Azure-eseményközpontba |
| AU. L2-3.3.4 Gyakorlatutasítás: Riasztás, ha egy naplózási folyamat meghiúsul. Célkitűzések: Állapítsa meg, hogy: [a.] a naplózási folyamat meghiúsulása esetén riasztást kapó személyzetet vagy szerepköröket; [b.] az auditnaplózási folyamat azon hibáinak típusai, amelyek esetében a riasztások létrejönnek; és [c] az azonosított személyzet vagy szerepkörök naplózási folyamat meghiúsulása esetén riasztást kapnak. |
Az Azure Service Health értesíti Önt az Azure-szolgáltatás incidenseiről, hogy lépéseket tegyen az állásidő csökkentése érdekében. Testre szabható felhőriasztások konfigurálása a Microsoft Entra-azonosítóhoz. Mi az Azure Service Health? Az Azure-szolgáltatással kapcsolatos problémákról való értesítés három módja Azure Service Health |
| AU. L2-3.3.6 Gyakorlatutasítás: Naplózási rekordcsökkentés és jelentéskészítés biztosítása igény szerinti elemzés és jelentéskészítés támogatásához. Célkitűzések: Állapítsa meg, hogy: [a.] rendelkezésre áll az igény szerinti elemzést támogató naplózási rekordcsökkentési képesség; és [b.] rendelkezésre áll az igény szerinti jelentéskészítést támogató jelentéskészítési képesség. |
Győződjön meg arról, hogy a Microsoft Entra-események szerepelnek az eseménynaplózási stratégiában. Naplókat gyűjthet és elemezhet egy biztonsági információ- és eseménykezelési (SIEM) megoldással, például a Microsoft Sentinellel. Másik lehetőségként az Azure Event Hubs használatával is integrálhatja a naplókat külső SIEM-megoldásokkal a figyelés és az értesítés engedélyezéséhez. A Fiókok megfelelőségi állapotának biztosításához használja a Microsoft Entra jogosultságkezelését hozzáférési felülvizsgálatokkal. Tevékenységjelentések naplózása az Azure Portalon Microsoft Entra-adatok csatlakoztatása a Microsoft Sentinelhez Oktatóanyag: Naplók streamelése egy Azure-eseményközpontba |
| AU. L2-3.3.8 Gyakorlatutasítás: A naplózási információk és a naplózási eszközök védelme a jogosulatlan hozzáférés, módosítás és törlés ellen. Célkitűzések: Állapítsa meg, hogy: [a.] a naplózási információk védettek a jogosulatlan hozzáférés ellen; [b.] a naplózási információk védettek a jogosulatlan módosításokkal szembeni; [c.] a naplózási adatok védettek a jogosulatlan törlés ellen; [d.] a naplózási eszközök védettek a jogosulatlan hozzáférés ellen; [e.] a naplózási eszközök védettek a jogosulatlan módosításokkal; és [f.] naplózási naplózási eszközök védettek a jogosulatlan törlés ellen. AU. L2-3.3.9 Gyakorlatutasítás: Az auditnaplózási funkciók kezelésének korlátozása a kiemelt felhasználók egy részhalmazára. Célkitűzések: Állapítsa meg, hogy: [a.] a naplózási funkciók kezeléséhez hozzáféréssel rendelkező kiemelt felhasználók egy részhalmaza van meghatározva; és [b.] az auditnaplózási funkciók kezelése a kiemelt felhasználók meghatározott részhalmazára korlátozódik. |
A Microsoft Entra-naplók alapértelmezés szerint 30 napig maradnak meg. Ezek a naplók nem módosíthatók vagy törölhetők, és csak korlátozott jogosultsági szintű szerepkörökhöz érhetők el. Bejelentkezési naplók a Microsoft Entra-azonosítóban Naplók a Microsoft Entra-azonosítóban |
Konfigurációkezelés (CM)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| CM.L2-3.4.2 Gyakorlatutasítás: Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszerben alkalmazott informatikai termékek biztonsági konfigurációs beállításait az alapkonfigurációban állapítják meg és tartalmazzák; és [b.] a rendszerben alkalmazott informatikai termékek biztonsági konfigurációs beállításai érvénybe lépnek. |
