Condividi tramite


Configurare i controlli di accesso alle identità per soddisfare il livello di impatto elevato di FedRAMP

Il controllo di accesso è una parte importante del raggiungimento di un livello di impatto elevato di FedRAMP (Federal Risk and Authorization Management Program ).

L'elenco seguente dei controlli e dei miglioramenti del controllo nella famiglia di controllo di accesso (AC) potrebbe richiedere la configurazione nel tenant di Microsoft Entra.

Famiglia del controllo Descrizione
AC-2 Gestione account
AC-6 Privilegi minimi
AC-7 Tentativi di accesso non riusciti
AC-8 Notifica dell'uso del sistema
AC-10 Controllo sessione simultaneo
AC-11 Blocco sessione
AC-12 Terminazione della sessione
AC-20 Uso di sistemi informativi esterni

Ogni riga della tabella seguente fornisce indicazioni prescrittive che consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise per il controllo o il miglioramento del controllo.

Configurazioni

ID e descrizione del controllo FedRAMP Indicazioni e consigli per Microsoft Entra
GESTIONE ACCOUNT AC-2

L'organizzazione
(a.) Identifica e seleziona i tipi di account del sistema informativo seguenti per supportare le missioni organizzative e le funzioni aziendali: [assegnazione: tipi di account del sistema informativo definiti dall'organizzazione];

(b.) Assegna i responsabili degli account per gli account del sistema informativo;

(c.) Stabilisce le condizioni per l'appartenenza a gruppi e ruoli;

(d.) Specifica gli utenti autorizzati del sistema informativo, l'appartenenza a gruppi e ruoli e le autorizzazioni di accesso (ad esempio, privilegi) e altri attributi (in base alle esigenze) per ogni account;

(e.) Richiede approvazioni per [assegnazione: personale o ruoli definiti dall'organizzazione] per le richieste di creazione di account del sistema informativo;

(f.) Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in base a [assegnazione: procedure o condizioni definite dall'organizzazione];

(g.) Monitora l'uso degli account del sistema informativo;

(h.) Notifica ai responsabili degli account:
(1.) Quando gli account non sono più necessari;
(2.) Quando gli utenti vengono terminati o trasferiti; E
(3.) Quando l'utilizzo o la necessità di conoscere i singoli sistemi informativi cambia;

(i.) Autorizza l'accesso al sistema informativo in base a:
(1.) Autorizzazione di accesso valida;
(2.) Utilizzo previsto del sistema; E
(3.) Altri attributi richiesti dall'organizzazione o dalle funzioni aziendali/missioni associate;

(j.) Verifica la conformità ai requisiti di gestione degli account [Assegnazione FedRAMP: mensile per l'accesso con privilegi, ogni sei (6) mesi per l'accesso senza privilegi]; e

(k.) Stabilisce un processo per la riemissione delle credenziali dell'account condiviso/gruppo (se distribuito) quando i singoli utenti vengono rimossi dal gruppo.

Implementare la gestione del ciclo di vita degli account per gli account controllati dal cliente. Monitorare l'uso degli account e notificare agli account manager gli eventi del ciclo di vita degli account. Esaminare gli account per la conformità ai requisiti di gestione degli account ogni mese per l'accesso con privilegi e ogni sei mesi per l'accesso senza privilegi.

Usare Microsoft Entra ID per effettuare il provisioning di account da sistemi HR esterni, Active Directory locale o direttamente nel cloud. Tutte le operazioni del ciclo di vita dell'account vengono controllate nei log di controllo di Microsoft Entra. È possibile raccogliere e analizzare i log usando una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel. In alternativa, è possibile usare Hub eventi di Azure per integrare i log con soluzioni SIEM di terze parti per abilitare il monitoraggio e la notifica. Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per garantire lo stato di conformità degli account.

