Besturingselementen voor CMMC-niveau 2-toegangsbeheer (AC) configureren
Microsoft Entra ID kan u helpen te voldoen aan identiteitsgerelateerde praktijkvereisten op cmmc-niveau (Cybersecurity Maturity Model Certification). Om te voldoen aan de vereisten in CMMC V2.0 niveau 2, is het de verantwoordelijkheid van bedrijven die werken met en namens de Amerikaanse afdeling Defensie (DoD) om andere configuraties of processen te voltooien.
In CMMC Niveau 2 zijn er 13 domeinen met een of meer procedures met betrekking tot identiteit:
- Toegangsbeheer (AC)
- Audit & Accountability (AU)
- Configuratiebeheer (CM)
- Identificatie en verificatie (IA)
- Reactie op incidenten (IR)
- Onderhoud (MA)
- Media Protection (MP)
- Personeelsbeveiliging (PS)
- Fysieke beveiliging (PE)
- Risico-evaluatie (RA)
- Beveiligingsevaluatie (CA)
- System and Communications Protection (SC)
- Systeem- en informatie-integriteit (SI)
De rest van dit artikel bevat richtlijnen voor het domein Access Control (AC). Er is een tabel met koppelingen naar inhoud die stapsgewijze instructies biedt om de oefening uit te voeren.
Toegangsbeheer (AC)
De volgende tabel bevat een lijst met praktijkverklaring en doelstellingen, en Richtlijnen en aanbevelingen van Microsoft Entra om u in staat te stellen aan deze vereisten te voldoen met Microsoft Entra ID.
| Instructie en doelstellingen van CMMC-praktijk | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
| AC. L2-3.1.3 Praktijkverklaring: De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. Doelstellingen: Bepalen of: [a.] beleidsregels voor informatiestroombeheer worden gedefinieerd; [b.] methoden en afdwingingsmechanismen voor het beheren van de stroom van CUI worden gedefinieerd; [c.] aangewezen bronnen en bestemmingen (bijvoorbeeld netwerken, personen en apparaten) voor CUI binnen het systeem en tussen intercfeetonnected systemen worden geïdentificeerd; [d.] autorisaties voor het beheren van de stroom van CUI worden gedefinieerd; En [e.] goedgekeurde autorisaties voor het beheren van de stroom van CUI worden afgedwongen. |
Configureer beleid voor voorwaardelijke toegang om de stroom cuI te beheren vanaf vertrouwde locaties, vertrouwde apparaten, goedgekeurde toepassingen en beleid voor app-beveiliging te vereisen. Voor nauwkeurigere autorisatie voor CUI configureert u door apps afgedwongen beperkingen (Exchange/SharePoint Online), App Control (met Microsoft Defender voor Cloud Apps), verificatiecontext. Implementeer de Microsoft Entra-toepassingsproxy om de toegang tot on-premises toepassingen te beveiligen. Locatievoorwaarde in Microsoft Entra voorwaardelijke toegang Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat het apparaat als compatibel wordt gemarkeerd Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat een hybride apparaat van Microsoft Entra is gekoppeld Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Goedgekeurde client-app vereisen Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Beveiligingsbeleid voor apps vereisen Sessiebesturingselementen in beleid voor voorwaardelijke toegang - Door toepassingen afgedwongen beperkingen Beveiligen met App-beheer voor voorwaardelijke toegang van Microsoft Defender for Cloud Apps Cloud-apps, acties en verificatiecontext in beleid voor voorwaardelijke toegang Externe toegang tot on-premises apps met microsoft Entra-toepassingsproxy Verificatiecontext Verificatiecontext configureren en toewijzen aan beleid voor voorwaardelijke toegang Information Protection Uw gegevens kennen en beveiligen; helpen gegevensverlies te voorkomen. Uw gevoelige gegevens beveiligen met Microsoft Purview Voorwaardelijke toegang Voorwaardelijke toegang voor Azure Information Protection (AIP) Toepassingsproxy Externe toegang tot on-premises apps met microsoft Entra-toepassingsproxy |