Fogadjon el egy nulla megbízhatóságú biztonsági helyzetet. Feltételes hozzáférési szabályzatok használatával korlátozhatja a megfelelő eszközökhöz való hozzáférést. Konfigurálja az eszközön a házirend-beállításokat az eszköz biztonsági konfigurációs beállításainak kikényszerítéséhez MDM-megoldásokkal, például a Microsoft Intune-nal. A Microsoft Configuration Manager vagy a csoportházirend-objektumok hibrid üzemelő példányokban is tekinthetők, és feltételes hozzáféréssel kombinálva a Microsoft Entra hibrid csatlakoztatott eszközt igényel. Nulla megbízhatóság Identitás biztonságossá tétele Teljes felügyelet Feltételes hozzáférés Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban? Vezérlőelemek megadása a feltételes hozzáférési szabályzatban Eszközházirendek Mi az a Microsoft Intune? Mi az Felhőhöz készült Defender Apps? Mi az alkalmazáskezelés a Microsoft Intune-ban? Microsoft-végpontkezelési megoldások |
| CM.L2-3.4.5 Gyakorlatutasítás: A szervezeti rendszerek változásaihoz kapcsolódó fizikai és logikai hozzáférési korlátozások meghatározása, dokumentálása, jóváhagyása és kényszerítése. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszer változásaihoz kapcsolódó fizikai hozzáférési korlátozások definiálva vannak; [b.] a rendszer változásaihoz kapcsolódó fizikai hozzáférési korlátozások dokumentálva vannak; [c.] a rendszer változásaihoz kapcsolódó fizikai hozzáférési korlátozásokat jóváhagyják; [d.] a rendszer változásaihoz kapcsolódó fizikai hozzáférési korlátozások érvénybe lépnek; [e.] a rendszer változásaihoz kapcsolódó logikai hozzáférési korlátozások definiálva vannak; [f.] a rendszer változásaihoz kapcsolódó logikai hozzáférési korlátozások dokumentálva vannak; [g.] a rendszer módosításaihoz kapcsolódó logikai hozzáférési korlátozásokat jóváhagyják; és [h.] A rendszer módosításaihoz kapcsolódó logikai hozzáférési korlátozások érvénybe lépnek. |
A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás. Az ügyfelek nem férnek hozzá fizikai hozzáféréssel a Microsoft Entra adatközpontjaihoz. Ezért a Microsoft minden fizikai hozzáférési korlátozást kielégít, és a Microsoft Entra ID ügyfelei öröklik. A Microsoft Entra szerepköralapú hozzáférés-vezérlőinek implementálása. Kiküszöbölheti az állandó emelt szintű hozzáférést, és időben hozzáférést biztosíthat a jóváhagyási munkafolyamatokhoz a Privileged Identity Management használatával. A Microsoft Entra szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintése Mi az a Privileged Identity Management? Microsoft Entra-szerepkörökre vonatkozó kérések jóváhagyása vagy elutasítása a PIM-ben |
| CM.L2-3.4.6 Gyakorlatutasítás: A minimális funkcionalitás elvét alkalmazza a szervezeti rendszerek konfigurálásával, hogy csak alapvető képességeket biztosítson. Célkitűzések: Állapítsa meg, hogy: [a.] alapvető rendszerképességeket a legkevésbé működőképesség elve alapján határoznak meg; és [b.] a rendszer úgy van konfigurálva, hogy csak a meghatározott alapvető képességeket biztosítsa. |
Az eszközfelügyeleti megoldások (például a Microsoft Intune) konfigurálása a szervezeti rendszerekre alkalmazott egyéni biztonsági alapkonfiguráció implementálásához a nem alapvető alkalmazások eltávolításához és a szükségtelen szolgáltatások letiltásához. Csak a rendszerek hatékony működéséhez szükséges legkevesebb képességet hagyja meg. Konfigurálja a feltételes hozzáférést a megfelelő vagy a Microsoft Entra hibrid csatlakoztatott eszközökhöz való hozzáférés korlátozásához. Mi az a Microsoft Intune? Eszköz megfelelőként való megjelölésének megkövetelése Vezérlők megadása feltételes hozzáférési szabályzatban – A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése |
