Mengonfigurasi MICROSOFT Entra ID untuk memenuhi CMMC Level 2
MICROSOFT Entra ID membantu memenuhi persyaratan praktik terkait identitas di setiap tingkat Sertifikasi Model Kematangan Keamanan Cyber (CMMC). Untuk mematuhi persyaratan di CMMC V2.0 tingkat 2, perusahaan bertanggung jawab untuk melakukan pekerjaan dengan, dan atas nama, Departemen Pertahanan AS (DoD) untuk menyelesaikan konfigurasi atau proses lain.
Di CMMC Tingkat 2, ada 13 domain yang memiliki satu atau beberapa praktik yang terkait dengan identitas:
- Kontrol Akses (AC)
- Audit & Akuntabilitas (AU)
- Manajemen Konfigurasi (CM)
- Identifikasi & Autentikasi (IA)
- Respons Insiden (IR)
- Pemeliharaan (MA)
- Perlindungan Media (MP)
- Keamanan Personel (PS)
- Perlindungan Fisik (PE)
- Penilaian Risiko (RA)
- Penilaian Keamanan (CA)
- Perlindungan Sistem dan Komunikasi (SC)
- Integritas Sistem dan Informasi (SI)
Sisa artikel ini memberikan panduan untuk semua domain kecuali Kontrol Akses (AC) dan Identifikasi dan Autentikasi (IA) yang tercakup dalam artikel lain. Untuk setiap domain, ada tabel dengan tautan ke konten yang menyediakan panduan langkah demi langkah untuk menyelesaikan praktik.
Audit & Akuntabilitas
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| AU. L2-3.3.1 Pernyataan praktik: Membuat dan menyimpan log dan rekaman audit sistem untuk memungkinkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah. Tujuan: Tentukan apakah: [a.] log audit (misalnya, jenis peristiwa yang akan dicatat) untuk mengaktifkan pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah ditentukan; [b.] konten catatan audit yang diperlukan untuk mendukung pemantauan, analisis, investigasi, dan pelaporan aktivitas sistem yang melanggar hukum atau tidak sah ditentukan; [c.] rekaman audit dibuat (dihasilkan); [d.] catatan audit, setelah dibuat, berisi konten yang ditentukan; [e.] persyaratan retensi untuk catatan audit ditentukan; dan [f.] catatan audit dipertahankan seperti yang didefinisikan. AU. L2-3.3.2 Pernyataan praktik: Pastikan bahwa tindakan pengguna sistem individual dapat dilacak secara unik kepada pengguna tersebut sehingga mereka dapat dimintai pertanggungjawaban atas tindakan mereka. Tujuan: Tentukan apakah: [a.] konten rekaman audit yang diperlukan untuk mendukung kemampuan untuk melacak pengguna secara unik ke tindakan mereka ditentukan; dan [b.] catatan audit, setelah dibuat, berisi konten yang ditentukan. |
Semua operasi diaudit dalam log audit Microsoft Entra. Setiap entri log audit berisi objectID pengguna yang tidak dapat diubah yang dapat digunakan untuk melacak pengguna sistem individual secara unik ke setiap tindakan. Anda dapat mengumpulkan dan menganalisis log dengan menggunakan solusi Security Information and Event Management (SIEM) seperti Microsoft Sentinel. Atau, Anda dapat menggunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga untuk mengaktifkan pemantauan dan pemberitahuan. Laporan aktivitas audit di portal Azure Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel Tutorial - Streaming log ke hub peristiwa Azure |
| AU. L2-3.3.4 Pernyataan praktik: Waspada jika proses pengelogan audit gagal. Tujuan: Tentukan apakah: [a.] personel atau peran yang akan diperingatkan jika kegagalan proses pengelogan audit diidentifikasi; [b.] jenis kegagalan proses pengelogan audit yang pemberitahuannya akan dihasilkan ditentukan; dan [c] personel atau peran yang diidentifikasi diperingatkan jika terjadi kegagalan proses pengelogan audit. |