Effettuare il provisioning degli account

  • Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra
  • Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione
  • Aggiungi o elimina utenti utilizzando Microsoft Entra ID

    Monitorare gli account

  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Connessione dati di Microsoft Entra a Microsoft Sentinel
  • Esercitazione: Trasmettere i log a un hub eventi di Azure

    Rivedere i conti

  • Che cos'è la gestione entitlement di Microsoft Entra?
  • Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement di Microsoft Entra
  • Esaminare l'accesso di un pacchetto di accesso nella gestione entitlement di Microsoft Entra

    Risorse

  • Autorizzazioni del ruolo di amministratore in Microsoft Entra ID
  • Gruppi dinamici in Microsoft Entra ID

                         

  • AC-2(1)
    L'organizzazione usa meccanismi automatizzati per supportare la gestione degli account del sistema informativo.
    Usare meccanismi automatizzati per supportare la gestione degli account controllati dai clienti.

    Configurare il provisioning automatizzato degli account controllati dai clienti da sistemi HR esterni o Active Directory locale. Per le applicazioni che supportano il provisioning delle applicazioni, configurare Microsoft Entra ID per creare automaticamente identità utente e ruoli nelle applicazioni software cloud come soluzione (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per semplificare il monitoraggio dell'utilizzo degli account, è possibile trasmettere i log di Protezione ID Microsoft Entra, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo direttamente in Microsoft Sentinel o Hub eventi.

    Provisioning di

  • Pianificare il provisioning utenti di un'applicazione HR cloud in Microsoft Entra
  • Microsoft Entra Connessione Sync: Informazioni e personalizzazione della sincronizzazione
  • Che cos'è il provisioning utenti automatizzato delle app SaaS in Microsoft Entra ID?
  • Esercitazioni per l'integrazione di app SaaS da usare con Microsoft Entra ID

    Monitorare e controllare

  • Analizzare i rischi
  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Che cos'è Microsoft Azure Sentinel?
  • Microsoft Sentinel: Connessione dati da Microsoft Entra ID
  • Esercitazione: Trasmettere i log di Microsoft Entra a un hub eventi di Azure
  • AC-2(2)
    Il sistema informativo [FedRAMP Selection: disabilita] gli account temporanei e di emergenza dopo [Assegnazione FedRAMP: 24 ore dall'ultimo utilizzo].

    AC-02(3)
    Il sistema informativo disabilita automaticamente gli account inattivi dopo [Assegnazione FedRAMP: trentacinque (35) giorni per gli account utente].

    Ac-2 (3) requisiti e indicazioni aggiuntivi di FedRAMP:
    Requisito: il provider di servizi definisce il periodo di tempo per gli account non utente , ad esempio gli account associati ai dispositivi. I periodi di tempo vengono approvati e accettati da JAB/AO. Se la gestione degli utenti è una funzione del servizio, i report dell'attività degli utenti consumer devono essere resi disponibili.

    Usare meccanismi automatizzati per supportare la rimozione o la disabilitazione automatica degli account temporanei e di emergenza dopo 24 ore dall'ultimo utilizzo e tutti gli account controllati dai clienti dopo 35 giorni di inattività.

    Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell per intervenire sugli account nell'intervallo di tempo necessario.

    Determinare l'inattività

  • Gestire gli account utente inattivi in Microsoft Entra ID
  • Gestire i dispositivi non aggiornati in Microsoft Entra ID

    Rimuovere o disabilitare gli account

  • Uso degli utenti in Microsoft Graph
  • Ottenere un utente
  • Aggiornare l'utente
  • Eliminare un utente

    Usare i dispositivi in Microsoft Graph

  • Recupero dispositivo
  • Aggiornare il dispositivo
  • Eliminazione dispositivo

    Vedere la documentazione di Microsoft Graph PowerShell

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
  • AC-2(4)
    Il sistema informativo controlla automaticamente la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni e notifica [Assegnazione FedRAMP: proprietario del sistema dell'organizzazione e/o del provider di servizi].
    Implementare un sistema di controllo e notifica automatizzato per il ciclo di vita della gestione degli account controllati dai clienti.