| AC. L2-3.1.4 Praktijkverklaring: Scheid de taken van individuen om het risico op kwaadaardige activiteit zonder sortering te verminderen. Doelstellingen: Bepalen of: [a.] de taken van personen die scheiding vereisen, worden gedefinieerd; [b.] Verantwoordelijkheden voor taken waarvoor scheiding is vereist, worden toegewezen aan afzonderlijke personen; En [c.] toegangsbevoegdheden waarmee personen de taken kunnen uitoefenen waarvoor scheiding is vereist, worden verleend aan afzonderlijke personen. |
Zorgen voor een adequate scheiding van taken door de juiste toegang te bepalen. Configureer rechtenbeheertoegangspakketten om de toegang tot toepassingen, groepen, Teams en SharePoint-sites te beheren. Configureer Scheiding van takencontroles in toegangspakketten om te voorkomen dat een gebruiker overmatige toegang krijgt. In Microsoft Entra-rechtenbeheer kunt u meerdere beleidsregels configureren, met verschillende instellingen voor elke gebruikerscommunity die toegang nodig heeft via een toegangspakket. Deze configuratie omvat beperkingen, zodat een gebruiker van een bepaalde groep, of al een ander toegangspakket heeft toegewezen, geen andere toegangspakketten op basis van beleid wordt toegewezen. Configureer beheereenheden in Microsoft Entra ID om beheerbevoegdheden te beperken, zodat beheerders met bevoorrechte rollen alleen die bevoegdheden hebben voor een beperkte set adreslijstobjecten (gebruikers, groepen, apparaten). Wat is rechtenbeheer? Wat zijn toegangspakketten en welke resources kan ik ermee beheren? Scheiding van taken configureren voor een toegangspakket in Microsoft Entra-rechtenbeheer Beheer istische eenheden in Microsoft Entra-id |
| AC. L2-3.1.5 Praktijkverklaring: Gebruik het principe van minimale bevoegdheden, met inbegrip van specifieke beveiligingsfuncties en bevoegde accounts. Doelstellingen: Bepalen of: [a.] bevoegde accounts worden geïdentificeerd; [b.] toegang tot bevoegde accounts is geautoriseerd overeenkomstig het beginsel van minimale bevoegdheid; [c.] beveiligingsfuncties worden geïdentificeerd; En [d.] toegang tot beveiligingsfuncties wordt geautoriseerd in overeenstemming met het principe van minimale bevoegdheden. |
U bent verantwoordelijk voor het implementeren en afdwingen van de regel van minimale bevoegdheden. Deze actie kan worden uitgevoerd met Privileged Identity Management voor het configureren van afdwinging, bewaking en waarschuwingen. Vereisten en voorwaarden instellen voor rollidmaatschap. Zodra bevoegde accounts zijn geïdentificeerd en beheerd, gebruikt u Rechtenlevenscyclusbeheer en toegangsbeoordelingen om voldoende toegang in te stellen, te onderhouden en te controleren. Gebruik de MS Graph API om directoryrollen te detecteren en te bewaken. Rollen toewijzen Microsoft Entra-rollen toewijzen in PIM Azure-resourcerollen toewijzen in Privileged Identity Management In aanmerking komende eigenaren en leden toewijzen voor PIM for Groups Rolinstellingen instellen Microsoft Entra-rolinstellingen configureren in PIM Instellingen voor Azure AD-resourcerollen configureren in PIM PIM configureren voor groepsinstellingen in PIM Waarschuwingen instellen Beveiligingswaarschuwingen voor Microsoft Entra-rollen in PIM Beveiligingswaarschuwingen voor Azure-resourcerollen configureren in Privileged Identity Management |
| AC. L2-3.1.6 Oefeninstructie: Gebruik niet-bevoegde accounts of rollen bij het openen van niet-beveiligingsfuncties. Doelstellingen: Bepalen of: [a.] niet-beveiligingsfuncties worden geïdentificeerd; En [b.] gebruikers moeten niet-bevoegde accounts of rollen gebruiken bij het openen van niet-beveiligingsfuncties. AC. L2-3.1.7 Oefeninstructie: Voorkomen dat niet-bevoegde gebruikers bevoorrechte functies uitvoeren en de uitvoering van dergelijke functies vastleggen in auditlogboeken. Doelstellingen: Bepalen of: [a.] bevoorrechte functies worden gedefinieerd; [b.] niet-bevoegde gebruikers worden gedefinieerd; [c.] niet-bevoegde gebruikers worden verhinderd om bevoegde functies uit te voeren; En [d.] de uitvoering van bevoegde functies wordt vastgelegd in auditlogboeken. |