Azure Service Health memberi tahu Anda tentang insiden layanan Azure sehingga Anda dapat mengambil tindakan untuk mengurangi waktu henti. Mengonfigurasi pemberitahuan cloud yang dapat disesuaikan untuk ID Microsoft Entra. Apa itu Azure Service Health? Tiga cara untuk mendapatkan pemberitahuan tentang masalah layanan Azure Azure Service Health |
| AU. L2-3.3.6 Pernyataan praktik: Berikan pengurangan catatan audit dan pembuatan laporan untuk mendukung analisis dan pelaporan sesuai permintaan. Tujuan: Tentukan apakah: [a.] kemampuan pengurangan catatan audit yang mendukung analisis sesuai permintaan disediakan; dan [b.] kemampuan pembuatan laporan yang mendukung pelaporan sesuai permintaan disediakan. |
Pastikan peristiwa Microsoft Entra disertakan dalam strategi pengelogan peristiwa. Anda dapat mengumpulkan dan menganalisis log dengan menggunakan solusi Security Information and Event Management (SIEM) seperti Microsoft Sentinel. Atau, Anda dapat menggunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga untuk mengaktifkan pemantauan dan pemberitahuan. Gunakan pengelolaan pemberian hak Microsoft Entra dengan tinjauan akses untuk memastikan status kepatuhan akun. Laporan aktivitas audit di portal Azure Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel Tutorial - Streaming log ke hub peristiwa Azure |
| AU. L2-3.3.8 Pernyataan praktik: Lindungi informasi audit dan alat pengelogan audit dari akses, modifikasi, dan penghapusan yang tidak sah. Tujuan: Tentukan apakah: [a.] informasi audit dilindungi dari akses yang tidak sah; [b.] informasi audit dilindungi dari modifikasi yang tidak sah; [c.] informasi audit dilindungi dari penghapusan yang tidak sah; [d.] alat pengelogan audit dilindungi dari akses yang tidak sah; [e.] alat pengelogan audit dilindungi dari modifikasi yang tidak sah; dan [f.] alat pengelogan audit dilindungi dari penghapusan yang tidak sah. AU. L2-3.3.9 Pernyataan praktik: Membatasi manajemen fungsionalitas pengelogan audit ke subset pengguna istimewa. Tujuan: Tentukan apakah: [a.] subset pengguna istimewa yang diberikan akses untuk mengelola fungsionalitas pengelogan audit ditentukan; dan [b.] manajemen fungsionalitas pengelogan audit terbatas pada subset pengguna istimewa yang ditentukan. |
Log Microsoft Entra disimpan secara default selama 30 hari. Log ini tidak dapat dimodifikasi atau dihapus dan hanya dapat diakses oleh serangkaian peran istimewa terbatas. Log masuk di Microsoft Entra ID Log audit di MICROSOFT Entra ID |
Manajemen Konfigurasi (CM)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| CM.L2-3.4.2 Pernyataan praktik: Menetapkan dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. Tujuan: Tentukan apakah: [a.] pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem dibuat dan disertakan dalam konfigurasi dasar; dan [b.] pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem diberlakukan. |
Mengadopsi postur keamanan tanpa kepercayaan. Gunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk menerapkan pengaturan konfigurasi keamanan pada perangkat dengan solusi MDM seperti Microsoft Intune. Microsoft Configuration Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid dan dikombinasikan dengan Akses Bersyarat memerlukan perangkat gabungan hibrid Microsoft Entra. Zero-trust Mengamankan identitas dengan Zero Trust Akses Bersyarat Apa itu Akses Bersyar di ID Microsoft Entra? Memberikan kontrol dalam kebijakan Akses Bersyar Kebijakan perangkat Apa itu Microsoft Intune? Apa itu Aplikasi Pertahanan Microsoft untuk Cloud? Apa itu manajemen aplikasi Microsoft Intune? Solusi manajemen titik akhir Microsoft |