    Tutte le operazioni del ciclo di vita dell'account, ad esempio la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni, vengono controllate all'interno dei log di controllo di Azure. È possibile trasmettere i log direttamente a Microsoft Sentinel o a Hub eventi per facilitare la notifica.

    Audit

  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Microsoft Sentinel: Connessione dati da Microsoft Entra ID

    Notifica

  • Che cos'è Microsoft Azure Sentinel?
  • Esercitazione: Trasmettere i log di Microsoft Entra a un hub eventi di Azure
  • AC-2(5)
    L'organizzazione richiede che gli utenti si disconnetteno quando [Assegnazione FedRAMP: l'inattività deve superare quindici (15) minuti].

    Ac-2 (5) requisiti e linee guida aggiuntivi di FedRAMP:
    Indicazioni: usare un intervallo di tempo più breve rispetto a AC-12

    Implementare la disconnessione del dispositivo dopo un periodo di inattività di 15 minuti.

    Implementare il blocco del dispositivo usando criteri di accesso condizionale che limitano l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni di gestione dei dispositivi mobili (MDM), ad esempio Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti.

    Accesso condizionale

  • Richiedi che i dispositivi siano contrassegnati come conformi
  • Frequenza di accesso utente

    Criteri MDM

  • Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo e richiede una password per sbloccare (Android, iOS, Windows 10).
  • AC-2(7)

    L'organizzazione:
    (a.) Stabilisce e amministra gli account utente con privilegi in base a uno schema di accesso basato sui ruoli che organizza l'accesso e i privilegi consentiti al sistema informativo nei ruoli;
    (b) Monitora le assegnazioni di ruolo con privilegi; e
    (c) Accetta [assegnazione FedRAMP: disabilita/revoca l'accesso entro un intervallo di tempo specificato dall'organizzazione] quando le assegnazioni di ruolo con privilegi non sono più appropriate.

    Amministrazione ister e monitorare le assegnazioni di ruolo con privilegi seguendo uno schema di accesso basato sui ruoli per gli account controllati dai clienti. Disabilitare o revocare l'accesso con privilegi per gli account quando non sono più appropriati.

    Implementare Microsoft Entra Privileged Identity Management con verifiche di accesso per i ruoli con privilegi in Microsoft Entra ID per monitorare le assegnazioni di ruolo e rimuovere le assegnazioni di ruolo quando non sono più appropriate. È possibile trasmettere i log di controllo direttamente in Microsoft Sentinel o in Hub eventi per facilitare il monitoraggio.

    Amministrare

  • Che cos'è Microsoft Entra Privileged Identity Management?
  • Durata massima attivazione

    Monitoraggio

  • Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management
  • Visualizzare la cronologia di controllo per i ruoli di Microsoft Entra in Privileged Identity Management
  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Che cos'è Microsoft Azure Sentinel?
  • Connessione dati da Microsoft Entra ID
  • Esercitazione: Trasmettere i log di Microsoft Entra a un hub eventi di Azure
  • AC-2(11)
    Il sistema informativo applica [assegnazione: circostanze definite dall'organizzazione e/o condizioni di utilizzo] per [assegnazione: account del sistema informativo definiti dall'organizzazione].
    Applicare l'utilizzo di account controllati dal cliente per soddisfare condizioni o circostanze definite dal cliente.

    Creare criteri di accesso condizionale per applicare decisioni di controllo di accesso tra utenti e dispositivi.

    Accesso condizionale

  • Creare criteri di accesso condizionale
  • Informazioni sull'accesso condizionale
  • AC-2(12)

    L'organizzazione:
    (a) Monitora gli account del sistema informativo per [assegnazione: uso atipico definito dall'organizzazione]; e
    (b) Segnala l'utilizzo atipico degli account del sistema informativo a [assegnazione FedRAMP: almeno, isso e/o ruolo simile all'interno dell'organizzazione].