| CM.L2-3.4.7 Gyakorlatutasítás: A nem alapvető programok, függvények, portok, protokollok és szolgáltatások használatának korlátozása, letiltása vagy megakadályozása. Célkitűzések: Állapítsa meg, hogy: [a.]alapvető programok definiálva vannak; [b.] a nem alapvető programok használata meghatározásra kerül; [c.] a nem alapvető programok használata a meghatározottak szerint korlátozott, letiltott vagy letiltott; [d.] alapvető függvények definiálva vannak; [e.] a nem alapvető függvények használata definiálva van; [f.] a nem alapvető függvények használata a meghatározottak szerint korlátozott, letiltott vagy megakadályozható; [g.] alapvető portok definiálva vannak; [h.] a nem alapvető portok használata meghatározásra kerül; [i.] a nem fontos portok használata a meghatározottak szerint korlátozott, letiltott vagy letiltott; [j.] alapvető protokollok definiálva vannak; [k.] a nem alapvető protokollok használata meghatározásra kerül; [l.] a nem alapvető protokollok használata a meghatározottak szerint korlátozott, letiltott vagy megakadályozható; [m.] alapvető szolgáltatásokat definiálnak; [n.] meghatározták a nem alapvető szolgáltatások használatát; és [o.] a nem alapvető szolgáltatások használata a meghatározottak szerint korlátozott, letiltott vagy letiltott. |
Az alkalmazásadminisztrátori szerepkörrel delegálhatja az alapvető alkalmazások engedélyezett használatát. Alkalmazásszerepkörök vagy csoportjogcímek használatával kezelheti az alkalmazáson belüli minimális jogosultsági hozzáférést. Konfigurálja a felhasználói hozzájárulást úgy, hogy rendszergazdai jóváhagyást igényeljen, és ne engedélyezze a csoporttulajdonosi hozzájárulást. Konfigurálja a rendszergazdai hozzájárulás kérési munkafolyamatait, hogy a felhasználók hozzáférést kérjenek a rendszergazdai hozzájárulást igénylő alkalmazásokhoz. A Felhőhöz készült Microsoft Defender-alkalmazások használatával azonosíthatja a nem megfelelő/ismeretlen alkalmazáshasználatot. Ezzel a telemetriával meghatározhatja az alapvető/nem alapvető alkalmazásokat. Microsoft Entra beépített szerepkörök – Alkalmazásadminisztrátor Microsoft Entra-alkalmazásszerepkörök – Alkalmazásszerepkörök és csoportok A felhasználók alkalmazásokra vonatkozó hozzájárulásának konfigurálása Csoporttulajdonosi hozzájárulás konfigurálása csoportadatokhoz hozzáférő alkalmazásokhoz A rendszergazdai hozzájárulás munkafolyamatának konfigurálása Mi az Felhőhöz készült Defender Apps? Árnyék informatikai oktatóanyag felfedezése és kezelése |
| CM.L2-3.4.8 Gyakorlatutasítás: Tiltólistás (tiltólistás) szabályzat alkalmazása az engedély nélküli szoftverek vagy az engedélyezési (engedélyezési) szabályzatok használatának megakadályozása érdekében a jogosult szoftverek végrehajtásának engedélyezéséhez. Célkitűzések: Állapítsa meg, hogy: [a.] meg van adva egy szabályzat, amely meghatározza, hogy az engedélyezési listát vagy a tiltólistát implementálják-e; [b.] meg van adva az engedélyezési lista alatt futtatható vagy a tiltólista alatt való használat megtagadására engedélyezett szoftver; és [c.] engedélyezőlista, amely engedélyezi az engedélyezett szoftverek vagy tiltólisták végrehajtását, hogy megakadályozza a jogosulatlan szoftverek használatát a megadott módon. CM.L2-3.4.9 Gyakorlatutasítás: Felhasználó által telepített szoftverek vezérlése és monitorozása. Célkitűzések: Állapítsa meg, hogy: [a.] létrejön egy szabályzat a szoftverek felhasználók általi telepítésének szabályozására; [b.] a szoftverek felhasználók általi telepítését a létrehozott szabályzat szabályozza; és [c.] a szoftver telepítését a felhasználók figyelik. |