| CM.L2-3.4.5 Pernyataan praktik: Tentukan, dokumen, setujui, dan terapkan pembatasan akses fisik dan logis yang terkait dengan perubahan pada sistem organisasi. Tujuan: Tentukan apakah: [a.] pembatasan akses fisik yang terkait dengan perubahan pada sistem ditentukan; [b.] pembatasan akses fisik yang terkait dengan perubahan pada sistem didokumenkan; [c.] pembatasan akses fisik yang terkait dengan perubahan pada sistem disetujui; [d.] pembatasan akses fisik yang terkait dengan perubahan pada sistem diberlakukan; [e.] pembatasan akses logis yang terkait dengan perubahan pada sistem ditentukan; [f.] pembatasan akses logis yang terkait dengan perubahan pada sistem didokumenkan; [g.] pembatasan akses logis yang terkait dengan perubahan pada sistem disetujui; dan [h.] pembatasan akses logis yang terkait dengan perubahan pada sistem diberlakukan. |
ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud. Pelanggan tidak memiliki akses fisik ke pusat data Microsoft Entra. Dengan demikian, setiap pembatasan akses fisik dipenuhi oleh Microsoft dan diwarisi oleh pelanggan ID Microsoft Entra. Menerapkan kontrol akses berbasis peran Microsoft Entra. Hilangkan akses istimewa yang berdiri, berikan akses tepat waktu dengan alur kerja persetujuan dengan Privileged Identity Management. Gambaran umum kontrol akses berbasis peran Microsoft Entra (RBAC) Apa itu Privileged Identity Management? Menyetujui atau menolak permintaan untuk peran Microsoft Entra di PIM |
| CM.L2-3.4.6 Pernyataan praktik: Gunakan prinsip fungsionalitas paling sedikit dengan mengonfigurasi sistem organisasi untuk hanya menyediakan kemampuan penting. Tujuan: Tentukan apakah: [a.] kemampuan sistem penting didefinisikan berdasarkan prinsip fungsionalitas paling sedikit; dan [b.] sistem dikonfigurasi untuk hanya menyediakan kemampuan penting yang ditentukan. |
Konfigurasikan solusi manajemen perangkat (Seperti Microsoft Intune) untuk menerapkan garis besar keamanan kustom yang diterapkan ke sistem organisasi untuk menghapus aplikasi yang tidak penting dan menonaktifkan layanan yang tidak perlu. Biarkan hanya kemampuan terkecil yang diperlukan agar sistem beroperasi secara efektif. Konfigurasikan Akses Bersyar untuk membatasi akses ke perangkat yang patuh atau gabungan hibrid Microsoft Entra. Apa itu Microsoft Intune Memerlukan perangkat ditandai sebagai sesuai Memberikan kontrol dalam kebijakan Akses Bersyarat - Memerlukan perangkat gabungan hibrid Microsoft Entra |
| CM.L2-3.4.7 Pernyataan praktik: Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting. Tujuan: Tentukan apakah: [a.]program penting didefinisikan; [b.] penggunaan program yang tidak penting didefinisikan; [c.] penggunaan program yang tidak penting dibatasi, dinonaktifkan, atau dicegah seperti yang didefinisikan; [d.] fungsi penting didefinisikan; [e.] penggunaan fungsi yang tidak penting didefinisikan; [f.] penggunaan fungsi yang tidak penting dibatasi, dinonaktifkan, atau dicegah seperti yang didefinisikan; [g.] port penting didefinisikan; [h.] penggunaan port yang tidak penting didefinisikan; [i.] penggunaan port yang tidak penting dibatasi, dinonaktifkan, atau dicegah seperti yang didefinisikan; [j.] protokol penting didefinisikan; [k.] penggunaan protokol yang tidak penting didefinisikan; [L.] penggunaan protokol yang tidak penting dibatasi, dinonaktifkan, atau dicegah seperti yang didefinisikan; [m.] layanan penting didefinisikan; [n.] penggunaan layanan yang tidak penting didefinisikan; dan [o.] penggunaan layanan yang tidak penting dibatasi, dinonaktifkan, atau dicegah seperti yang ditentukan. |