    AC-2 (12) (a) e AC-2 (12) (b) Requisiti e indicazioni aggiuntivi per FedRAMP:
    Obbligatorio per gli account con privilegi.

    Monitorare e segnalare gli account controllati dai clienti con accesso con privilegi per l'utilizzo atipico.

    Per informazioni sul monitoraggio dell'utilizzo atipico, è possibile trasmettere i log di Identity Protection, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo, che consentono di correlare con l'assegnazione dei privilegi, direttamente in una soluzione SIEM come Microsoft Sentinel. È anche possibile usare Hub eventi per integrare i log con soluzioni SIEM di terze parti.

    Protezione dell'identità

  • Cos'è Microsoft Entra ID Protection?
  • Analizzare i rischi
  • Notifiche di Microsoft Entra ID Protection

    Monitorare gli account

  • Che cos'è Microsoft Azure Sentinel?
  • Report sulle attività di audit nell'interfaccia di amministrazione di Microsoft Entra
  • Connessione dati di Microsoft Entra a Microsoft Sentinel
  • Esercitazione: Trasmettere i log a un hub eventi di Azure
  • AC-2(13)
    L'organizzazione disabilita gli account degli utenti che presentano un rischio significativo in [Assegnazione FedRAMP: una (1) ora] di individuazione del rischio.
    Disabilitare gli account controllati dai clienti degli utenti che rappresentano un rischio significativo in un'ora.

    In Microsoft Entra ID Protection configurare e abilitare un criterio di rischio utente con la soglia impostata su Alto. Creare criteri di accesso condizionale per bloccare l'accesso per gli utenti rischiosi e gli accessi a rischio. Configurare i criteri di rischio per consentire agli utenti di correggere e sbloccare i tentativi di accesso successivi.

    Protezione dell'identità

  • Cos'è Microsoft Entra ID Protection?

    Accesso condizionale

  • Informazioni sull'accesso condizionale
  • Creare criteri di accesso condizionale
  • Accesso condizionale: accesso condizionale basato sul rischio utente
  • Accesso condizionale: accesso condizionale basato sul rischio di accesso
  • Correzione automatica con criteri di rischio
  • AC-6(7)

    L'organizzazione:
    (a.) Rivede [Assegnazione FedRAMP: almeno, ogni anno] i privilegi assegnati a [Assegnazione FedRAMP: tutti gli utenti con privilegi] per convalidare la necessità di tali privilegi;
    (b.) Riassegna o rimuove i privilegi, se necessario, per riflettere correttamente le esigenze aziendali/mission/business.

    Esaminare e convalidare tutti gli utenti con accesso con privilegi ogni anno. Assicurarsi che i privilegi vengano riassegnati (o rimossi, se necessario) per allinearsi ai requisiti aziendali e di mission aziendale.

    Usare la gestione entitlement di Microsoft Entra con verifiche di accesso per gli utenti con privilegi per verificare se è necessario l'accesso con privilegi.

    Verifiche di accesso

  • Che cos'è la gestione entitlement di Microsoft Entra?
  • Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management
  • Esaminare l'accesso di un pacchetto di accesso nella gestione entitlement di Microsoft Entra
  • Tentativi di accesso non riusciti ac-7

    L'organizzazione:
    (a.) Applica un limite di [assegnazione FedRAMP: non più di tre (3)] tentativi consecutivi di accesso non validi da parte di un utente durante un[assegnazione FedRAMP: quindici (15) minuti]; e
    (b.) Automaticamente [Selezione: blocca l'account/nodo per un [assegnazione FedRAMP: almeno tre (3) ore o fino a quando non viene sbloccato da un amministratore]; ritarda la richiesta di accesso successiva in base a [assegnazione: algoritmo di ritardo definito dall'organizzazione]] quando viene superato il numero massimo di tentativi non riusciti.

