Identiteitstoegangsbeheer configureren om te voldoen aan het High Impact-niveau van FedRAMP

Artikel
10/28/2023

Toegangsbeheer is een belangrijk element om ervoor te zorgen dat het High Impact-niveau van FedRAMP (Federal Risk and Authorization Management Program) werkt.

Voor de volgende lijst met besturingselementen en verbeteringen in de ac-familie (toegangsbeheer) is mogelijk configuratie vereist in uw Microsoft Entra-tenant.

Besturingsfamilie	Beschrijving
AC-2	Accountbeheer
AC-6	Minimale bevoegdheid
AC-7	Mislukte aanmeldingspogingen
AC-8	Systeemgebruiksmelding
AC-10	Gelijktijdige sessies beheren
AC-11	Sessievergrendeling
AC-12	Sessiebeëindiging
AC-20	Gebruik van externe informatiesystemen

Elke rij in de volgende tabel bevat voorlichtingsrichtlijnen om u te helpen bij het ontwikkelen van de reactie van uw organisatie op eventuele gedeelde verantwoordelijkheden voor de (uitbreidingen voor) besturingselementen.

Configuraties

FedRAMP Control ID en beschrijving	Richtlijnen en aanbevelingen voor Microsoft Entra
AC-2 ACCOUNTBEHEER De organisatie (a.) Identificeert en selecteert de volgende soorten informatiesysteemaccounts ter ondersteuning van organisatiemissies/bedrijfsfuncties: [Toewijzing: door de organisatie gedefinieerde typen informatiesysteemaccounts]; (b.) Wijst accountbeheerders toe voor informatiesysteemaccounts; (c.) Stelt voorwaarden vast voor groep- en rollidmaatschap; (d.) Hiermee geeft u geautoriseerde gebruikers van het informatiesysteem, groep en rollidmaatschap, en toegangsautorisaties (d.w.v. bevoegdheden) en andere kenmerken (zoals vereist) voor elk account op; (e.) Vereist goedkeuringen door [Toewijzing: door de organisatie gedefinieerd personeel of rollen] voor aanvragen voor het maken van informatiesysteemaccounts; (f.) Maakt, schakelt, wijzigt, uitschakelt en verwijdert informatiesysteemaccounts in overeenstemming met [Toewijzing: door de organisatie gedefinieerde procedures of voorwaarden]; (g.) Bewaakt het gebruik van informatiesysteemaccounts; (h.) Hiermee wordt accountmanagers op de hoogte gehouden: (1.) Wanneer accounts niet meer nodig zijn; (2.) Wanneer gebruikers worden beëindigd of overgedragen; En (3.) Wanneer het gebruik van afzonderlijke informatiesystemen of de noodzaak om te weten wijzigingen aanbrengt; (i.) Autoriseert toegang tot het informatiesysteem op basis van: (1.) Een geldige toegangsautorisatie; (2.) Beoogd systeemgebruik; En (3.) Andere kenmerken zoals vereist door de organisatie of bijbehorende missies/bedrijfsfuncties; (j.) Controleert accounts op naleving van accountbeheervereisten [FedRAMP-toewijzing: maandelijks voor bevoegde toegang, elke zes (6) maanden voor niet-bevoegde toegang]; en (k.) Hiermee wordt een proces vastgesteld voor het opnieuw uitgeven van referenties voor gedeelde/groepsaccounts (indien geïmplementeerd) wanneer personen uit de groep worden verwijderd.	Beheer van de accountlevenscycli implementeren voor door de klant beheerde accounts. Bewaak het gebruik van accounts en informeer accountmanagers over levenscyclus-gebeurtenissen van accounts. Controleer accounts op naleving van accountbeheervereisten, maandelijks voor bevoegde toegang, en elke zes maanden voor niet-gemachtigde toegang. Gebruik Microsoft Entra ID om accounts van externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud in te richten. Alle levenscyclusbewerkingen van accounts worden gecontroleerd in de Microsoft Entra-auditlogboeken. U kunt logboeken verzamelen en analyseren met behulp van een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden, om bewaking en meldingen in te schakelen. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen om de nalevingsstatus van accounts te garanderen. Accounts inrichten Cloud-HR-toepassing plannen voor inrichting van Microsoft Entra-gebruikers Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen Gebruikers toevoegen of verwijderen met behulp van Microsoft Entra ID Accounts bewaken Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum Verbinding maken Microsoft Entra-gegevens naar Microsoft Sentinel Zelfstudie: logboeken streamen naar een Azure Event Hub Rekeningen controleren Wat is Microsoft Entra-rechtenbeheer? Een toegangsbeoordeling van een toegangspakket maken in Microsoft Entra-rechtenbeheer Toegang tot een toegangspakket controleren in Microsoft Entra-rechtenbeheer Resources Machtigingen voor Beheerdersrol in Microsoft Entra ID Dynamische groepen in Microsoft Entra-id
