Mengonfigurasi kontrol akses identitas untuk memenuhi tingkat Dampak Tinggi FedRAMP

Artikel
10/28/2023

Kontrol akses adalah bagian utama pencapaian tingkat Dampak Tinggi Federal Risk and Authorization Management Program (FedRAMP) untuk beroperasi.

Daftar kontrol dan peningkatan kontrol berikut dalam keluarga kontrol akses (AC) mungkin memerlukan konfigurasi di penyewa Microsoft Entra Anda.

Keluarga kontrol	Deskripsi
AC-2	Manajemen akun
AC-6	Hak istimewa minimal
AC-7	Percobaan masuk yang tidak berhasil
AC-8	Pemberitahuan penggunaan sistem
AC-10	Kontrol sesi bersamaan
AC-11	Kunci sesi
AC-12	Penghentian sesi
AC-20	Penggunaan sistem informasi eksternal

Setiap baris dalam tabel berikut menyediakan panduan preskriptif untuk membantu Anda mengembangkan respons organisasi terhadap tanggung jawab bersama untuk kontrol atau peningkatan kontrol.

Konfigurasi

ID dan deskripsi Kontrol FedRAMP	Panduan dan rekomendasi Microsoft Entra
MANAJEMEN AKUN AC-2 Organisasi (a.) Mengidentifikasi dan memilih jenis akun sistem informasi berikut untuk mendukung misi organisasi/fungsi bisnis: [Penugasan: jenis akun sistem informasi yang ditentukan organisasi]; (b.) Menetapkan manajer akun untuk akun sistem informasi; (c.) Menetapkan kondisi untuk keanggotaan grup dan peran; (d.) Menentukan pengguna yang berwenang dari sistem informasi, keanggotaan grup dan peran, dan otorisasi akses (yaitu, hak istimewa) dan atribut lain (sebagaimana diperlukan) untuk setiap akun; (e.) Memerlukan persetujuan oleh [Penugasan: personel atau peran yang ditentukan organisasi] untuk permintaan membuat akun sistem informasi; (f.) Membuat, mengaktifkan, memodifikasi, menonaktifkan, dan menghapus akun sistem informasi sesuai dengan [Penugasan: prosedur atau kondisi yang ditentukan organisasi]; (g.) Memantau penggunaan akun sistem informasi; (h.) Memberi tahu manajer akun: (1.) Ketika akun tidak lagi diperlukan; (2.) Ketika pengguna dihentikan atau ditransfer; dan (3.) Ketika penggunaan sistem informasi individu atau perubahan yang perlu diketahui; (i.) Mengotorisasi akses ke sistem informasi berdasarkan: (1.) Otorisasi akses yang valid; (2.) Penggunaan sistem yang dimaksudkan; dan (3.) Atribut lain sebagaimana diperlukan oleh organisasi atau misi/fungsi bisnis terkait; (j.) Meninjau akun untuk kepatuhan terhadap persyaratan manajemen akun [Penugasan FedRAMP: bulanan untuk akses istimewa, setiap enam (6) bulan untuk akses non-istimewa]; dan (k.) Menetapkan proses untuk menerbitkan kembali kredensial akun bersama/grup (jika disebarkan) saat individu dihapus dari grup.	Terapkan manajemen siklus hidup akun untuk akun yang dikontrol pelanggan. Pantau penggunaan akun dan beritahu manajer akun tentang peristiwa siklus hidup akun. Tinjau akun untuk kepatuhan terhadap persyaratan manajemen akun, setiap bulan untuk akses istimewa dan setiap enam bulan untuk akses tanpa hak istimewa. Gunakan ID Microsoft Entra untuk memprovisikan akun dari sistem SDM eksternal, Active Directory lokal, atau langsung di cloud. Semua operasi siklus hidup akun diaudit dalam log audit Microsoft Entra. Anda dapat mengumpulkan dan menganalisis log dengan menggunakan solusi Security Information and Event Management (SIEM) seperti Microsoft Sentinel. Atau, Anda dapat menggunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga untuk mengaktifkan pemantauan dan pemberitahuan. Gunakan pengelolaan pemberian hak Microsoft Entra dengan tinjauan akses untuk memastikan status kepatuhan akun. Akun provisi Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi Menambahkan atau menghapus pengguna menggunakan Microsoft Entra ID Memantau akun Laporan aktivitas audit di pusat admin Microsoft Entra Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel Tutorial - Streaming log ke hub peristiwa Azure Meninjau akun Apa itu pengelolaan pemberian izin Microsoft Entra? Membuat tinjauan akses paket akses di pengelolaan pemberian hak Microsoft Entra Meninjau akses paket akses di pengelolaan pemberian hak Microsoft Entra Sumber Izin peran administrator di Microsoft Entra ID Grup Dinamis di ID Microsoft Entra
AC-2(1) Organisasi ini menggunakan mekanisme otomatis untuk mendukung manajemen akun sistem informasi.	Menggunakan mekanisme otomatis untuk mendukung manajemen akun yang dikontrol pelanggan. Mengonfigurasi provisi akun yang dikontrol pelanggan secara otomatis dari sistem HR eksternal atau Direktori Aktif lokal. Untuk aplikasi yang mendukung provisi aplikasi, konfigurasikan ID Microsoft Entra untuk membuat identitas dan peran pengguna secara otomatis dalam aplikasi perangkat lunak cloud sebagai solusi (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah. Untuk memudahkan pemantauan penggunaan akun, Anda dapat melakukan streaming log Microsoft Entra ID Protection, yang menunjukkan pengguna berisiko, proses masuk berisiko, dan deteksi risiko, dan log audit langsung ke Microsoft Sentinel atau Azure Event Hubs. Provisikan Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi Apa itu provisi pengguna aplikasi SaaS otomatis di ID Microsoft Entra? Tutorial integrasi aplikasi SaaS untuk digunakan dengan MICROSOFT Entra ID Memantau dan mengaudit Menyelidiki risiko Laporan aktivitas audit di pusat admin Microsoft Entra Apa itu Microsoft Sentinel? Microsoft Sentinel: Menyambungkan data dari ID Microsoft Entra Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure
