Mengonfigurasi ID Microsoft Entra untuk memenuhi tingkat Dampak Tinggi FedRAMP

Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) adalah proses penilaian dan otorisasi untuk penyedia solusi cloud (CSP). Secara khusus, prosesnya adalah untuk CSP yang membuat penawaran solusi cloud (CSO) untuk digunakan dengan agen federal. Azure dan Azure Government telah mendapatkan Otoritas Provisi untuk Mengoperasikan (P-ATO) pada tingkat Dampak Tinggi dari Dewan Otorisasi Gabungan, bar tertinggi untuk akreditasi FedRAMP.

Azure menyediakan kemampuan untuk memenuhi semua persyaratan kontrol untuk mencapai peringkat tinggi FedRAMP untuk CSO Anda, atau sebagai agen federal. Anda bertanggung jawab untuk menyelesaikan konfigurasi atau proses tambahan agar memenuhi kepatuhan. Tanggung jawab ini berlaku untuk kedua CSP yang mencari otorisasi tinggi FedRAMP untuk CSO mereka, dan lembaga federal yang mencari Otoritas untuk Mengoperasikan (ATO).

Microsoft dan FedRAMP

Microsoft Azure mendukung lebih banyak layanan di tingkat Dampak Tinggi FedRAMP dibandingkan CSP lainnya. Dan sementara tingkat ini di cloud publik Azure memenuhi kebutuhan banyak pelanggan pemerintah AS, agensi dengan persyaratan yang lebih ketat mungkin bergantung pada cloud Azure Government. Azure Government menyediakan perlindungan tambahan, seperti penyaringan personel yang ditingkatkan.

Microsoft diharuskan untuk mensertifikasi ulang layanan cloud-nya setiap tahun untuk mempertahankan otorisasinya. Untuk melakukannya, Microsoft terus memantau dan menilai kontrol keamanannya, dan menunjukkan bahwa keamanan layanannya tetap memenuhi kepatuhan. Untuk informasi selengkapnya, lihat Otorisasi FedRAMP layanan cloud Microsoft, dan Laporan Audit Microsoft FedRAMP. Untuk menerima laporan FedRAMP lainnya, kirim email ke Dokumentasi Azure Federal.

Ada beberapa jalur menuju otorisasi FedRAMP. Anda dapat menggunakan kembali paket otorisasi Azure yang ada dan panduan di sini untuk secara signifikan mengurangi waktu dan upaya yang diperlukan untuk mendapatkan ATO atau P-ATO.

Ruang lingkup panduan

Garis besar tinggi FedRAMP terdiri dari 421 kontrol dan peningkatan kontrol dari Katalog Kontrol Keamanan NIST 800-53 Revisi 4. Jika berlaku, kami menyertakan informasi klarifikasi dari 800-53 Revisi 5. Kumpulan artikel ini mencakup subkumpulan kontrol ini yang terkait dengan identitas, dan yang harus Anda konfigurasi.

Kami memberikan panduan preskriptif untuk membantu Anda mencapai kepatuhan terhadap kontrol yang bertanggung jawab untuk mengonfigurasi di ID Microsoft Entra. Untuk sepenuhnya menangani beberapa persyaratan kontrol identitas, Anda mungkin perlu menggunakan sistem lain. Sistem lain mungkin termasuk informasi keamanan dan alat pengelolaan acara, seperti Microsoft Sentinel. Jika Anda menggunakan layanan Azure di luar ID Microsoft Entra, akan ada kontrol lain yang perlu Anda pertimbangkan, dan Anda dapat menggunakan kemampuan yang sudah dimiliki Azure untuk memenuhi kontrol.

Berikut ini adalah daftar sumber daya FedRAMP:

• Federal Risk and Authorization Management Program

• Kerangka Kerja Penilaian Keamanan FedRAMP

• Panduan Agensi untuk Otorisasi FedRAMP

• Mengelola kepatuhan di cloud pada Microsoft

• Microsoft Government Cloud

• Penawaran kepatuhan Azure

• Definisi inisiatif bawaan Azure Policy FedRAMP Tinggi

• Portal kepatuhan Microsoft Purview

• Manajer Kepatuhan Microsoft Purview

Langkah berikutnya

Mengonfigurasi kontrol akses

Mengonfigurasi kontrol identifikasi dan autentikasi

Mengonfigurasi kontrol lainnya