Vereisten in AC. L2-3.1.6 en AC. L2-3.1.7 vullen elkaar aan. Afzonderlijke accounts vereisen voor gebruik met bevoegdheden en niet-bevoegde gebruikers. Configureer Privileged Identity Management (PIM) om Just-In-Time(JIT) bevoegde toegang te bieden en permanente toegang te verwijderen. Configureer op rollen gebaseerd beleid voor voorwaardelijke toegang om de toegang tot productiviteitstoepassing voor bevoegde gebruikers te beperken. Voor gebruikers met hoge bevoegdheden beveiligt u apparaten als onderdeel van het uitgebreide toegangsverhaal. Alle bevoegde acties worden vastgelegd in de Auditlogboeken van Microsoft Entra. Overzicht van het beveiligen van bevoegde toegang Microsoft Entra-rolinstellingen configureren in PIM Gebruikers en groepen in beleid voor voorwaardelijke toegang Waarom zijn bevoegde toegangsapparaten belangrijk |
| AC. L2-3.1.8 Oefeninstructie: Beperk mislukte aanmeldingspogingen. Doelstellingen: Bepalen of: [a.] de middelen voor het beperken van mislukte aanmeldingspogingen worden gedefinieerd; En [b.] de gedefinieerde middelen voor het beperken van mislukte aanmeldingspogingen worden geïmplementeerd. |
Aangepaste instellingen voor slimme vergrendeling inschakelen. Configureer de drempelwaarde voor vergrendeling en de duur van de vergrendeling in seconden om deze vereisten te implementeren. Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra Slimme vergrendelingswaarden van Microsoft Entra beheren |
| AC. L2-3.1.9 Oefenverklaring: Geef privacy- en beveiligingskennisgevingen die consistent zijn met toepasselijke CUI-regels. Doelstellingen: Bepalen of: [a.] privacy- en beveiligingskennisgevingen die vereist zijn voor door CUI opgegeven regels, worden geïdentificeerd, consistent en gekoppeld aan de specifieke CUI-categorie; En [b.] privacy- en beveiligingskennisgevingen worden weergegeven. |
Met Microsoft Entra ID kunt u meldingen of bannerberichten bezorgen voor alle apps die bevestiging vereisen en registreren voordat u toegang verleent. U kunt deze gebruiksvoorwaarden gedetailleerd richten op specifieke gebruikers (leden of gasten). U kunt ze ook per toepassing aanpassen via beleid voor voorwaardelijke toegang. Voorwaardelijke toegang Wat is voorwaardelijke toegang in Microsoft Entra ID? Gebruiksvoorwaarden Gebruiksvoorwaarden voor Microsoft Entra Rapport bekijken waarin u kunt zien wie de overeenkomst hebben geaccepteerd en geweigerd |
| AC. L2-3.1.10 Oefeninstructie: Gebruik sessievergrendeling met weergaven voor patroonverberging om toegang tot en weergave van gegevens na een periode van inactiviteit te voorkomen. Doelstellingen: Bepalen of: [a.] de periode van inactiviteit waarna het systeem een sessievergrendeling initieert; [b.] toegang tot het systeem en het weergeven van gegevens wordt voorkomen door een sessievergrendeling te starten na de gedefinieerde periode van inactiviteit; En [c.] eerder zichtbare informatie wordt verborgen via een patroonverbergingsweergave na de gedefinieerde periode van inactiviteit. |
Implementeer apparaatvergrendeling met behulp van beleid voor voorwaardelijke toegang om de toegang tot compatibele of hybride gekoppelde Microsoft Entra-apparaten te beperken. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Microsoft Intune-, Configuration Manager- of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren. Vereisen dat het apparaat moet worden gemarkeerd als compatibel Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat een hybride apparaat van Microsoft Entra is gekoppeld Aanmeldingsfrequentie van gebruikers Configureer op apparaten het maximale aantal minuten inactiviteit voordat het scherm wordt vergrendeld (Android, iOS, Windows 10). |
| AC. L2-3.1.11 Oefeninstructie: Beëindig (automatisch) een gebruikerssessie na een gedefinieerde voorwaarde. Doelstellingen: Bepalen of: [a.] voorwaarden die vereisen dat een gebruikerssessie wordt beëindigd, worden gedefinieerd; En [b.] een gebruikerssessie wordt automatisch beëindigd nadat een van de gedefinieerde voorwaarden heeft plaatsgevonden. |