AC-2(2) Sistem informasi secara otomatis [Pemilihan FedRAMP: menonaktifkan] akun sementara dan darurat setelah [Penugasan FedRAMP: 24 jam dari penggunaan terakhir]. AC-02(3) Sistem informasi secara otomatis menonaktifkan akun tidak aktif setelah [Penetapan FedRAMP: tiga puluh lima (35) hari untuk akun pengguna]. AC-2 (3) Persyaratan dan Panduan FedRAMP Tambahan: Persyaratan: Penyedia layanan menentukan periode waktu untuk akun non-pengguna (misalnya, akun yang terkait dengan perangkat). Periode waktu disetujui dan diterima oleh JAB/AO. Di mana manajemen pengguna adalah fungsi layanan, laporan aktivitas pengguna konsumen harus tersedia.	Menggunakan mekanisme otomatis untuk mendukung penghapusan atau penonaktifan akun sementara dan darurat secara otomatis setelah 24 jam dari penggunaan terakhir dan semua akun yang dikontrol pelanggan setelah 35 hari tidak aktif. Terapkan otomatisasi manajemen akun dengan Microsoft Graph dan Microsoft Graph PowerShell. Gunakan Microsoft Graph untuk memantau aktivitas masuk dan Microsoft Graph PowerShell untuk mengambil tindakan pada akun dalam jangka waktu yang diperlukan. Menentukan akun tidak aktif Mengelola akun pengguna yang tidak aktif di ID Microsoft Entra Mengelola perangkat kedaluarsa di ID Microsoft Entra Menghapus atau menonaktifkan akun Bekerja dengan pengguna di Microsoft Graph Mendapatkan pengguna Memperbarui pengguna Menghapus pengguna Bekerja dengan perangkat di Microsoft Graph Mendapatkan perangkat Memperbarui perangkat Menghapus perangkat Lihat, dokumentasi Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan FedRAMP: organisasi dan/atau pemilik sistem penyedia layanan].	Menerapkan sistem audit dan pemberitahuan otomatis untuk siklus hidup pengelolaan akun yang dikontrol pelanggan. Semua operasi siklus hidup akun, seperti pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan tindakan penghapusan, diaudit dalam log audit Azure. Anda dapat melakukan streaming log langsung ke Microsoft Sentinel atau Azure Event Hubs untuk membantu pemberitahuan. Audit Laporan aktivitas audit di pusat admin Microsoft Entra Microsoft Sentinel: Menyambungkan data dari ID Microsoft Entra Pemberitahuan Apa itu Microsoft Sentinel? Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure
AC-2(5) Organisasi mengharuskan pengguna keluar ketika [Penetapan FedRAMP: tidak aktif diantisipasi melebihi lima belas (15) menit]. Ac-2 (5) Persyaratan dan Panduan FedRAMP Tambahan: Panduan: Harus menggunakan jangka waktu yang lebih pendek daripada AC-12	Menerapkan keluar dari perangkat setelah periode 15 menit tidak aktif. Terapkan kunci perangkat dengan menggunakan kebijakan Akses Bersyar yang membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan kunci perangkat di tingkat OS dengan solusi manajemen perangkat bergerak (MDM) seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid. Untuk perangkat tidak terkelola, konfigurasikan pengaturan Frekuensi Masuk untuk memaksa pengguna untuk mengautentikasi ulang. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Frekuensi masuk pengguna Kebijakan MDM Mengonfigurasi perangkat untuk menit maksimum tidak aktif sampai layar terkunci dan memerlukan kata sandi untuk membuka kunci (Android, iOS, Windows 10).
AC-2(7) Organisasi: (a.) Menetapkan dan mengelola akun pengguna istimewa sesuai dengan skema akses berbasis peran yang mengatur akses dan hak istimewa sistem informasi yang diizinkan ke dalam peran; (b) Memantau penetapan peran istimewa; dan (c) Mengambil [Penetapan FedRAMP: menonaktifkan/mencabut akses dalam jangka waktu yang ditentukan organisasi] ketika penetapan peran istimewa tidak lagi sesuai.	Kelola dan pantau penetapan peran istimewa dengan mengikuti skema akses berbasis peran untuk akun yang dikontrol pelanggan. Nonaktifkan atau cabut akses hak istimewa untuk akun jika sudah tidak lagi sesuai. Terapkan Microsoft Entra Privileged Identity Management dengan tinjauan akses untuk peran istimewa di ID Microsoft Entra untuk memantau penetapan peran dan menghapus penetapan peran jika tidak lagi sesuai. Anda dapat melakukan streaming log audit langsung ke Microsoft Sentinel atau Azure Event Hubs untuk membantu pemantauan. Mengelola Apa itu Microsoft Entra Privileged Identity Management? Durasi maksimum aktivasi Monitor Membuat tinjauan akses peran Microsoft Entra di Privileged Identity Management Melihat riwayat audit untuk peran Microsoft Entra dalam Privileged Identity Management Laporan aktivitas audit di pusat admin Microsoft Entra Apa itu Microsoft Sentinel? Menyambungkan data dari ID Microsoft Entra Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure
AC-2(11) Sistem informasi memberlakukan [Penugasan: keadaan dan/atau kondisi penggunaan yang ditentukan organisasi] untuk [Penugasan: akun sistem informasi yang ditentukan organisasi].	Menerapkan penggunaan akun yang dikontrol pelanggan untuk memenuhi kondisi atau keadaan yang ditentukan pelanggan. Buat kebijakan Akses Bersyar untuk menerapkan keputusan kontrol akses di seluruh pengguna dan perangkat. Akses Bersyarat Membuat kebijakan Akses Bersyarat Apa yang dimaksud dengan Akses Bersyarat?
AC-2(12) Organisasi: (a) Memantau akun sistem informasi untuk [Penugasan: penggunaan atipikal yang ditentukan organisasi]; dan (b) Melaporkan penggunaan atipikal akun sistem informasi ke [Penetapan FedRAMP: minimal, ISSO dan/atau peran serupa dalam organisasi]. Ac-2 (12) (a) dan AC-2 (12) (b) Persyaratan dan Panduan FedRAMP Tambahan: Diperlukan untuk akun istimewa.	Memantau dan melaporkan akun yang dikontrol pelanggan dengan akses istimewa untuk penggunaan tidak umum. Untuk bantuan terkait pemantauan penggunaan atipikal, Anda dapat melakukan streaming log Microsoft Entra ID Protection, yang menunjukkan pengguna berisiko, proses masuk berisiko, dan deteksi risiko, dan log audit, yang membantu korelasi dengan penetapan hak istimewa, langsung ke solusi SIEM seperti Microsoft Sentinel. Anda juga dapat menggunakan Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga. Perlindungan ID Apa yang dimaksud dengan Microsoft Entra ID Protection? Menyelidiki risiko Pemberitahuan Perlindungan ID Microsoft Entra Memantau akun Apa itu Microsoft Sentinel? Laporan aktivitas audit di pusat admin Microsoft Entra Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel Tutorial - Streaming log ke hub peristiwa Azure
AC-2(13) Organisasi menonaktifkan akun pengguna yang menimbulkan risiko signifikan dalam [Penugasan FedRAMP: satu (1) jam] penemuan risiko.	Nonaktifkan akun pengguna yang dikontrol pelanggan yang menimbulkan risiko signifikan dalam satu jam. Di Microsoft Entra ID Protection, konfigurasikan dan aktifkan kebijakan risiko pengguna dengan ambang yang diatur ke Tinggi. Buat kebijakan Akses Bersyarat untuk memblokir akses bagi pengguna berisiko dan proses masuk berisiko. Konfigurasikan kebijakan risiko untuk memungkinkan pengguna memulihkan diri dan membuka blokir upaya masuk berikutnya. Perlindungan ID Apa yang dimaksud dengan Microsoft Entra ID Protection? Akses Bersyarat Apa yang dimaksud dengan Akses Bersyarat? Membuat kebijakan Akses Bersyarat Akses Bersyar: Akses Bersyarah berbasis risiko pengguna Akses Bersyarat: Akses Bersyarat berbasis risiko masuk Remediasi mandiri dengan kebijakan risiko