Gunakan peran Administrator Aplikasi untuk mendelegasikan penggunaan aplikasi penting yang sah. Gunakan Peran Aplikasi atau klaim grup untuk mengelola akses hak istimewa terkecil dalam aplikasi. Konfigurasikan persetujuan pengguna untuk memerlukan persetujuan admin dan jangan izinkan persetujuan pemilik grup. Konfigurasikan alur kerja permintaan persetujuan Admin untuk memungkinkan pengguna meminta akses ke aplikasi yang memerlukan persetujuan admin. Gunakan aplikasi Microsoft Defender untuk Cloud untuk mengidentifikasi penggunaan aplikasi yang tidak disanksi/tidak diketahui. Gunakan telemetri ini untuk menentukan aplikasi penting/non-esensial. Peran bawaan Microsoft Entra - Administrator Aplikasi Peran Aplikasi Microsoft Entra - Peran Aplikasi vs. Grup Mengonfigurasi cara pengguna menyetujui aplikasi Mengonfigurasi persetujuan pemilik grup untuk aplikasi yang akan mengakses data grup Mengonfigurasi alur kerja persetujuan admin Apa itu Aplikasi Pertahanan Microsoft untuk Cloud? Menemukan dan mengelola tutorial TI Bayangan |
| CM.L2-3.4.8 Pernyataan praktik: Terapkan kebijakan deny-by-exception (daftar blokir) untuk mencegah penggunaan perangkat lunak yang tidak sah atau kebijakan tolak-semua, permit-by-exception (allowlist) untuk memungkinkan eksekusi perangkat lunak yang diotorisasi. Tujuan: Tentukan apakah: [a.] kebijakan yang menentukan apakah daftar yang diizinkan atau daftar blokir akan diimplementasikan ditentukan; [b.] perangkat lunak yang diizinkan untuk dijalankan di bawah daftar izin atau penggunaan yang ditolak di bawah daftar blokir ditentukan; dan [c.] daftar izin untuk mengizinkan eksekusi perangkat lunak resmi atau daftar blokir untuk mencegah penggunaan perangkat lunak yang tidak sah diimplementasikan seperti yang ditentukan. CM.L2-3.4.9 Pernyataan praktik: Mengontrol dan memantau perangkat lunak yang diinstal pengguna. Tujuan: Tentukan apakah: [a.] kebijakan untuk mengontrol penginstalan perangkat lunak oleh pengguna dibuat; [b.] penginstalan perangkat lunak oleh pengguna dikontrol berdasarkan kebijakan yang ditetapkan; dan [c.] penginstalan perangkat lunak oleh pengguna dipantau. |
Konfigurasikan kebijakan manajemen MDM/konfigurasi untuk mencegah penggunaan perangkat lunak yang tidak sah. Konfigurasikan kontrol pemberian Akses Bersyarat untuk mewajibkan perangkat yang mematuhi atau bergabung dengan hibrid untuk menggabungkan kepatuhan perangkat dengan kebijakan manajemen MDM/konfigurasi ke dalam keputusan otorisasi Akses Bersyarat. Apa itu Microsoft Intune Akses Bersyarat - Memerlukan perangkat yang patuh atau gabungan hibrid |
Respons Insiden (IR)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| IR. L2-3.6.1 Pernyataan praktik: Menetapkan kemampuan penanganan insiden operasional untuk sistem organisasi yang mencakup persiapan, deteksi, analisis, penahanan, pemulihan, dan aktivitas respons pengguna. Tujuan: Tentukan apakah: [a.] kemampuan penanganan insiden operasional ditetapkan; [b.] kemampuan penanganan insiden operasional mencakup persiapan; [c.] kemampuan penanganan insiden operasional mencakup deteksi; [d.] kemampuan penanganan insiden operasional mencakup analisis; [e.] kemampuan penanganan insiden operasional mencakup penahanan; [f.] kemampuan penanganan insiden operasional mencakup pemulihan; dan [g.] kemampuan penanganan insiden operasional mencakup aktivitas respons pengguna. |
Terapkan kemampuan pemantauan dan penanganan insiden. Log audit mencatat semua perubahan konfigurasi. Peristiwa autentikasi dan otorisasi diaudit dalam log masuk, dan risiko apa pun yang terdeteksi diaudit di log Perlindungan ID Microsoft Entra. Anda dapat melakukan streaming setiap log ini langsung ke solusi SIEM, seperti Microsoft Sentinel. Sebagai alternatif, gunakan Azure Event Hub untuk mengintegrasikan log dengan solusi SIEM pihak ketiga. Mengaudit peristiwa Laporan aktivitas audit di portal Azure Laporan aktivitas masuk di portal Azure Cara: Menyelidiki Risiko Integrasi SIEM Microsoft Sentinel : Menyambungkan data dari Microsoft Entra IDStream ke hub peristiwa Azure dan SIEM lainnya |