    Applicare un limite di non più di tre tentativi di accesso consecutivi non riusciti nelle risorse distribuite dal cliente entro un periodo di 15 minuti. Bloccare l'account per almeno tre ore o fino a quando non viene sbloccato da un amministratore.

    Abilitare le impostazioni di blocco intelligente personalizzate. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti.

    Blocco intelligente

  • Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra
  • Gestire i valori di blocco intelligente di Microsoft Entra
  • Notifica di utilizzo del sistema AC-8

    Il sistema informativo:
    (a.) Visualizza agli utenti [assegnazione: messaggio di notifica o banner definiti dal sistema definito dall'organizzazione (assegnazione FedRAMP: vedere requisiti e indicazioni aggiuntivi)] prima di concedere l'accesso al sistema che fornisce comunicazioni sulla privacy e sulla sicurezza coerenti con le leggi federali, gli ordini esecutivi, le direttive, i criteri, le normative, gli standard e le linee guida e gli stati che:
    (1.) Gli utenti accedono a un sistema informativo degli Stati Uniti;
    (2.) L'utilizzo del sistema informativo può essere monitorato, registrato e soggetto al controllo;
    (3.) L'uso non autorizzato del sistema informativo è vietato e soggetto a sanzioni penali e civili; E
    (4.) L'uso del sistema informativo indica il consenso al monitoraggio e alla registrazione;

    (b.) Mantiene il messaggio di notifica o il banner sullo schermo finché gli utenti non riconoscono le condizioni di utilizzo e non esemettono azioni esplicite per accedere o accedere ulteriormente al sistema informativo; E

    (c.) Per i sistemi accessibili pubblicamente:
    (1.) Visualizza le informazioni sull'uso del sistema [assegnazione: condizioni definite dall'organizzazione (assegnazione FedRAMP: vedere requisiti e indicazioni aggiuntivi)], prima di concedere ulteriore accesso;
    (2.) Visualizza i riferimenti, se presenti, al monitoraggio, alla registrazione o al controllo coerenti con le strutture di privacy per tali sistemi che in genere impediscono tali attività; E
    (3.) Include una descrizione degli usi autorizzati del sistema.

    Ac-8 requisiti e linee guida aggiuntivi per FedRAMP:
    Requisito: il provider di servizi deve determinare gli elementi dell'ambiente cloud che richiedono il controllo di notifica dell'uso del sistema. Gli elementi dell'ambiente cloud che richiedono la notifica di utilizzo del sistema vengono approvati e accettati da JAB/AO.
    Requisito: il provider di servizi determina come verrà verificata la notifica di utilizzo del sistema e fornirà la periodicità appropriata del controllo. La verifica e la periodicità delle notifiche d'uso del sistema vengono approvate e accettate dal JAB/AO.
    Indicazioni: se eseguita come parte di un controllo della linea di base di configurazione, è possibile specificare la percentuale di elementi che richiedono l'impostazione e che il controllo superato (o negativo) può essere fornito.
    Requisito: se non viene eseguito come parte di un controllo della linea di base di configurazione, è necessario disporre di un contratto documentato su come fornire i risultati della verifica e la periodicità necessaria della verifica da parte del provider di servizi. L'accordo documentato su come fornire la verifica dei risultati vengono approvati e accettati dal JAB/AO.

    Visualizzare e richiedere l'accettazione da parte dell'utente delle comunicazioni sulla privacy e sulla sicurezza prima di concedere l'accesso ai sistemi informativi.

    Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano il riconoscimento prima di concedere l'accesso. È possibile specificare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale.

    Condizioni per l'utilizzo

  • Condizioni per l'utilizzo di Microsoft Entra
  • Visualizzare il report di chi ha accettato e rifiutato
  • Controllo sessione simultaneo AC-10
    Il sistema informativo limita il numero di sessioni simultanee per ogni [assegnazione: account definito dall'organizzazione e/o tipo di account] a [assegnazione FedRAMP: tre (3) sessioni per l'accesso con privilegi e due (2) per l'accesso senza privilegi].
    Limitare le sessioni simultanee a tre sessioni per l'accesso con privilegi e due per l'accesso senza privilegi.