AC-6(7) Organisasi: (a.) Ulasan [Penugasan FedRAMP: minimal, setiap tahun] hak istimewa yang ditetapkan ke [Penugasan FedRAMP: semua pengguna dengan hak istimewa] untuk memvalidasi kebutuhan akan hak istimewa tersebut; dan (b.) Menetapkan ulang atau menghapus hak istimewa, jika perlu, untuk mencerminkan misi organisasi/kebutuhan bisnis dengan benar.	Tinjau dan validasi semua pengguna dengan akses istimewa setiap tahun. Pastikan hak istimewa ditetapkan kembali (atau dihapus jika perlu) untuk menyesuaikan misi organisasi dan persyaratan bisnis. Gunakan pengelolaan pemberian hak Microsoft Entra dengan tinjauan akses untuk pengguna istimewa untuk memverifikasi apakah akses istimewa diperlukan. Tinjauan akses Apa itu pengelolaan pemberian izin Microsoft Entra? Membuat tinjauan akses peran Microsoft Entra di Privileged Identity Management Meninjau akses paket akses di pengelolaan pemberian hak Microsoft Entra
Upaya Masuk AC-7 Gagal Organisasi: (a.) Memberlakukan batas [Penugasan FedRAMP: tidak lebih dari tiga (3)] upaya masuk tidak valid berturut-turut oleh pengguna selama [Penugasan FedRAMP: lima belas (15) menit]; dan (b.) Secara otomatis [Pilihan: mengunci akun/simpul untuk [Penugasan FedRAMP: minimal tiga (3) jam atau hingga dibuka kuncinya oleh administrator]; menunda permintaan masuk berikutnya sesuai dengan [Penugasan: algoritma penundaan yang ditentukan organisasi]] ketika jumlah maksimum upaya yang tidak berhasil terlampaui.	Terapkan batas tidak lebih dari tiga upaya masuk gagal berturut-turut pada sumber daya yang disebarkan pelanggan dalam periode 15 menit. Kunci akun selama minimal tiga jam atau hingga dibuka oleh administrator. Aktifkan pengaturan penguncian cerdas kustom. Konfigurasikan ambang batas penguncian dan durasi penguncian dalam hitungan detik untuk menerapkan persyaratan ini. Penguncian cerdas Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra Mengelola nilai penguncian cerdas Microsoft Entra
Pemberitahuan Penggunaan Sistem AC-8 Sistem informasi: (a.) Menampilkan kepada pengguna [Penugasan: sistem yang ditentukan organisasi menggunakan pesan pemberitahuan atau banner (Penetapan FedRAMP: lihat Persyaratan dan Panduan tambahan)] sebelum memberikan akses ke sistem yang memberikan pemberitahuan privasi dan keamanan yang konsisten dengan undang-undang federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan panduan dan menyatakan bahwa: (1.) Pengguna mengakses sistem informasi Pemerintah AS; (2.) Penggunaan sistem informasi dapat dipantau, direkam, dan tunduk pada audit; (3.) Penggunaan sistem informasi yang tidak sah dilarang dan dikenakan hukuman pidana dan perdata; dan (4.) Penggunaan sistem informasi menunjukkan persetujuan untuk pemantauan dan perekaman; (b.) Mempertahankan pesan pemberitahuan atau banner di layar hingga pengguna mengakui kondisi penggunaan dan mengambil tindakan eksplisit untuk masuk atau mengakses sistem informasi lebih lanjut; dan (c.) Untuk sistem yang dapat diakses publik: (1.) Menampilkan informasi penggunaan sistem [Penugasan: kondisi yang ditentukan organisasi (Penetapan FedRAMP: lihat Persyaratan dan Panduan tambahan)], sebelum memberikan akses lebih lanjut; (2.) Menampilkan referensi, jika ada, untuk memantau, merekam, atau mengaudit yang konsisten dengan akomodasi privasi untuk sistem tersebut yang umumnya melarang aktivitas tersebut; dan (3.) Mencakup deskripsi penggunaan sistem yang sah. Persyaratan dan Panduan FedRAMP Tambahan AC-8: Persyaratan: Penyedia layanan harus menentukan elemen lingkungan cloud yang memerlukan kontrol Pemberitahuan Penggunaan Sistem. Elemen lingkungan cloud yang memerlukan Pemberitahuan Penggunaan Sistem disetujui dan diterima oleh JAB/AO. Persyaratan: Penyedia layanan akan menentukan bagaimana Pemberitahuan Penggunaan Sistem akan diverifikasi dan memberikan periodisitas pemeriksaan yang sesuai. Verifikasi dan periodisitas Pemberitahuan Penggunaan Sistem disetujui dan diterima oleh JAB/AO. Panduan: Jika dilakukan sebagai bagian dari pemeriksaan Garis Besar Konfigurasi, maka % item yang memerlukan pengaturan yang dicentang dan pemeriksaan lulus (atau gagal) dapat disediakan. Persyaratan: Jika tidak dilakukan sebagai bagian dari pemeriksaan Garis Besar Konfigurasi, maka harus ada perjanjian yang didokumentasikan tentang cara memberikan hasil verifikasi dan periodisitas verifikasi yang diperlukan oleh penyedia layanan. Perjanjian yang didokumentasikan tentang cara memberikan verifikasi hasil disetujui dan diterima oleh JAB/AO.	Menampilkan dan memerlukan pengenalan pengguna atas pemberitahuan privasi dan keamanan sebelum memberikan akses ke sistem informasi. Dengan ID Microsoft Entra, Anda dapat mengirimkan pesan pemberitahuan atau banner untuk semua aplikasi yang memerlukan dan merekam pengakuan sebelum memberikan akses. Anda dapat secara terperinci menargetkan kebijakan ketentuan penggunaan kepada pengguna tertentu (Anggota atau Tamu). Anda juga dapat menyesuaikannya per aplikasi melalui kebijakan Akses Bersyar. Ketentuan penggunaan Ketentuan penggunaan Microsoft Entra Menampilkan laporan siapa yang telah menerima dan menolak
Kontrol Sesi Bersamaan AC-10 Sistem informasi membatasi jumlah sesi bersamaan untuk setiap [Penugasan: akun dan/atau jenis akun yang ditentukan organisasi] ke [Penugasan FedRAMP: tiga (3) sesi untuk akses istimewa dan dua (2) sesi untuk akses non-istimewa].	Membatasi sesi bersamaan hingga tiga sesi untuk akses istimewa dan dua untuk akses non-istimewa. Saat ini, pengguna terhubung dari beberapa perangkat, terkadang secara bersamaan. Membatasi sesi bersamaan menyebabkan pengalaman pengguna yang terdegradasi dan memberikan nilai keamanan terbatas. Pendekatan yang lebih baik untuk mengatasi intent di balik kontrol ini adalah mengadopsi postur keamanan Zero Trust. Kondisi divalidasi secara eksplisit sebelum sesi dibuat dan terus divalidasi sepanjang masa sesi. Selain itu, gunakan kontrol kompensasi berikut. Gunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan pembatasan masuk pengguna di tingkat OS dengan solusi MDM seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid. Gunakan Privileged Identity Management untuk membatasi dan mengontrol akun istimewa lebih lanjut. Konfigurasikan penguncian akun pintar untuk upaya masuk yang tidak valid. Panduan implementasi Zero Trust Mengamankan identitas dengan Zero Trust Evaluasi akses berkelanjutan di ID Microsoft Entra Akses Bersyarat Apa itu Akses Bersyar di ID Microsoft Entra? Memerlukan perangkat ditandai sebagai sesuai Frekuensi masuk pengguna Kebijakan perangkat Pengaturan Kebijakan Grup kartu pintar lainnya dan kunci registri Gambaran umum Microsoft Endpoint Manager Sumber Apa itu Microsoft Entra Privileged Identity Management? Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra Lihat AC-12 untuk panduan evaluasi ulang sesi dan mitigasi risiko lainnya.
