Memenuhi persyaratan otorisasi untuk memorandum 22-09
Seri artikel ini memiliki panduan untuk menggunakan ID Microsoft Entra sebagai sistem manajemen identitas terpusat saat menerapkan prinsip Zero Trust. Lihat, Us Office of Management and Budget (OMB) M 22-09 Memorandum untuk Kepala Departemen Eksekutif dan Badan.
Persyaratan memo adalah jenis penegakan dalam kebijakan autentikasi multifaktor, dan kontrol untuk perangkat, peran, atribut, dan manajemen akses istimewa.
Kontrol berbasis perangkat
Persyaratan memorandum 22-09 adalah setidaknya satu sinyal berbasis perangkat untuk keputusan otorisasi untuk mengakses sistem atau aplikasi. Menerapkan persyaratan dengan menggunakan Akses Bersyarat. Terapkan beberapa sinyal perangkat selama otorisasi. Lihat tabel berikut untuk sinyal dan persyaratan untuk mengambil sinyal.
| Sinyal | Pengambilan sinyal |
|---|---|
| Perangkat dikelola | Integrasi dengan Intune atau solusi manajemen perangkat seluler (MDM) lain yang mendukung integrasi. |
| Gabungan hibrida Microsoft Entra | Direktori Aktif mengelola perangkat, dan memenuhi syarat. |
| Perangkat sesuai | Integrasi dengan Intune atau solusi MDM lain yang mendukung integrasi. Lihat, Membuat kebijakan kepatuhan di Microsoft Intune. |
| Sinyal ancaman | Microsoft Defender untuk Titik Akhir dan alat deteksi dan respons titik akhir (EDR) lainnya memiliki ID Microsoft Entra dan integrasi Intune yang mengirim sinyal ancaman untuk menolak akses. Sinyal ancaman mendukung sinyal status yang sesuai. |
| Kebijakan akses lintas penyewa (pratinjau publik) | Memercayai sinyal perangkat dari perangkat di organisasi lain. |
Kontrol berbasis peran
Gunakan kontrol akses berbasis peran (RBAC) untuk menerapkan otorisasi melalui penetapan peran dalam cakupan tertentu. Misalnya, tetapkan akses dengan menggunakan fitur pengelolaan pemberian hak, termasuk paket akses dan tinjauan akses. Mengelola otorisasi dengan permintaan layanan mandiri dan menggunakan otomatisasi untuk mengelola siklus hidup. Misalnya, secara otomatis mengakhiri akses berdasarkan kriteria.
Selengkapnya:
- Apa itu pengelolaan pemberian hak?
- Membuat paket akses baru dalam pengelolaan pemberian hak
- Apa itu tinjauan akses?
Kontrol berbasis atribut
Kontrol akses berbasis atribut (ABAC) menggunakan metadata yang ditetapkan ke pengguna atau sumber daya untuk mengizinkan atau menolak akses selama autentikasi. Lihat bagian berikut untuk membuat otorisasi dengan menggunakan penegakan ABAC untuk data dan sumber daya melalui autentikasi.
Atribut yang ditetapkan untuk pengguna
Gunakan atribut yang ditetapkan untuk pengguna, disimpan di ID Microsoft Entra, untuk membuat otorisasi pengguna. Pengguna secara otomatis ditetapkan ke grup keanggotaan dinamis berdasarkan seperangkat aturan yang Anda tentukan selama pembuatan grup. Aturan menambahkan atau menghapus pengguna dari grup berdasarkan evaluasi aturan terhadap pengguna dan atributnya. Sebaiknya Pertahankan atribut dan jangan atur atribut statis pada hari pembuatan.
Pelajari selengkapnya: Membuat atau memperbarui grup dinamis di ID Microsoft Entra
Atribut yang ditetapkan ke data
Dengan MICROSOFT Entra ID, Anda dapat mengintegrasikan otorisasi ke data. Lihat bagian berikut untuk mengintegrasikan otorisasi. Anda dapat mengonfigurasi autentikasi dalam kebijakan Akses Bersyar: membatasi tindakan yang dilakukan pengguna dalam aplikasi atau pada data. Kebijakan autentikasi ini kemudian dipetakan di sumber data.
Sumber data bisa berupa file Microsoft Office seperti Word, Excel, atau situs SharePoint yang dipetakan ke autentikasi. Gunakan autentikasi yang ditetapkan ke data dalam aplikasi. Pendekatan ini memerlukan integrasi dengan kode aplikasi dan bagi pengembang untuk mengadopsi kemampuan. Gunakan integrasi autentikasi dengan Microsoft Defender untuk Cloud Apps untuk mengontrol tindakan yang diambil pada data melalui kontrol sesi.
Gabungkan grup keanggotaan dinamis dengan konteks autentikasi untuk mengontrol pemetaan akses pengguna antara data dan atribut pengguna.
Selengkapnya:
- Akses Bersyarat: Aplikasi, tindakan, dan konteks autentikasi cloud
- Panduan pengembang terkait konteks autentikasi Akses Bersyarat
- Kebijakan sesi
Atribut yang ditetapkan ke sumber daya
Azure menyertakan kontrol akses berbasis atribut (Azure ABAC) untuk penyimpanan. Tetapkan tag metadata pada data yang disimpan di akun Azure Blob Storage. Tetapkan metadata kepada pengguna dengan menggunakan penetapan peran untuk memberikan akses.
Pelajari selengkapnya: Apa itu kontrol akses berbasis atribut Azure?
Manajemen akses istimewa
Memo ini mengutip inefisiensi penggunaan alat manajemen akses istimewa dengan kredensial ephemeral faktor tunggal untuk mengakses sistem. Teknologi ini termasuk brankas kata sandi yang menerima masuk autentikasi multifaktor untuk admin. Alat-alat ini menghasilkan kata sandi untuk akun alternatif untuk mengakses sistem. Akses sistem terjadi dengan satu faktor.
Alat Microsoft menerapkan Privileged Identity Management (PIM) untuk sistem istimewa dengan ID Microsoft Entra sebagai sistem manajemen identitas pusat. Terapkan autentikasi multifaktor untuk sebagian besar sistem istimewa yang merupakan aplikasi, elemen infrastruktur, atau perangkat.
Gunakan PIM untuk peran istimewa, saat diimplementasikan dengan identitas Microsoft Entra. Identifikasi sistem istimewa yang memerlukan perlindungan untuk mencegah gerakan lateral.
Selengkapnya:
- Apa itu Microsoft Entra Privileged Identity Management?
- Merencanakan penyebaran Privileged Identity Management