AC-2(1) De organisatie maakt gebruik van geautomatiseerde mechanismen ter ondersteuning van het beheer van informatiesysteemaccounts.	Gebruik geautomatiseerde mechanismen ter ondersteuning van het beheer van door de klant beheerde accounts. Configureer geautomatiseerde inrichting van door de klant beheerde accounts van externe HR-systemen of on-premises Active Directory. Voor toepassingen die ondersteuning bieden voor het inrichten van toepassingen, configureert u Microsoft Entra-id om automatisch gebruikersidentiteiten en -rollen te maken in cloudsoftware als oplossingstoepassingen (SaaS) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Als u de bewaking van het accountgebruik wilt vereenvoudigen, kunt u Logboeken van Microsoft Entra ID Protection streamen, die riskante gebruikers, riskante aanmeldingen en risicodetecties en auditlogboeken rechtstreeks in Microsoft Sentinel of Event Hubs tonen. inrichten Cloud-HR-toepassing plannen voor inrichting van Microsoft Entra-gebruikers Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen Wat is geautomatiseerde inrichting van Gebruikers van SaaS-apps in Microsoft Entra ID? Zelfstudies voor integratie van SaaS-apps voor gebruik met Microsoft Entra ID Bewaken en controleren Risico onderzoeken Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum Wat is Microsoft Sentinel? Microsoft Sentinel: Verbinding maken gegevens van Microsoft Entra-id Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub
AC-2(2) Het informatiesysteem wordt automatisch [FedRAMP Selection: uitgeschakeld] tijdelijke en noodaccounts na [FedRAMP Assignment: 24 uur na laatste gebruik]. AC-02(3) Het informatiesysteem schakelt automatisch inactieve accounts uit na [FedRAMP Assignment: dertig-vijf (35) dagen voor gebruikersaccounts]. AC-2 (3) Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: De serviceprovider definieert de periode voor niet-gebruikersaccounts (bijvoorbeeld accounts die zijn gekoppeld aan apparaten). De perioden worden goedgekeurd en geaccepteerd door de JAB/AO. Wanneer gebruikersbeheer een functie van de dienst is, worden rapporten van activiteiten van consumentengebruikers beschikbaar gesteld.	Gebruik geautomatiseerde mechanismen ter ondersteuning van het automatisch verwijderen of uitschakelen van tijdelijke accounts en noodaccounts 24 uur na het laatste gebruik, en alle door de klant beheerde accounts na 35 dagen inactiviteit. Automatisering van accountbeheer implementeren met Microsoft Graph en Microsoft Graph PowerShell. Gebruik Microsoft Graph om aanmeldingsactiviteiten en Microsoft Graph PowerShell te controleren om binnen het vereiste tijdsbestek actie te ondernemen op accounts. Inactiviteit bepalen Inactieve gebruikersaccounts beheren in Microsoft Entra-id Verlopen apparaten beheren in Microsoft Entra-id Accounts verwijderen of uitschakelen Werken met gebruikers in Microsoft Graph Een gebruiker ophalen Gebruiker bijwerken Een gebruiker verwijderen Werken met apparaaten in Microsoft Graph Apparaat ophalen Apparaat bijwerken Apparaat verwijderen Zie de documentatie voor Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) Het informatiesysteem controleert automatisch het maken, wijzigen, inschakelen, uitschakelen en verwijderen van accounts en meldt [FedRAMP Assignment: organisatie- en/of serviceprovidersysteemeigenaar].	Implementeer een geautomatiseerd controle- en meldingssysteem voor de levenscyclus van het beheren van door de klant beheerde accounts. Alle levenscyclusbewerkingen van accounts, zoals account maken, wijzigen, inschakelen, uitschakelen en verwijderen, worden gecontroleerd in de Azure-auditlogboeken. U kunt de logboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met meldingen. Audit Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum Microsoft Sentinel: Verbinding maken gegevens van Microsoft Entra-id Melding Wat is Microsoft Sentinel? Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub
AC-2(5) De organisatie vereist dat gebruikers zich afmelden wanneer [FedRAMP Assignment: inactiviteit naar verwachting langer is dan vijftien (15) minuten]. AC-2 (5) Aanvullende FedRAMP-vereisten en richtlijnen: Richtlijnen: Gebruik een kortere periode dan AC-12	Implementeer het afmelden van apparaten na een periode van 15 minuten inactiviteit. Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang waarmee de toegang tot compatibele apparaten wordt beperkt. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen (Mobile Device Management) zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Aanmeldingsfrequentie van gebruikers MDM-beleid Configureer op apparaten het maximale aantal minuten inactiviteit voordat het scherm wordt vergrendeld en een wachtwoord is vereist om te ontgrendelen (Android, iOS, Windows 10).