Kunci Sesi AC-11 Sistem informasi: (a) Mencegah akses lebih lanjut ke sistem dengan memulai kunci sesi setelah [Penugasan FedRAMP: lima belas (15) menit] tidak aktif atau setelah menerima permintaan dari pengguna; dan (b) Mempertahankan kunci sesi hingga pengguna membangun kembali akses menggunakan prosedur identifikasi dan autentikasi yang ditetapkan. AC-11(1) Sistem informasi menyembunyikan, melalui kunci sesi, informasi yang sebelumnya terlihat pada tampilan dengan gambar yang dapat dilihat publik.	Terapkan kunci sesi setelah periode tidak aktif selama 15 menit atau setelah menerima permintaan dari pengguna. Pertahankan kunci sesi hingga pengguna mengautentikasi ulang. Sembunyikan informasi sebelumnya yang terlihat ketika kunci sesi diinisiasi. Terapkan kunci perangkat dengan menggunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan kunci perangkat di tingkat OS dengan solusi MDM seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid. Untuk perangkat tidak terkelola, konfigurasikan pengaturan Frekuensi Masuk untuk memaksa pengguna untuk mengautentikasi ulang. Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Frekuensi masuk pengguna Kebijakan MDM Mengonfigurasi perangkat untuk menit maksimum tidak aktif sampai layar terkunci (Android, iOS, Windows 10).
Penghentian Sesi AC-12 Sistem informasi secara otomatis mengakhiri sesi pengguna setelah [Penugasan: kondisi yang ditentukan organisasi atau memicu peristiwa yang memerlukan pemutusan sesi].	Secara otomatis mengakhiri sesi pengguna saat kondisi organisasi yang ditentukan atau peristiwa pemicu terjadi. Terapkan evaluasi ulang sesi pengguna otomatis dengan fitur Microsoft Entra seperti Akses Bersyarkat berbasis risiko dan evaluasi akses berkelanjutan. Anda dapat menerapkan kondisi tidak aktif di tingkat perangkat seperti yang dijelaskan di AC-11. Sumber Akses Bersyarat Berbasis Risiko Masuk Akses Bersyarat berbasis risiko pengguna Evaluasi akses berkelanjutan
AC-12(1) Sistem informasi: (a.) Menyediakan kemampuan keluar untuk sesi komunikasi yang dimulai pengguna setiap kali autentikasi digunakan untuk mendapatkan akses ke [Penugasan: sumber daya informasi yang ditentukan organisasi]; dan (b.) Menampilkan pesan keluar eksplisit kepada pengguna yang menunjukkan penghentian yang andal dari sesi komunikasi terautentikasi. Persyaratan dan Panduan FedRAMP Tambahan AC-8: Panduan: Pengujian untuk fungsionalitas keluar (OTG-SESS-006) Pengujian untuk fungsionalitas keluar	Memberikan kemampuan keluar untuk semua sesi dan menampilkan pesan keluar eksplisit. Semua antarmuka web yang dimunculkan ID Microsoft Entra menyediakan kemampuan keluar untuk sesi komunikasi yang dimulai pengguna. Saat aplikasi SAML terintegrasi dengan MICROSOFT Entra ID, terapkan akses menyeluruh. Kemampuan keluar Saat pengguna memilih Keluar di mana saja, semua token yang dikeluarkan saat ini dicabut. Menampilkan pesan ID Microsoft Entra secara otomatis menampilkan pesan setelah keluar yang dimulai pengguna. Sumber Menampilkan dan mencari aktivitas masuk terbaru Anda dari halaman Masuk Saya Protokol SSO SAML
Ac-20 Penggunaan Sistem Informasi Eksternal Organisasi menetapkan syarat dan ketentuan, konsisten dengan hubungan kepercayaan apa pun yang didirikan dengan organisasi lain yang memiliki, mengoperasikan, dan/atau memelihara sistem informasi eksternal, memungkinkan individu yang berwenang untuk: (a.) Mengakses sistem informasi dari sistem informasi eksternal; dan (b.) Memproses, menyimpan, atau mengirimkan informasi yang dikontrol organisasi menggunakan sistem informasi eksternal. AC-20(1) Organisasi mengizinkan individu yang berwenang untuk menggunakan sistem informasi eksternal untuk mengakses sistem informasi atau memproses, menyimpan, atau mengirimkan informasi yang dikontrol organisasi hanya ketika organisasi: (a.) Memverifikasi implementasi kontrol keamanan yang diperlukan pada sistem eksternal seperti yang ditentukan dalam kebijakan keamanan informasi organisasi dan rencana keamanan; atau (b.) Mempertahankan koneksi sistem informasi yang disetujui atau perjanjian pemrosesan dengan entitas organisasi yang menghosting sistem informasi eksternal.	Menetapkan syarat dan ketentuan yang memungkinkan individu yang berwenang mengakses sumber daya yang disebarkan pelanggan dari sistem informasi eksternal seperti perangkat tidak terkelola dan jaringan eksternal. Memerlukan penerimaan ketentuan penggunaan untuk pengguna yang berwenang yang mengakses sumber daya dari sistem eksternal. Terapkan kebijakan Akses Bersyar untuk membatasi akses dari sistem eksternal. Kebijakan Akses Bersyar mungkin diintegrasikan dengan aplikasi Defender untuk Cloud untuk menyediakan kontrol untuk aplikasi cloud dan lokal dari sistem eksternal. Manajemen aplikasi seluler di Intune dapat melindungi data organisasi di tingkat aplikasi, termasuk aplikasi kustom dan aplikasi penyimpanan, dari perangkat terkelola yang berinteraksi dengan sistem eksternal. Contohnya adalah mengakses layanan cloud. Anda dapat menggunakan manajemen aplikasi di perangkat milik organisasi dan perangkat pribadi. Syarat dan ketentuan Ketentuan penggunaan: ID Microsoft Entra Akses Bersyarat Memerlukan perangkat ditandai sebagai sesuai Kondisi dalam kebijakan Akses Bersyar: Status perangkat (pratinjau) Melindungi dengan Kontrol Aplikasi Akses Kondisional Aplikasi Pertahanan Microsoft untuk Cloud Ketentuan lokasi di Akses Bersyarat Microsoft Entra MDM Apa itu Microsoft Intune? Apa itu Aplikasi Pertahanan Microsoft untuk Cloud? Apa itu manajemen aplikasi Microsoft Intune? Sumber daya Mengintegrasikan aplikasi lokal dengan Pertahanan Microsoft untuk Cloud

