Microsoft Entra-id configureren om te voldoen aan fedRAMP High Impact-niveau

Het Federal Risk and Authorization Management Program (FedRAMP) is een evaluatie- en autorisatieproces voor cloudserviceproviders (CSP's). Het proces is met name bedoeld voor CSP's die cloudoplossingsaanbiedingen (CSP's) maken voor gebruik met federale agentschappen. Azure en Azure Government hebben een voorlopige autoriteit verdiend om te werken (P-ATO) op het niveau High Impact van de Joint Authorization Board, de hoogste bar voor FedRAMP-accreditatie.

Azure biedt de mogelijkheid om te voldoen aan alle controlevereisten voor het bereiken van een FedRAMP-hoge waardering voor uw CSO of als een federale instantie. Het is de verantwoordelijkheid van uw organisatie om aanvullende configuraties of processen te voltooien die compatibel zijn. Deze verantwoordelijkheid is van toepassing op zowel CSP's die op zoek zijn naar een FedRAMP-hoge autorisatie voor hun CSO en federale agentschappen die een Autoriteit to Operate (ATO) zoeken.

Microsoft en FedRAMP

Microsoft ondersteuning voor Azure meer services op FedRAMP High Impact-niveaus dan andere CSP's. En hoewel dit niveau in de openbare Azure-cloud voldoet aan de behoeften van veel Amerikaanse overheidsklanten, kunnen agentschappen met strengere vereisten afhankelijk zijn van de Azure Government-cloud. Azure Government biedt extra beveiliging, zoals de verhoogde screening van personeel.

Microsoft moet de cloudservices elk jaar opnieuw certificaat geven om de autorisaties te behouden. Om dit te doen, bewaakt en beoordeelt Microsoft voortdurend de beveiligingscontroles en laat zien dat de beveiliging van de services in overeenstemming blijft. Zie FedRAMP-autorisaties voor Microsoft-cloudservices en Auditrapporten van Microsoft FedRAMP voor meer informatie. Als u andere FedRAMP-rapporten wilt ontvangen, stuurt u een e-mail naar azure Federal Documentation.

Er zijn meerdere paden naar FedRAMP-autorisatie. U kunt het bestaande autorisatiepakket van Azure opnieuw gebruiken en de richtlijnen hier om de benodigde tijd en moeite voor het verkrijgen van een ATO of een P-ATO aanzienlijk te verminderen.

Bereik van richtlijnen

De fedRAMP hoge basislijn bestaat uit 421 besturingselementen en controleverbeteringen van NIST 800-53 Catalogusrevisie 4 voor beveiligingsmaatregelen. Waar van toepassing hebben we de informatie van de 800-53 Revisie 5 opgenomen. Deze artikelset bevat een subset van deze besturingselementen die betrekking hebben op identiteit en die u moet configureren.

We bieden prescriptieve richtlijnen om u te helpen naleving te bereiken van besturingselementen die u verantwoordelijk bent voor het configureren in Microsoft Entra ID. Als u volledig wilt voldoen aan bepaalde vereisten voor identiteitsbeheer, moet u mogelijk andere systemen gebruiken. Andere systemen kunnen een hulpprogramma voor beveiligingsinformatie en gebeurtenisbeheer bevatten, zoals Microsoft Sentinel. Als u Azure-services buiten Microsoft Entra ID gebruikt, zijn er andere besturingselementen die u moet overwegen en kunt u de mogelijkheden gebruiken die Azure al heeft om te voldoen aan de besturingselementen.

Hier volgt een lijst met FedRAMP-resources:

• Federal Risk and Authorization Management Program

• FedRAMP Security Assessment Framework

• Gids voor FedRAMP-autorisaties

• Naleving beheren in de cloud bij Microsoft

• Microsoft Government Cloud

• Azure-nalevingsaanbiedingen

• Ingebouwde initiatiefdefinitie FedRAMP High Azure Policy

• Microsoft Purview-nalevingsportal

• Microsoft Purview Compliancebeheer

Volgende stappen

Toegangsbeheer configureren

Controles voor identificatie- en verificatie configureren

Andere controles configureren