Pemeliharaan (MA)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| MA. L2-3.7.5 Pernyataan praktik: Memerlukan autentikasi multifaktor untuk membuat sesi pemeliharaan nonlokal melalui koneksi jaringan eksternal dan mengakhiri koneksi tersebut ketika pemeliharaan nonlokal selesai. Tujuan: Tentukan apakah: [a.] autentikasi multifaktor digunakan untuk membuat sesi pemeliharaan nonlokal melalui koneksi jaringan eksternal; dan [b.] sesi pemeliharaan nonlokal yang dibuat melalui koneksi jaringan eksternal dihentikan ketika pemeliharaan nonlokal selesai. |
Akun yang ditetapkan hak administratif ditargetkan oleh penyerang, termasuk akun yang digunakan untuk membuat sesi pemeliharaan non-lokal. Mewajibkan autentikasi multifaktor (MFA) pada akun tersebut adalah cara mudah untuk mengurangi risiko akun tersebut disusupi. Akses Bersyarat - Memerlukan MFA untuk administrator |
| MP. L2-3.8.7 Pernyataan praktik: Mengontrol penggunaan media yang dapat dilepas pada komponen sistem. Tujuan: Tentukan apakah: [a.] penggunaan media yang dapat dilepas pada komponen sistem dikontrol. |
Konfigurasikan kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk mengontrol penggunaan media yang dapat dilepas pada sistem. Menyebarkan dan mengelola Kontrol Akses Penyimpanan yang Dapat Dilepas menggunakan Intune, Configuration Manager, atau Kebijakan Grup. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Intune Kebijakan kepatuhan perangkat di Microsoft Intune Kontrol akses penyimpanan yang dapat dilepas Menyebarkan dan mengelola Kontrol Akses Penyimpanan yang Dapat Dilepas menggunakan Intune Menyebarkan dan mengelola Kontrol Akses Penyimpanan yang Dapat Dilepas menggunakan kebijakan grup |
Keamanan Personel (PS)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| PS. L2-3.9.2 Pernyataan praktik: Pastikan bahwa sistem organisasi yang berisi CUI dilindungi selama dan setelah tindakan personel seperti penghentian dan transfer. Tujuan: Tentukan apakah: [a.] kebijakan dan/atau proses untuk mengakhiri akses sistem dan kredensial apa pun yang bertepatan dengan tindakan personel ditetapkan; [b.] akses sistem dan kredensial dihentikan konsisten dengan tindakan personel seperti penghentian atau transfer; dan [c] sistem dilindungi selama dan setelah tindakan transfer personel. |
Konfigurasikan provisi (termasuk penonaktifan setelah penghentian) akun di ID Microsoft Entra dari sistem SDM eksternal, Active Directory lokal, atau langsung di cloud. Hentikan semua akses sistem dengan mencabut sesi yang ada. Provisi akun Apa itu provisi identitas dengan ID Microsoft Entra? Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi Apa itu sinkronisasi cloud Microsoft Entra Connect? Mencabut semua pengautentikasi terkait Mencabut akses pengguna dalam keadaan darurat di ID Microsoft Entra |
Perlindungan Sistem dan Komunikasi (SC)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| SC. L2-3.13.3 Pernyataan praktik: Memisahkan fungsionalitas pengguna membentuk fungsionalitas manajemen sistem. Tujuan: Tentukan apakah: [a.] fungsionalitas pengguna diidentifikasi; [b.] fungsionalitas manajemen sistem diidentifikasi; dan [c.] fungsionalitas pengguna dipisahkan dari fungsionalitas manajemen sistem. |