ID dan deskripsi Kontrol FedRAMP

Panduan dan rekomendasi Microsoft Entra

MANAJEMEN AKUN AC-2

Organisasi
(a.) Mengidentifikasi dan memilih jenis akun sistem informasi berikut untuk mendukung misi organisasi/fungsi bisnis: [Penugasan: jenis akun sistem informasi yang ditentukan organisasi];

(b.) Menetapkan manajer akun untuk akun sistem informasi;

(c.) Menetapkan kondisi untuk keanggotaan grup dan peran;

(d.) Menentukan pengguna yang berwenang dari sistem informasi, keanggotaan grup dan peran, dan otorisasi akses (yaitu, hak istimewa) dan atribut lain (sebagaimana diperlukan) untuk setiap akun;

(e.) Memerlukan persetujuan oleh [Penugasan: personel atau peran yang ditentukan organisasi] untuk permintaan membuat akun sistem informasi;

(f.) Membuat, mengaktifkan, memodifikasi, menonaktifkan, dan menghapus akun sistem informasi sesuai dengan [Penugasan: prosedur atau kondisi yang ditentukan organisasi];

(g.) Memantau penggunaan akun sistem informasi;

(h.) Memberi tahu manajer akun:
(1.) Ketika akun tidak lagi diperlukan;
(2.) Ketika pengguna dihentikan atau ditransfer; dan
(3.) Ketika penggunaan sistem informasi individu atau perubahan yang perlu diketahui;

(i.) Mengotorisasi akses ke sistem informasi berdasarkan:
(1.) Otorisasi akses yang valid;
(2.) Penggunaan sistem yang dimaksudkan; dan
(3.) Atribut lain sebagaimana diperlukan oleh organisasi atau misi/fungsi bisnis terkait;

(j.) Meninjau akun untuk kepatuhan terhadap persyaratan manajemen akun [Penugasan FedRAMP: bulanan untuk akses istimewa, setiap enam (6) bulan untuk akses non-istimewa]; dan

(k.) Menetapkan proses untuk menerbitkan kembali kredensial akun bersama/grup (jika disebarkan) saat individu dihapus dari grup.

Terapkan manajemen siklus hidup akun untuk akun yang dikontrol pelanggan. Pantau penggunaan akun dan beritahu manajer akun tentang peristiwa siklus hidup akun. Tinjau akun untuk kepatuhan terhadap persyaratan manajemen akun, setiap bulan untuk akses istimewa dan setiap enam bulan untuk akses tanpa hak istimewa.

Gunakan ID Microsoft Entra untuk memprovisikan akun dari sistem SDM eksternal, Active Directory lokal, atau langsung di cloud. Semua operasi siklus hidup akun diaudit dalam log audit Microsoft Entra. Anda dapat mengumpulkan dan menganalisis log dengan menggunakan solusi Security Information and Event Management (SIEM) seperti Microsoft Sentinel. Atau, Anda dapat menggunakan Azure Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga untuk mengaktifkan pemantauan dan pemberitahuan. Gunakan pengelolaan pemberian hak Microsoft Entra dengan tinjauan akses untuk memastikan status kepatuhan akun.

Akun provisi

Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra

Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi

Menambahkan atau menghapus pengguna menggunakan Microsoft Entra ID

Memantau akun

Laporan aktivitas audit di pusat admin Microsoft Entra

Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel

Tutorial - Streaming log ke hub peristiwa Azure

Meninjau akun

Apa itu pengelolaan pemberian izin Microsoft Entra?

Membuat tinjauan akses paket akses di pengelolaan pemberian hak Microsoft Entra

Meninjau akses paket akses di pengelolaan pemberian hak Microsoft Entra

Sumber

Izin peran administrator di Microsoft Entra ID

Grup Dinamis di ID Microsoft Entra

AC-2(1)
Organisasi ini menggunakan mekanisme otomatis untuk mendukung manajemen akun sistem informasi.

Menggunakan mekanisme otomatis untuk mendukung manajemen akun yang dikontrol pelanggan.

Mengonfigurasi provisi akun yang dikontrol pelanggan secara otomatis dari sistem HR eksternal atau Direktori Aktif lokal. Untuk aplikasi yang mendukung provisi aplikasi, konfigurasikan ID Microsoft Entra untuk membuat identitas dan peran pengguna secara otomatis dalam aplikasi perangkat lunak cloud sebagai solusi (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah. Untuk memudahkan pemantauan penggunaan akun, Anda dapat melakukan streaming log Microsoft Entra ID Protection, yang menunjukkan pengguna berisiko, proses masuk berisiko, dan deteksi risiko, dan log audit langsung ke Microsoft Sentinel atau Azure Event Hubs.

Provisikan

Merencanakan aplikasi HR cloud ke provisi pengguna Microsoft Entra

Sinkronisasi Microsoft Entra Connect: Memahami dan menyesuaikan sinkronisasi

Apa itu provisi pengguna aplikasi SaaS otomatis di ID Microsoft Entra?

Tutorial integrasi aplikasi SaaS untuk digunakan dengan MICROSOFT Entra ID

Memantau dan mengaudit

Menyelidiki risiko

Laporan aktivitas audit di pusat admin Microsoft Entra

Apa itu Microsoft Sentinel?

Microsoft Sentinel: Menyambungkan data dari ID Microsoft Entra

Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure

AC-2(2)
Sistem informasi secara otomatis [Pemilihan FedRAMP: menonaktifkan] akun sementara dan darurat setelah [Penugasan FedRAMP: 24 jam dari penggunaan terakhir].

AC-02(3)
Sistem informasi secara otomatis menonaktifkan akun tidak aktif setelah [Penetapan FedRAMP: tiga puluh lima (35) hari untuk akun pengguna].

AC-2 (3) Persyaratan dan Panduan FedRAMP Tambahan:
Persyaratan: Penyedia layanan menentukan periode waktu untuk akun non-pengguna (misalnya, akun yang terkait dengan perangkat). Periode waktu disetujui dan diterima oleh JAB/AO. Di mana manajemen pengguna adalah fungsi layanan, laporan aktivitas pengguna konsumen harus tersedia.

Menggunakan mekanisme otomatis untuk mendukung penghapusan atau penonaktifan akun sementara dan darurat secara otomatis setelah 24 jam dari penggunaan terakhir dan semua akun yang dikontrol pelanggan setelah 35 hari tidak aktif.

Terapkan otomatisasi manajemen akun dengan Microsoft Graph dan Microsoft Graph PowerShell. Gunakan Microsoft Graph untuk memantau aktivitas masuk dan Microsoft Graph PowerShell untuk mengambil tindakan pada akun dalam jangka waktu yang diperlukan.

Menentukan akun tidak aktif

Mengelola akun pengguna yang tidak aktif di ID Microsoft Entra

Mengelola perangkat kedaluarsa di ID Microsoft Entra

Menghapus atau menonaktifkan akun

Bekerja dengan pengguna di Microsoft Graph

Mendapatkan pengguna

Memperbarui pengguna

Menghapus pengguna

Bekerja dengan perangkat di Microsoft Graph

Mendapatkan perangkat

Memperbarui perangkat

Menghapus perangkat

Lihat, dokumentasi Microsoft Graph PowerShell

AC-2(4)
Sistem informasi secara otomatis mengaudit pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan menghapus tindakan, dan memberi tahu [Penugasan FedRAMP: organisasi dan/atau pemilik sistem penyedia layanan].

Menerapkan sistem audit dan pemberitahuan otomatis untuk siklus hidup pengelolaan akun yang dikontrol pelanggan.