Konfigurálja az MDM-/konfigurációkezelési szabályzatot a jogosulatlan szoftverek használatának megakadályozása érdekében. Konfigurálja a feltételes hozzáférés engedélyezési vezérlőinek konfigurálását, hogy megfelelő vagy hibrid csatlakoztatott eszközre legyen szükség ahhoz, hogy az eszközmegfelelőség beépítse az MDM-/konfigurációkezelési szabályzatot a feltételes hozzáférés engedélyezési döntésébe. Mi az a Microsoft Intune? Feltételes hozzáférés – Megfelelő vagy hibrid csatlakoztatott eszközök megkövetelése |
Incidenskezelés (IR)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| IR. L2-3.6.1 Gyakorlatutasítás: Működési incidenskezelési képesség létrehozása a szervezeti rendszerek számára, amely magában foglalja az előkészítési, észlelési, elemzési, elszigetelési, helyreállítási és felhasználói választevékenységeket. Célkitűzések: Állapítsa meg, hogy: [a.] működési incidenskezelési képesség jön létre; [b.] az operatív incidenskezelési képesség magában foglalja az előkészítést; [c.] az operatív incidenskezelési képesség magában foglalja az észlelést; [d.] a működési incidenskezelési képesség magában foglalja az elemzést; [e.] a működési incidenskezelési képesség magában foglalja a elszigetelést; [f.] a működési incidenskezelési képesség magában foglalja a helyreállítást; és [g.] az operatív incidenskezelési képesség felhasználói választevékenységeket is magában foglal. |
Incidenskezelési és monitorozási képességek megvalósítása. Az auditnaplók rögzítik az összes konfigurációs módosítást. A hitelesítési és engedélyezési események naplózása a bejelentkezési naplókban, valamint az észlelt kockázatok naplózása a Microsoft Entra ID-védelem naplókban. Ezeket a naplókat közvetlenül egy SIEM-megoldásba, például a Microsoft Sentinelbe streamelheti. Másik lehetőségként az Azure Event Hubs használatával integrálhatja a naplókat külső SIEM-megoldásokkal. Események naplózása Tevékenységjelentések naplózása az Azure Portalon Bejelentkezési tevékenységjelentések az Azure Portalon A kockázatok kivizsgálásának módja SIEM-integrációk Microsoft Sentinel: Adatok csatlakoztatása a Microsoft Entra IDStreamből az Azure Event Hubhoz és más SIEM-ekhez |
Karbantartás (MA)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| MA. L2-3.7.5 Gyakorlatutasítás: Többtényezős hitelesítés megkövetelése a nem lokális karbantartási munkamenetek külső hálózati kapcsolatokon keresztüli létrehozásához és az ilyen kapcsolatok leállításához, ha a nem lokális karbantartás befejeződött. Célkitűzések: Állapítsa meg, hogy: [a.] a többtényezős hitelesítést külső hálózati kapcsolatokon keresztül nem lokális karbantartási munkamenetek létrehozására használják; és [b.] A külső hálózati kapcsolatokon keresztül létesített nem lokális karbantartási munkamenetek leállnak, ha a nem lokális karbantartás befejeződött. |
A hozzárendelt rendszergazdai jogosultságokat a támadók célozzák meg, beleértve a nem helyi karbantartási munkamenetek létrehozásához használt fiókokat is. A többtényezős hitelesítés (MFA) megkövetelése ezeken a fiókokon egyszerű módja annak, hogy csökkentse ezeknek a fiókoknak a biztonságát. Feltételes hozzáférés – MFA megkövetelése rendszergazdáknak |
| MP. L2-3.8.7 Gyakorlatutasítás: Szabályozhatja a cserélhető adathordozók használatát a rendszerösszetevőkben. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszerösszetevők cserélhető adathordozóinak használatát szabályozni kell. |