Schakel Continue toegangsevaluatie (CAE) in voor alle ondersteunde toepassingen. Voor toepassingen die GEEN ondersteuning bieden voor CAE of voor voorwaarden die niet van toepassing zijn op CAE, implementeert u beleid in Microsoft Defender voor Cloud Apps om sessies automatisch te beëindigen wanneer er voorwaarden optreden. Daarnaast configureert u Microsoft Entra ID Protection om gebruikers- en aanmeldingsrisico's te evalueren. Gebruik voorwaardelijke toegang met identiteitsbeveiliging om gebruikers toe te staan automatisch risico's op te lossen. Continue toegangsevaluatie in Microsoft Entra-id Het gebruik van cloud-apps beheren door beleid te maken Wat is Microsoft Entra ID ID Protection? |
| AC. L2-3.1.12 Oefenverklaring: Externe toegangssessies bewaken en beheren. Doelstellingen: Bepalen of: [a.] externe toegangssessies zijn toegestaan; [b.] de typen toegestane externe toegang worden geïdentificeerd; [c.] sessies voor externe toegang worden beheerd; En [d.] externe toegangssessies worden bewaakt. |
In de huidige wereld hebben gebruikers toegang tot cloudtoepassingen, bijna uitsluitend op afstand van onbekende of niet-vertrouwde netwerken. Het is van cruciaal belang om dit toegangspatroon te beveiligen om nul vertrouwensprinciplen te gebruiken. Om te voldoen aan deze vereisten voor controles in een moderne cloudwereld, moeten we elke toegangsaanvraag expliciet verifiëren, minimale bevoegdheden implementeren en ervan uitgaan dat er inbreuk wordt uitgevoerd. Configureer benoemde locaties om interne versus externe netwerken af te bakenen. Configureer app-beheer voor voorwaardelijke toegang om toegang te routeren via Microsoft Defender voor Cloud Apps. Configureer Defender voor Cloud Apps om alle sessies te beheren en te controleren. Implementatiehandleiding voor Zero Trust voor Microsoft Entra-id Locatievoorwaarde in Microsoft Entra voorwaardelijke toegang App-beheer voor voorwaardelijke toegang voor Cloud App Security implementeren voor Microsoft Entra-apps Wat is Microsoft Defender voor Cloud Apps? Waarschuwingen bewaken die worden gegenereerd in Microsoft Defender voor Cloud-apps |
| AC. L2-3.1.13 Oefenverklaring: Cryptografische mechanismen gebruiken om de vertrouwelijkheid van sessies voor externe toegang te beschermen. Doelstellingen: Bepalen of: [a.] cryptografische mechanismen ter bescherming van de vertrouwelijkheid van externe toegangssessies worden geïdentificeerd; En [b.] cryptografische mechanismen om de vertrouwelijkheid van sessies voor externe toegang te beschermen, worden geïmplementeerd. |
Alle klantgerichte Microsoft Entra-webservices worden beveiligd met het TLS-protocol (Transport Layer Security) en worden geïmplementeerd met fips-gevalideerde cryptografie. Microsoft Entra Data Security Considerations (microsoft.com) |
| AC. L2-3.1.14 Oefenverklaring: Externe toegang routeren via beheerde toegangspunten. Doelstellingen: Bepalen of: [a.] beheerde toegangsbeheerpunten worden geïdentificeerd en geïmplementeerd; En [b.] externe toegang wordt gerouteerd via beheerde netwerktoegangsbeheerpunten. |
Configureer benoemde locaties om interne versus externe netwerken af te bakenen. Configureer app-beheer voor voorwaardelijke toegang om toegang te routeren via Microsoft Defender voor Cloud Apps. Configureer Defender voor Cloud Apps om alle sessies te beheren en te controleren. Beveilig apparaten die worden gebruikt door bevoegde accounts als onderdeel van het verhaal over bevoegde toegang. Locatievoorwaarde in Microsoft Entra voorwaardelijke toegang Sessiebesturingselementen in beleid voor voorwaardelijke toegang Overzicht van het beveiligen van bevoegde toegang |
| AC. L2-3.1.15 Instructie oefening: externe uitvoering van bevoegde opdrachten en externe toegang tot beveiligings relevante informatie autoriseren. Doelstellingen: Bepalen of: [a.] bevoegde opdrachten die zijn geautoriseerd voor uitvoering op afstand, worden geïdentificeerd; [b.] beveiligingsgerelateerde informatie die op afstand toegankelijk is, wordt geïdentificeerd; [c.] de uitvoering van de geïdentificeerde bevoegde opdrachten via externe toegang is geautoriseerd; En [d.] toegang tot de geïdentificeerde beveiligingsgerelateerde informatie via externe toegang is geautoriseerd. |