Semua operasi siklus hidup akun, seperti pembuatan akun, modifikasi, mengaktifkan, menonaktifkan, dan tindakan penghapusan, diaudit dalam log audit Azure. Anda dapat melakukan streaming log langsung ke Microsoft Sentinel atau Azure Event Hubs untuk membantu pemberitahuan.

Audit

Laporan aktivitas audit di pusat admin Microsoft Entra

Microsoft Sentinel: Menyambungkan data dari ID Microsoft Entra

Pemberitahuan

Apa itu Microsoft Sentinel?

Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure

AC-2(5)
Organisasi mengharuskan pengguna keluar ketika [Penetapan FedRAMP: tidak aktif diantisipasi melebihi lima belas (15) menit].

Ac-2 (5) Persyaratan dan Panduan FedRAMP Tambahan:
Panduan: Harus menggunakan jangka waktu yang lebih pendek daripada AC-12

Menerapkan keluar dari perangkat setelah periode 15 menit tidak aktif.

Terapkan kunci perangkat dengan menggunakan kebijakan Akses Bersyar yang membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan kunci perangkat di tingkat OS dengan solusi manajemen perangkat bergerak (MDM) seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid. Untuk perangkat tidak terkelola, konfigurasikan pengaturan Frekuensi Masuk untuk memaksa pengguna untuk mengautentikasi ulang.

Akses Bersyarat

Memerlukan perangkat ditandai sebagai sesuai

Frekuensi masuk pengguna

Kebijakan MDM

Mengonfigurasi perangkat untuk menit maksimum tidak aktif sampai layar terkunci dan memerlukan kata sandi untuk membuka kunci (Android, iOS, Windows 10).

AC-2(7)

Organisasi:
(a.) Menetapkan dan mengelola akun pengguna istimewa sesuai dengan skema akses berbasis peran yang mengatur akses dan hak istimewa sistem informasi yang diizinkan ke dalam peran;
(b) Memantau penetapan peran istimewa; dan
(c) Mengambil [Penetapan FedRAMP: menonaktifkan/mencabut akses dalam jangka waktu yang ditentukan organisasi] ketika penetapan peran istimewa tidak lagi sesuai.

Kelola dan pantau penetapan peran istimewa dengan mengikuti skema akses berbasis peran untuk akun yang dikontrol pelanggan. Nonaktifkan atau cabut akses hak istimewa untuk akun jika sudah tidak lagi sesuai.

Terapkan Microsoft Entra Privileged Identity Management dengan tinjauan akses untuk peran istimewa di ID Microsoft Entra untuk memantau penetapan peran dan menghapus penetapan peran jika tidak lagi sesuai. Anda dapat melakukan streaming log audit langsung ke Microsoft Sentinel atau Azure Event Hubs untuk membantu pemantauan.

Mengelola

Apa itu Microsoft Entra Privileged Identity Management?

Durasi maksimum aktivasi

Monitor

Membuat tinjauan akses peran Microsoft Entra di Privileged Identity Management

Melihat riwayat audit untuk peran Microsoft Entra dalam Privileged Identity Management

Laporan aktivitas audit di pusat admin Microsoft Entra

Apa itu Microsoft Sentinel?

Menyambungkan data dari ID Microsoft Entra

Tutorial: Mengalirkan log Microsoft Entra ke hub peristiwa Azure

AC-2(11)
Sistem informasi memberlakukan [Penugasan: keadaan dan/atau kondisi penggunaan yang ditentukan organisasi] untuk [Penugasan: akun sistem informasi yang ditentukan organisasi].

Menerapkan penggunaan akun yang dikontrol pelanggan untuk memenuhi kondisi atau keadaan yang ditentukan pelanggan.

Buat kebijakan Akses Bersyar untuk menerapkan keputusan kontrol akses di seluruh pengguna dan perangkat.

Akses Bersyarat

Membuat kebijakan Akses Bersyarat

Apa yang dimaksud dengan Akses Bersyarat?

AC-2(12)

Organisasi:
(a) Memantau akun sistem informasi untuk [Penugasan: penggunaan atipikal yang ditentukan organisasi]; dan
(b) Melaporkan penggunaan atipikal akun sistem informasi ke [Penetapan FedRAMP: minimal, ISSO dan/atau peran serupa dalam organisasi].

Ac-2 (12) (a) dan AC-2 (12) (b) Persyaratan dan Panduan FedRAMP Tambahan:
Diperlukan untuk akun istimewa.

Memantau dan melaporkan akun yang dikontrol pelanggan dengan akses istimewa untuk penggunaan tidak umum.

Untuk bantuan terkait pemantauan penggunaan atipikal, Anda dapat melakukan streaming log Microsoft Entra ID Protection, yang menunjukkan pengguna berisiko, proses masuk berisiko, dan deteksi risiko, dan log audit, yang membantu korelasi dengan penetapan hak istimewa, langsung ke solusi SIEM seperti Microsoft Sentinel. Anda juga dapat menggunakan Event Hubs untuk mengintegrasikan log dengan solusi SIEM pihak ketiga.

Perlindungan ID

Apa yang dimaksud dengan Microsoft Entra ID Protection?

Menyelidiki risiko

Pemberitahuan Perlindungan ID Microsoft Entra

Memantau akun

Apa itu Microsoft Sentinel?

Laporan aktivitas audit di pusat admin Microsoft Entra

Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel

Tutorial - Streaming log ke hub peristiwa Azure

AC-2(13)
Organisasi menonaktifkan akun pengguna yang menimbulkan risiko signifikan dalam [Penugasan FedRAMP: satu (1) jam] penemuan risiko.

Nonaktifkan akun pengguna yang dikontrol pelanggan yang menimbulkan risiko signifikan dalam satu jam.

Di Microsoft Entra ID Protection, konfigurasikan dan aktifkan kebijakan risiko pengguna dengan ambang yang diatur ke Tinggi. Buat kebijakan Akses Bersyarat untuk memblokir akses bagi pengguna berisiko dan proses masuk berisiko. Konfigurasikan kebijakan risiko untuk memungkinkan pengguna memulihkan diri dan membuka blokir upaya masuk berikutnya.

Perlindungan ID

Apa yang dimaksud dengan Microsoft Entra ID Protection?

Akses Bersyarat

Apa yang dimaksud dengan Akses Bersyarat?

Membuat kebijakan Akses Bersyarat

Akses Bersyar: Akses Bersyarah berbasis risiko pengguna

Akses Bersyarat: Akses Bersyarat berbasis risiko masuk

Remediasi mandiri dengan kebijakan risiko

AC-6(7)

Organisasi:
(a.) Ulasan [Penugasan FedRAMP: minimal, setiap tahun] hak istimewa yang ditetapkan ke [Penugasan FedRAMP: semua pengguna dengan hak istimewa] untuk memvalidasi kebutuhan akan hak istimewa tersebut; dan
(b.) Menetapkan ulang atau menghapus hak istimewa, jika perlu, untuk mencerminkan misi organisasi/kebutuhan bisnis dengan benar.

Tinjau dan validasi semua pengguna dengan akses istimewa setiap tahun. Pastikan hak istimewa ditetapkan kembali (atau dihapus jika perlu) untuk menyesuaikan misi organisasi dan persyaratan bisnis.