Pertahankan akun pengguna terpisah di ID Microsoft Entra untuk penggunaan produktivitas sehari-hari dan manajemen administratif atau sistem/hak istimewa. Akun istimewa harus berupa akun khusus cloud atau terkelola dan tidak disinkronkan dari lokal untuk melindungi lingkungan cloud dari kompromi lokal. Akses sistem/istimewa hanya boleh diizinkan dari stasiun kerja akses istimewa (PAW) yang diperkuat keamanan. Konfigurasikan filter perangkat Akses Bersyar untuk membatasi akses ke aplikasi administratif dari PAW yang diaktifkan menggunakan Azure Virtual Desktops. Mengapa perangkat akses istimewa penting Peran dan Profil Perangkat Memfilter perangkat sebagai kondisi dalam kebijakan Akses Bersyar Azure Virtual Desktop |
| SC. L2-3.13.4 Pernyataan praktik: Mencegah transfer informasi yang tidak sah dan tidak diinginkan melalui sumber daya sistem bersama. Tujuan: Tentukan apakah: [a.] transfer informasi yang tidak sah dan tidak diinginkan melalui sumber daya sistem bersama dicegah. |
Konfigurasikan kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk memastikan perangkat mematuhi prosedur pengerasan sistem. Sertakan kepatuhan terhadap kebijakan perusahaan mengenai patch perangkat lunak untuk mencegah penyerang mengeksploitasi kelemahan. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Intune Kebijakan kepatuhan perangkat di Microsoft Intune |
| SC. L2-3.13.13 Pernyataan praktik: Mengontrol dan memantau penggunaan kode seluler. Tujuan: Tentukan apakah: [a.] penggunaan kode seluler dikontrol; dan [b.] penggunaan kode seluler dipantau. |
Konfigurasikan kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk menonaktifkan penggunaan kode seluler. Jika penggunaan kode seluler diperlukan, pantau penggunaan dengan keamanan titik akhir seperti Microsoft Defender untuk Titik Akhir. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Intune Kebijakan kepatuhan perangkat di Microsoft Intune Pertahanan untuk Titik Akhir Microsoft Defender untuk Titik Akhir |
Integritas Sistem dan Informasi (SI)
Tabel berikut ini menyediakan daftar pernyataan dan tujuan praktik, serta panduan dan rekomendasi Microsoft Entra untuk memungkinkan Anda memenuhi persyaratan ini dengan ID Microsoft Entra.
| Pernyataan dan tujuan praktik CMMC | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| SI. L2-3.14.7 Pernyataan praktik: Tujuan: Mengidentifikasi penggunaan sistem organisasi yang tidak sah. Tentukan apakah: [a.] penggunaan sistem yang sah didefinisikan; dan [b.] penggunaan sistem yang tidak sah diidentifikasi. |
Mengonsolidasikan telemetri: Log Microsoft Entra untuk mengalirkan ke SIEM, seperti Azure Sentinel Mengonfigurasi kebijakan manajemen perangkat melalui MDM (seperti Microsoft Intune), Configuration Manager, atau objek kebijakan grup (GPO) untuk memerlukan Deteksi/Perlindungan Intrusi (IDS/IPS) seperti Microsoft Defender untuk Titik Akhir diinstal dan digunakan. Gunakan telemetri yang disediakan oleh IDS/IPS untuk mengidentifikasi aktivitas atau kondisi yang tidak biasa yang terkait dengan lalu lintas komunikasi masuk dan keluar atau penggunaan yang tidak sah. Mengonfigurasi kebijakan Akses Bersyarat untuk menerapkan kepatuhan perangkat. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Memerlukan perangkat gabungan hibrid Microsoft Entra Intune Kebijakan kepatuhan perangkat di Microsoft Intune Pertahanan untuk Titik Akhir Microsoft Defender untuk Titik Akhir |
Langkah berikutnya
- Apa itu Akses Bersyar di ID Microsoft Entra?
- Mengonfigurasi kontrol tambahan
- Akses Bersyarat memerlukan perangkat terkelola - Memerlukan perangkat gabungan hibrid Microsoft Entra
- Akses Bersyarat memerlukan perangkat terkelola - Mengharuskan perangkat ditandai sebagai sesuai
- Apa itu Microsoft Intune?
- Manajemen bersama untuk perangkat Windows 10