    Attualmente, gli utenti si connettono da più dispositivi, a volte contemporaneamente. La limitazione delle sessioni simultanee comporta un'esperienza utente danneggiata e offre un valore di sicurezza limitato. Un approccio migliore per affrontare lo scopo di questo controllo consiste nell'adottare un comportamento di sicurezza senza attendibilità. Le condizioni vengono convalidate in modo esplicito prima della creazione di una sessione e convalidate continuamente durante la durata di una sessione.

    Utilizzare inoltre i controlli di compensazione seguenti.

    Usare i criteri di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare restrizioni di accesso utente a livello di sistema operativo con soluzioni MDM come Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride.

    Usare Privileged Identity Management per limitare e controllare ulteriormente gli account con privilegi.

    Configurare il blocco dell'account intelligente per i tentativi di accesso non validi.

    Linee guida per l'implementazione

    Zero Trust

  • Protezione dell'identità con Zero Trust
  • Valutazione dell'accesso continuo in Microsoft Entra ID

    Accesso condizionale

  • Che cos'è l'accesso condizionale in Microsoft Entra ID?
  • Richiedi che i dispositivi siano contrassegnati come conformi
  • Frequenza di accesso utente

    Criteri relativi ai dispositivi

  • Altre impostazioni di Criteri di gruppo e chiavi del Registro di sistema per smart card
  • Panoramica di Microsoft Endpoint Manager

    Risorse

  • Che cos'è Microsoft Entra Privileged Identity Management?
  • Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra

    Vedere AC-12 per altre indicazioni sulla rivalutazione della sessione e sulla mitigazione dei rischi.

  • Blocco sessione AC-11
    Il sistema informativo:
    (a) Impedisce un ulteriore accesso al sistema avviando un blocco di sessione dopo [Assegnazione FedRAMP: quindici (15) minuti] di inattività o quando si riceve una richiesta da un utente; e
    (b) Mantiene il blocco della sessione fino a quando l'utente non rialloca l'accesso usando le procedure di identificazione e autenticazione stabilite.

    AC-11(1)
    Il sistema informativo nasconde, tramite il blocco sessione, informazioni precedentemente visibili sullo schermo con un'immagine visualizzabile pubblicamente.

    Implementare un blocco di sessione dopo un periodo di inattività di 15 minuti o dopo aver ricevuto una richiesta da un utente. Mantenere il blocco della sessione fino a quando l'utente non esegue nuovamente l'autenticazione. Nascondere le informazioni visibili in precedenza all'avvio di un blocco di sessione.

    Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Gli oggetti Criteri di gruppo o Endpoint Manager possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare l'autenticazione degli utenti.

    Accesso condizionale

  • Richiedi che i dispositivi siano contrassegnati come conformi
  • Frequenza di accesso utente

    Criteri MDM

  • Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo (Android, iOS, Windows 10).
  • Terminazione della sessione AC-12
    Il sistema informativo termina automaticamente una sessione utente dopo [assegnazione: condizioni definite dall'organizzazione o eventi di attivazione che richiedono la disconnessione della sessione].
    Termina automaticamente le sessioni utente quando si verificano condizioni o eventi di trigger definiti dall'organizzazione.

    Implementare la rivalutazione automatica della sessione utente con funzionalità di Microsoft Entra, ad esempio l'accesso condizionale basato sul rischio e la valutazione dell'accesso continuo. È possibile implementare condizioni di inattività a livello di dispositivo, come descritto in AC-11.

    Risorse

  • Accesso condizionale basato sul rischio di accesso
  • Accesso condizionale basato sul rischio utente
  • Valutazione dell'accesso continuo
  • AC-12(1)
    Il sistema informativo:
    (a.) Fornisce una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente ogni volta che viene usata l'autenticazione per ottenere l'accesso a [assegnazione: risorse di informazioni definite dall'organizzazione]; E
    (b.) Visualizza un messaggio di disconnessione esplicito agli utenti che indica la terminazione affidabile delle sessioni di comunicazione autenticate.