Gunakan pengelolaan pemberian hak Microsoft Entra dengan tinjauan akses untuk pengguna istimewa untuk memverifikasi apakah akses istimewa diperlukan.

Tinjauan akses

Apa itu pengelolaan pemberian izin Microsoft Entra?

Membuat tinjauan akses peran Microsoft Entra di Privileged Identity Management

Meninjau akses paket akses di pengelolaan pemberian hak Microsoft Entra

Upaya Masuk AC-7 Gagal

Organisasi:
(a.) Memberlakukan batas [Penugasan FedRAMP: tidak lebih dari tiga (3)] upaya masuk tidak valid berturut-turut oleh pengguna selama [Penugasan FedRAMP: lima belas (15) menit]; dan
(b.) Secara otomatis [Pilihan: mengunci akun/simpul untuk [Penugasan FedRAMP: minimal tiga (3) jam atau hingga dibuka kuncinya oleh administrator]; menunda permintaan masuk berikutnya sesuai dengan [Penugasan: algoritma penundaan yang ditentukan organisasi]] ketika jumlah maksimum upaya yang tidak berhasil terlampaui.

Terapkan batas tidak lebih dari tiga upaya masuk gagal berturut-turut pada sumber daya yang disebarkan pelanggan dalam periode 15 menit. Kunci akun selama minimal tiga jam atau hingga dibuka oleh administrator.

Aktifkan pengaturan penguncian cerdas kustom. Konfigurasikan ambang batas penguncian dan durasi penguncian dalam hitungan detik untuk menerapkan persyaratan ini.

Penguncian cerdas

Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra

Mengelola nilai penguncian cerdas Microsoft Entra

Pemberitahuan Penggunaan Sistem AC-8

Sistem informasi:
(a.) Menampilkan kepada pengguna [Penugasan: sistem yang ditentukan organisasi menggunakan pesan pemberitahuan atau banner (Penetapan FedRAMP: lihat Persyaratan dan Panduan tambahan)] sebelum memberikan akses ke sistem yang memberikan pemberitahuan privasi dan keamanan yang konsisten dengan undang-undang federal yang berlaku, Perintah Eksekutif, arahan, kebijakan, peraturan, standar, dan panduan dan menyatakan bahwa:
(1.) Pengguna mengakses sistem informasi Pemerintah AS;
(2.) Penggunaan sistem informasi dapat dipantau, direkam, dan tunduk pada audit;
(3.) Penggunaan sistem informasi yang tidak sah dilarang dan dikenakan hukuman pidana dan perdata; dan
(4.) Penggunaan sistem informasi menunjukkan persetujuan untuk pemantauan dan perekaman;

(b.) Mempertahankan pesan pemberitahuan atau banner di layar hingga pengguna mengakui kondisi penggunaan dan mengambil tindakan eksplisit untuk masuk atau mengakses sistem informasi lebih lanjut; dan

(c.) Untuk sistem yang dapat diakses publik:
(1.) Menampilkan informasi penggunaan sistem [Penugasan: kondisi yang ditentukan organisasi (Penetapan FedRAMP: lihat Persyaratan dan Panduan tambahan)], sebelum memberikan akses lebih lanjut;
(2.) Menampilkan referensi, jika ada, untuk memantau, merekam, atau mengaudit yang konsisten dengan akomodasi privasi untuk sistem tersebut yang umumnya melarang aktivitas tersebut; dan
(3.) Mencakup deskripsi penggunaan sistem yang sah.

Persyaratan dan Panduan FedRAMP Tambahan AC-8:
Persyaratan: Penyedia layanan harus menentukan elemen lingkungan cloud yang memerlukan kontrol Pemberitahuan Penggunaan Sistem. Elemen lingkungan cloud yang memerlukan Pemberitahuan Penggunaan Sistem disetujui dan diterima oleh JAB/AO.
Persyaratan: Penyedia layanan akan menentukan bagaimana Pemberitahuan Penggunaan Sistem akan diverifikasi dan memberikan periodisitas pemeriksaan yang sesuai. Verifikasi dan periodisitas Pemberitahuan Penggunaan Sistem disetujui dan diterima oleh JAB/AO.
Panduan: Jika dilakukan sebagai bagian dari pemeriksaan Garis Besar Konfigurasi, maka % item yang memerlukan pengaturan yang dicentang dan pemeriksaan lulus (atau gagal) dapat disediakan.
Persyaratan: Jika tidak dilakukan sebagai bagian dari pemeriksaan Garis Besar Konfigurasi, maka harus ada perjanjian yang didokumentasikan tentang cara memberikan hasil verifikasi dan periodisitas verifikasi yang diperlukan oleh penyedia layanan. Perjanjian yang didokumentasikan tentang cara memberikan verifikasi hasil disetujui dan diterima oleh JAB/AO.

Menampilkan dan memerlukan pengenalan pengguna atas pemberitahuan privasi dan keamanan sebelum memberikan akses ke sistem informasi.

Dengan ID Microsoft Entra, Anda dapat mengirimkan pesan pemberitahuan atau banner untuk semua aplikasi yang memerlukan dan merekam pengakuan sebelum memberikan akses. Anda dapat secara terperinci menargetkan kebijakan ketentuan penggunaan kepada pengguna tertentu (Anggota atau Tamu). Anda juga dapat menyesuaikannya per aplikasi melalui kebijakan Akses Bersyar.

Ketentuan penggunaan

Ketentuan penggunaan Microsoft Entra

Menampilkan laporan siapa yang telah menerima dan menolak

Kontrol Sesi Bersamaan AC-10
Sistem informasi membatasi jumlah sesi bersamaan untuk setiap [Penugasan: akun dan/atau jenis akun yang ditentukan organisasi] ke [Penugasan FedRAMP: tiga (3) sesi untuk akses istimewa dan dua (2) sesi untuk akses non-istimewa].

Membatasi sesi bersamaan hingga tiga sesi untuk akses istimewa dan dua untuk akses non-istimewa.

Saat ini, pengguna terhubung dari beberapa perangkat, terkadang secara bersamaan. Membatasi sesi bersamaan menyebabkan pengalaman pengguna yang terdegradasi dan memberikan nilai keamanan terbatas. Pendekatan yang lebih baik untuk mengatasi intent di balik kontrol ini adalah mengadopsi postur keamanan Zero Trust. Kondisi divalidasi secara eksplisit sebelum sesi dibuat dan terus divalidasi sepanjang masa sesi.

Selain itu, gunakan kontrol kompensasi berikut.

Gunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan pembatasan masuk pengguna di tingkat OS dengan solusi MDM seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid.

Gunakan Privileged Identity Management untuk membatasi dan mengontrol akun istimewa lebih lanjut.

Konfigurasikan penguncian akun pintar untuk upaya masuk yang tidak valid.

Panduan implementasi

Zero Trust

Mengamankan identitas dengan Zero Trust

Evaluasi akses berkelanjutan di ID Microsoft Entra

Akses Bersyarat

Apa itu Akses Bersyar di ID Microsoft Entra?

Memerlukan perangkat ditandai sebagai sesuai

Frekuensi masuk pengguna

Kebijakan perangkat

Pengaturan Kebijakan Grup kartu pintar lainnya dan kunci registri

Gambaran umum Microsoft Endpoint Manager

Sumber

Apa itu Microsoft Entra Privileged Identity Management?