Voorwaardelijke toegang is het besturingsvlak Zero Trust om beleid te richten voor toegang tot uw apps in combinatie met verificatiecontext. U kunt verschillende beleidsregels toepassen in deze apps. Beveilig apparaten die worden gebruikt door bevoegde accounts als onderdeel van het verhaal over bevoegde toegang. Configureer beleid voor voorwaardelijke toegang om het gebruik van deze beveiligde apparaten door bevoegde gebruikers te vereisen bij het uitvoeren van bevoegde opdrachten. Cloud-apps, acties en verificatiecontext in beleid voor voorwaardelijke toegang Overzicht van het beveiligen van bevoegde toegang Filteren op apparaten als voorwaarde in beleid voor voorwaardelijke toegang |
| AC. L2-3.1.18 Oefenverklaring: Verbinding van mobiele apparaten beheren. Doelstellingen: Bepalen of: [a.] mobiele apparaten die CUI verwerken, opslaan of verzenden, worden geïdentificeerd; [b.] verbindingen met mobiele apparaten zijn geautoriseerd; En [c.] Verbindingen met mobiele apparaten worden bewaakt en geregistreerd. |
Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om configuratie en verbindingsprofiel voor mobiele apparaten af te dwingen. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen InTune Nalevingsbeleid voor apparaten in Microsoft Intune Wat is app-beheer in Microsoft Intune? |
| AC. L2-3.1.19 Oefenverklaring: CUI versleutelen op mobiele apparaten en platformen voor mobiele computing. Doelstellingen: Bepalen of: [a.] mobiele apparaten en platformen voor mobiele computing die CUI verwerken, opslaan of verzenden, worden geïdentificeerd; En [b.] versleuteling wordt gebruikt om CUI te beveiligen op geïdentificeerde mobiele apparaten en platformen voor mobiele computing. |
Beheerd apparaat Configureer beleid voor voorwaardelijke toegang om compatibel of hybride apparaat van Microsoft Entra af te dwingen en ervoor te zorgen dat beheerde apparaten op de juiste wijze worden geconfigureerd via de oplossing voor apparaatbeheer om CUI te versleutelen. Onbeheerd apparaat Configureer beleid voor voorwaardelijke toegang om app-beveiligingsbeleid te vereisen. Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat het apparaat als compatibel wordt gemarkeerd Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Vereisen dat een hybride apparaat van Microsoft Entra is gekoppeld Besturingselementen verlenen in beleid voor voorwaardelijke toegang - Beveiligingsbeleid voor apps vereisen |
| AC. L2-3.1.21 Practice statement: Beperk het gebruik van draagbare opslagapparaten op externe systemen. Doelstellingen: Bepalen of: [a.] het gebruik van draagbare opslagapparaten met CUI op externe systemen wordt geïdentificeerd en gedocumenteerd; [b.] limieten voor het gebruik van draagbare opslagapparaten met CUI op externe systemen worden gedefinieerd; En [c.] het gebruik van draagbare opslagapparaten met CUI op externe systemen is beperkt zoals gedefinieerd. |
Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Configuration Manager of groepsbeleidsobjecten (GPO) om het gebruik van draagbare opslagapparaten op systemen te beheren. Configureer beleidsinstellingen op het Windows-apparaat om het gebruik van draagbare opslag op besturingssysteemniveau volledig te verbieden of te beperken. Voor alle andere apparaten waar u de toegang tot draagbare opslagblokken mogelijk niet volledig kunt beheren met Microsoft Defender voor Cloud Apps. Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Een hybride apparaat van Microsoft Entra vereisen Verificatiesessiebeheer configureren Intune Nalevingsbeleid voor apparaten in Microsoft Intune USB-apparaten beperken met beheersjablonen in Microsoft Intune Microsoft Defender voor Cloud-apps Sessiebeleid maken in Defender voor Cloud Apps |