Eszközfelügyeleti szabályzatok konfigurálása MDM-en (például Microsoft Intune), Configuration Manageren vagy csoportházirend-objektumokon (GPO) keresztül a cserélhető adathordozók rendszereken való használatának szabályozásához. A cserélhető tárterület hozzáférés-vezérlésének üzembe helyezése és kezelése az Intune, a Configuration Manager vagy a Csoportházirend használatával. Feltételes hozzáférési szabályzatok konfigurálása az eszközmegfelelés kényszerítéséhez. Feltételes hozzáférés Eszköz megfelelőként való megjelölésének megkövetelése Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése Intune Eszközmegfelelőségi szabályzatok a Microsoft Intune-ban Cserélhető tároló hozzáférés-vezérlése Cserélhető tárterület hozzáférés-vezérlésének üzembe helyezése és kezelése az Intune-nal Cserélhető tárterület hozzáférés-vezérlésének üzembe helyezése és kezelése csoportházirend használatával |
Személyzeti biztonság (PS)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| PS. L2-3.9.2 Gyakorlatutasítás: Győződjön meg arról, hogy a CUI-t tartalmazó szervezeti rendszerek védelmet élveznek a személyzeti műveletek, például a felmondások és az átadások során és után. Célkitűzések: Állapítsa meg, hogy: [a.] létrejön a rendszerhozzáférés megszüntetésére vonatkozó szabályzat és/vagy folyamat, valamint a személyi műveletekkel egybeeső hitelesítő adatok; [b.] a rendszerhozzáférés és a hitelesítő adatok az olyan személyzeti műveletekkel összhangban szűnnek meg, mint a megszüntetés vagy az átadás; és [c] a rendszer védelem alatt áll a személyi átadási műveletek során és után. |
Konfigurálja a Microsoft Entra-azonosítóban lévő fiókok kiépítését (beleértve a leállítást is) külső HR-rendszerekből, helyi Active Directory vagy közvetlenül a felhőből. Az összes rendszerhozzáférés leállításához állítsa le a meglévő munkameneteket. Fiókkiépítés Mi az identitáskiépítés a Microsoft Entra-azonosítóval? Microsoft Entra Connect Sync: A szinkronizálás ismertetése és testreszabása Mi az a Microsoft Entra Connect felhőszinkronizálás? Az összes társított hitelesítő visszavonása Felhasználói hozzáférés visszavonása vészhelyzetben a Microsoft Entra-azonosítóban |
System and Communications Protection (SC)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| SC. L2-3.13.3 Gyakorlatutasítás: A felhasználói funkciók elkülönítése rendszerfelügyeleti funkciókat alkot. Célkitűzések: Állapítsa meg, hogy: [a.] a rendszer azonosítja a felhasználói funkciókat; [b.] a rendszerfelügyeleti funkciók azonosíthatók; és [c.] a felhasználói funkciók elkülönülnek a rendszerfelügyeleti funkcióktól. |
A Microsoft Entra ID-ban külön felhasználói fiókokat tarthat fenn a mindennapi hatékonyság, valamint a rendszergazdai vagy rendszer-/emelt szintű felügyelet érdekében. A kiemelt fiókoknak csak felhőalapú vagy felügyelt fiókoknak kell lenniük, és nem szinkronizálhatók a helyszíni fiókokból, hogy megvédjék a felhőkörnyezetet a helyszíni biztonsági résektől. A rendszer-/emelt szintű hozzáférés csak a biztonságosan megerősödött emelt szintű hozzáférési munkaállomásról (PAW) engedélyezhető. Feltételes hozzáférési eszközszűrők konfigurálása az Azure Virtual Desktopokkal engedélyezett emelt hozzáférési szintű munkaállomásokról származó felügyeleti alkalmazásokhoz való hozzáférés korlátozásához. Miért fontosak a kiemelt hozzáférési eszközök? Eszközszerepkörök és -profilok Az eszközök szűrése feltételként a feltételes hozzáférési szabályzatban Azure Virtual Desktop |
| SC. L2-3.13.4 Gyakorlatutasítás: A megosztott rendszererőforrásokon keresztüli jogosulatlan és nem szándékos adatátvitel megakadályozása. Célkitűzések: Állapítsa meg, hogy: [a.] a megosztott rendszererőforrásokon keresztüli jogosulatlan és nem szándékos adattovábbítás nem engedélyezett. |