Melindungi akun pengguna dari serangan dengan penguncian cerdas Microsoft Entra

Lihat AC-12 untuk panduan evaluasi ulang sesi dan mitigasi risiko lainnya.

Kunci Sesi AC-11
Sistem informasi:
(a) Mencegah akses lebih lanjut ke sistem dengan memulai kunci sesi setelah [Penugasan FedRAMP: lima belas (15) menit] tidak aktif atau setelah menerima permintaan dari pengguna; dan
(b) Mempertahankan kunci sesi hingga pengguna membangun kembali akses menggunakan prosedur identifikasi dan autentikasi yang ditetapkan.

AC-11(1)
Sistem informasi menyembunyikan, melalui kunci sesi, informasi yang sebelumnya terlihat pada tampilan dengan gambar yang dapat dilihat publik.

Terapkan kunci sesi setelah periode tidak aktif selama 15 menit atau setelah menerima permintaan dari pengguna. Pertahankan kunci sesi hingga pengguna mengautentikasi ulang. Sembunyikan informasi sebelumnya yang terlihat ketika kunci sesi diinisiasi.

Terapkan kunci perangkat dengan menggunakan kebijakan Akses Bersyar untuk membatasi akses ke perangkat yang sesuai. Konfigurasikan pengaturan kebijakan pada perangkat untuk memberlakukan kunci perangkat di tingkat OS dengan solusi MDM seperti Intune. Endpoint Manager atau objek kebijakan grup juga dapat dipertimbangkan dalam penyebaran hibrid. Untuk perangkat tidak terkelola, konfigurasikan pengaturan Frekuensi Masuk untuk memaksa pengguna untuk mengautentikasi ulang.

Akses Bersyarat

Memerlukan perangkat ditandai sebagai sesuai

Frekuensi masuk pengguna

Kebijakan MDM

Mengonfigurasi perangkat untuk menit maksimum tidak aktif sampai layar terkunci (Android, iOS, Windows 10).

Penghentian Sesi AC-12
Sistem informasi secara otomatis mengakhiri sesi pengguna setelah [Penugasan: kondisi yang ditentukan organisasi atau memicu peristiwa yang memerlukan pemutusan sesi].

Secara otomatis mengakhiri sesi pengguna saat kondisi organisasi yang ditentukan atau peristiwa pemicu terjadi.

Terapkan evaluasi ulang sesi pengguna otomatis dengan fitur Microsoft Entra seperti Akses Bersyarkat berbasis risiko dan evaluasi akses berkelanjutan. Anda dapat menerapkan kondisi tidak aktif di tingkat perangkat seperti yang dijelaskan di AC-11.

Sumber

Akses Bersyarat Berbasis Risiko Masuk

Akses Bersyarat berbasis risiko pengguna

Evaluasi akses berkelanjutan

AC-12(1)
Sistem informasi:
(a.) Menyediakan kemampuan keluar untuk sesi komunikasi yang dimulai pengguna setiap kali autentikasi digunakan untuk mendapatkan akses ke [Penugasan: sumber daya informasi yang ditentukan organisasi]; dan
(b.) Menampilkan pesan keluar eksplisit kepada pengguna yang menunjukkan penghentian yang andal dari sesi komunikasi terautentikasi.

Persyaratan dan Panduan FedRAMP Tambahan AC-8:
Panduan: Pengujian untuk fungsionalitas keluar (OTG-SESS-006) Pengujian untuk fungsionalitas keluar

Memberikan kemampuan keluar untuk semua sesi dan menampilkan pesan keluar eksplisit.

Semua antarmuka web yang dimunculkan ID Microsoft Entra menyediakan kemampuan keluar untuk sesi komunikasi yang dimulai pengguna. Saat aplikasi SAML terintegrasi dengan MICROSOFT Entra ID, terapkan akses menyeluruh.

Kemampuan keluar

Saat pengguna memilih Keluar di mana saja, semua token yang dikeluarkan saat ini dicabut.

Menampilkan pesan
ID Microsoft Entra secara otomatis menampilkan pesan setelah keluar yang dimulai pengguna.

Cuplikan layar yang menampilkan pesan kontrol akses.

Sumber

Menampilkan dan mencari aktivitas masuk terbaru Anda dari halaman Masuk Saya

Protokol SSO SAML

Ac-20 Penggunaan Sistem Informasi Eksternal
Organisasi menetapkan syarat dan ketentuan, konsisten dengan hubungan kepercayaan apa pun yang didirikan dengan organisasi lain yang memiliki, mengoperasikan, dan/atau memelihara sistem informasi eksternal, memungkinkan individu yang berwenang untuk:
(a.) Mengakses sistem informasi dari sistem informasi eksternal; dan
(b.) Memproses, menyimpan, atau mengirimkan informasi yang dikontrol organisasi menggunakan sistem informasi eksternal.

AC-20(1)
Organisasi mengizinkan individu yang berwenang untuk menggunakan sistem informasi eksternal untuk mengakses sistem informasi atau memproses, menyimpan, atau mengirimkan informasi yang dikontrol organisasi hanya ketika organisasi:
(a.) Memverifikasi implementasi kontrol keamanan yang diperlukan pada sistem eksternal seperti yang ditentukan dalam kebijakan keamanan informasi organisasi dan rencana keamanan; atau
(b.) Mempertahankan koneksi sistem informasi yang disetujui atau perjanjian pemrosesan dengan entitas organisasi yang menghosting sistem informasi eksternal.

Menetapkan syarat dan ketentuan yang memungkinkan individu yang berwenang mengakses sumber daya yang disebarkan pelanggan dari sistem informasi eksternal seperti perangkat tidak terkelola dan jaringan eksternal.

Memerlukan penerimaan ketentuan penggunaan untuk pengguna yang berwenang yang mengakses sumber daya dari sistem eksternal. Terapkan kebijakan Akses Bersyar untuk membatasi akses dari sistem eksternal. Kebijakan Akses Bersyar mungkin diintegrasikan dengan aplikasi Defender untuk Cloud untuk menyediakan kontrol untuk aplikasi cloud dan lokal dari sistem eksternal. Manajemen aplikasi seluler di Intune dapat melindungi data organisasi di tingkat aplikasi, termasuk aplikasi kustom dan aplikasi penyimpanan, dari perangkat terkelola yang berinteraksi dengan sistem eksternal. Contohnya adalah mengakses layanan cloud. Anda dapat menggunakan manajemen aplikasi di perangkat milik organisasi dan perangkat pribadi.

Syarat dan ketentuan

Ketentuan penggunaan: ID Microsoft Entra

Akses Bersyarat

Memerlukan perangkat ditandai sebagai sesuai

Kondisi dalam kebijakan Akses Bersyar: Status perangkat (pratinjau)

Melindungi dengan Kontrol Aplikasi Akses Kondisional Aplikasi Pertahanan Microsoft untuk Cloud

Ketentuan lokasi di Akses Bersyarat Microsoft Entra

MDM

Apa itu Microsoft Intune?

Apa itu Aplikasi Pertahanan Microsoft untuk Cloud?

Apa itu manajemen aplikasi Microsoft Intune?

Sumber daya