    Ac-8 requisiti e linee guida aggiuntivi per FedRAMP:
    Indicazioni: Test per la funzionalità di disconnessione (OTG-edizione Standard SS-006) Test per la funzionalità di disconnessione

    Fornire una funzionalità di disconnessione per tutte le sessioni e visualizzare un messaggio di disconnessione esplicito.

    Tutte le interfacce Web surfaced di Microsoft Entra ID offrono una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente. Quando le applicazioni SAML sono integrate con Microsoft Entra ID, implementare l'accesso Single Sign-Out.

    Funzionalità di disconnessione

  • Quando l'utente seleziona Disconnettersi ovunque, vengono revocati tutti i token emessi correnti.

    Visualizza messaggio
    Microsoft Entra ID visualizza automaticamente un messaggio dopo la disconnessione avviata dall'utente.

    Screenshot che mostra un messaggio di controllo di accesso.

    Risorse

  • Visualizzare e cercare l'attività di accesso recente dalla pagina Accessi personali
  • Protocollo SAML per Single Sign-On
  • AC-20 Uso di sistemi informativi esterni
    L'organizzazione stabilisce termini e condizioni, coerenti con eventuali relazioni di trust stabilite con altre organizzazioni proprietarie, operative e/o di gestione di sistemi informativi esterni, consentendo agli utenti autorizzati di:
    (a.) Accedere al sistema informativo da sistemi informativi esterni; E
    (b.) Elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione usando sistemi informativi esterni.

    AC-20(1)
    L'organizzazione consente agli utenti autorizzati di usare un sistema informativo esterno per accedere al sistema informativo o per elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione solo quando l'organizzazione:
    (a.) Verifica l'implementazione dei controlli di sicurezza necessari nel sistema esterno, come specificato nei criteri di sicurezza e nel piano di sicurezza delle informazioni dell'organizzazione; O
    (b.) Mantiene i contratti di connessione o elaborazione approvati del sistema informativo con l'entità organizzativa che ospita il sistema informativo esterno.

    Stabilire termini e condizioni che consentono agli utenti autorizzati di accedere alle risorse distribuite dal cliente da sistemi informativi esterni, ad esempio dispositivi non gestiti e reti esterne.

    Richiedere l'accettazione delle condizioni per l'utilizzo per gli utenti autorizzati che accedono alle risorse da sistemi esterni. Implementare criteri di accesso condizionale per limitare l'accesso da sistemi esterni. I criteri di accesso condizionale possono essere integrati con Defender per il cloud App per fornire controlli per le applicazioni cloud e locali da sistemi esterni. La gestione di applicazioni mobili in Intune può proteggere i dati dell'organizzazione a livello di applicazione, incluse app personalizzate e app dello Store, da dispositivi gestiti che interagiscono con sistemi esterni. Un esempio è l'accesso ai servizi cloud. Puoi usare la gestione delle app sui dispositivi di proprietà dell'organizzazione e su quelli personali.

    Condizioni

  • Condizioni per l'utilizzo: Microsoft Entra ID

    Accesso condizionale

  • Richiedi che i dispositivi siano contrassegnati come conformi
  • Condizioni nei criteri di accesso condizionale: Stato del dispositivo (anteprima)
  • Proteggere con il controllo delle app per l'accesso condizionale di Microsoft Defender per il cloud
  • Condizione della posizione nell'accesso condizionale di Microsoft Entra

    MDM

  • Che cos'è Microsoft Intune?
  • Che cos'è Defender for Cloud Apps?
  • Che cos'è la gestione delle app in Microsoft Intune?

    Conto risorse

  • Integrare app locali con app Defender per il cloud
  • Passaggi successivi