Eszközfelügyeleti szabályzatok konfigurálása MDM-en (például Microsoft Intune), Configuration Manageren vagy csoportházirend-objektumokon (GPO) keresztül annak biztosítása érdekében, hogy az eszközök megfeleljenek a rendszerkeményítési eljárásoknak. A szoftverjavításokra vonatkozó vállalati szabályzatnak való megfelelést is belefoglalhatja, hogy a támadók ne használják ki a hibákat. Feltételes hozzáférési szabályzatok konfigurálása az eszközmegfelelés kényszerítéséhez. Feltételes hozzáférés Eszköz megfelelőként való megjelölésének megkövetelése Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése Intune Eszközmegfelelőségi szabályzatok a Microsoft Intune-ban |
| SC. L2-3.13.13 Gyakorlatutasítás: A mobilkód használatának szabályozása és monitorozása. Célkitűzések: Állapítsa meg, hogy: [a.] a mobilkód használata szabályozva van; és [b.] mobilkód használatát figyeli a rendszer. |
Mobileszköz-kezelési szabályzatok konfigurálása MDM-en (például Microsoft Intune), Configuration Manageren vagy csoportházirend-objektumokon (GPO) keresztül a mobilkód használatának letiltásához. Ha mobilkód használatára van szükség, monitorozza a végpontbiztonságot, például a Végponthoz készült Microsoft Defender. Feltételes hozzáférési szabályzatok konfigurálása az eszközmegfelelés kényszerítéséhez. Feltételes hozzáférés Eszköz megfelelőként való megjelölésének megkövetelése Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése Intune Eszközmegfelelőségi szabályzatok a Microsoft Intune-ban Végponthoz készült Defender Végponthoz készült Microsoft Defender |
Rendszer- és információintegritás (SI)
Az alábbi táblázat felsorolja a gyakorlatra vonatkozó utasításokat és célkitűzéseket, valamint a Microsoft Entra útmutatását és javaslatait, amelyek lehetővé teszik ezeknek a követelményeknek a Microsoft Entra ID azonosítóval való teljesítését.
| A CMMC gyakorlatának nyilatkozata és célkitűzései | A Microsoft Entra útmutatásai és javaslatai |
|---|---|
| SI. L2-3.14.7 Gyakorlatutasítás: Célkitűzések: A szervezeti rendszerek jogosulatlan használatának azonosítása. Állapítsa meg, hogy: [a.] a rendszer engedélyezett használatának meghatározása; és [b.] a rendszer jogosulatlan használata azonosítható. |
Telemetria konszolidálása: A Microsoft Entra naplókat naplóz az SIEM-be való streameléshez, például az Azure Sentinel eszközfelügyeleti szabályzatainak MDM-en (például Microsoft Intune), Configuration Manageren vagy csoportházirend-objektumokon (GPO) keresztül történő konfigurálásához, hogy a behatolásészlelés/-védelem (IDS/IPS), például a Végponthoz készült Microsoft Defender telepítve és használatban legyen. Az IDS/IPS által biztosított telemetriai adatok segítségével azonosíthatja a bejövő és kimenő kommunikációs forgalomhoz vagy jogosulatlan használathoz kapcsolódó szokatlan tevékenységeket vagy feltételeket. Feltételes hozzáférési szabályzatok konfigurálása az eszközmegfelelés kényszerítéséhez. Feltételes hozzáférés Eszköz megfelelőként való megjelölésének megkövetelése Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése Intune Eszközmegfelelőségi szabályzatok a Microsoft Intune-ban Végponthoz készült Defender Végponthoz készült Microsoft Defender |
Következő lépések
- Mi a feltételes hozzáférés a Microsoft Entra-azonosítóban?
- További vezérlők konfigurálása
- A feltételes hozzáféréshez felügyelt eszköz szükséges – A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése
- A feltételes hozzáféréshez felügyelt eszköz szükséges – Az eszköz megfelelőként való megjelölésének megkövetelése
- Mi az a Microsoft Intune?
- Társfelügyelet Windows 10-eszközökhöz