AC-2(7) De organisatie: (a.) Stelt bevoegde gebruikersaccounts vast en beheert deze in overeenstemming met een op rollen gebaseerd toegangsschema dat toegestane toegang tot het informatiesysteem en bevoegdheden in rollen organiseert; b) Bewaakt bevoorrechte roltoewijzingen; en (c) Neemt [FedRAMP Assignment: schakelt/intrekt toegang binnen een door de organisatie opgegeven periode] wanneer bevoorrechte roltoewijzingen niet meer geschikt zijn.	Beheer en bewaak toewijzingen van bevoorrechte rollen door een op rollen gebaseerd toegangsschema te volgen voor door de klant beheerde accounts. Schakel toegang tot bevoegdheden voor accounts uit of trek deze bevoegdheid in wanneer ze niet meer geschikt zijn. Implementeer Microsoft Entra Privileged Identity Management met toegangsbeoordelingen voor bevoorrechte rollen in Microsoft Entra ID om roltoewijzingen te bewaken en roltoewijzingen te verwijderen wanneer deze niet meer geschikt zijn. U kunt de auditlogboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met bewaken. Beheren Wat is Microsoft Entra Privileged Identity Management? Maximale activeringsduur Monitor Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management Controlegeschiedenis voor Microsoft Entra-rollen weergeven in Privileged Identity Management Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum Wat is Microsoft Sentinel? Verbinding maken gegevens uit Microsoft Entra-id Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub
AC-2(11) Het informatiesysteem dwingt [Toewijzing: door de organisatie gedefinieerde omstandigheden en/of gebruiksvoorwaarden] af voor [Toewijzing: door de organisatie gedefinieerde informatiesysteemaccounts].	Dwing het gebruik van door de klant beheerde accounts af, om te voldoen aan door de klant gedefinieerde voorwaarden of omstandigheden. Maak beleid voor voorwaardelijke toegang om beslissingen voor toegangsbeheer af te dwingen voor gebruikers en apparaten. Voorwaardelijke toegang Beleid voor voorwaardelijke toegang maken Wat is voorwaardelijke toegang?
AC-2(12) De organisatie: a) Bewaakt informatiesysteemaccounts voor [Toewijzing: door de organisatie gedefinieerd atypisch gebruik]; en (b) Rapporteert atypisch gebruik van informatiesysteemaccounts aan [FedRAMP Assignment: minimaal de ISSO en/of soortgelijke rol binnen de organisatie]. AC-2 (12) (a) en AC-2 (12) (b) Aanvullende FedRAMP-vereisten en richtlijnen: Vereist voor bevoegde accounts.	Bewaak en rapporteer door de klant beheerde accounts met bevoegde toegang voor atypisch gebruik. Voor hulp bij het bewaken van atypisch gebruik kunt u Identity Protection-logboeken streamen, die riskante gebruikers, riskante aanmeldingen en risicodetecties bevatten, alsook auditlogboeken, die helpen bij correlatie met bevoegdheidstoewijzing, rechtstreeks in een SIEM-oplossing zoals Microsoft Sentinel. U kunt ook Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden. Identiteitsbeveiliging Wat is Microsoft Entra ID ID Protection? Risico onderzoeken Microsoft Entra ID Protection-meldingen Accounts bewaken Wat is Microsoft Sentinel? Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum Verbinding maken Microsoft Entra-gegevens naar Microsoft Sentinel Zelfstudie: logboeken streamen naar een Azure Event Hub
AC-2(13) De organisatie schakelt accounts uit van gebruikers die een aanzienlijk risico vormen in [FedRAMP Assignment: één (1) uur] van de detectie van het risico.	Schakel door de klant beheerde accounts van gebruikers uit die in één uur een aanzienlijk risico vormen. Configureer en schakel in Microsoft Entra ID Protection een beleid voor gebruikersrisico's in met de drempelwaarde die is ingesteld op Hoog. Maak beleid voor voorwaardelijke toegang om de toegang voor riskante gebruikers en riskante aanmeldingen te blokkeren. Configureer risicobeleid zodat gebruikers de volgende aanmeldingspogingen zelf kunnen herstellen en deblokkeren. Identiteitsbeveiliging Wat is Microsoft Entra ID ID Protection? Voorwaardelijke toegang Wat is voorwaardelijke toegang? Beleid voor voorwaardelijke toegang maken Voorwaardelijke toegang: Voorwaardelijke toegang op basis van gebruikersrisico's Voorwaardelijke toegang: op risico gebaseerde voorwaardelijke toegang aanmelden Zelfherstel met risicobeleid
AC-6(7) De organisatie: (a.) Beoordelingen [FedRAMP Assignment: minimaal, jaarlijks] de bevoegdheden die zijn toegewezen aan [FedRAMP Assignment: alle gebruikers met bevoegdheden] om de noodzaak van dergelijke bevoegdheden te valideren; en (b.) Wijs zo nodig bevoegdheden opnieuw toe of verwijdert deze om de bedrijfsmissie/bedrijfsbehoeften correct weer te geven.	Controleer en valideer alle gebruikers met bevoegde toegang elk jaar. Zorg ervoor dat bevoegdheden opnieuw worden toegewezen (of indien nodig worden verwijderd) zodat deze zijn uitgelijnd met de missie en bedrijfsvereisten van de organisatie. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen voor bevoegde gebruikers om te controleren of bevoegde toegang is vereist. Toegangsbeoordelingen Wat is Microsoft Entra-rechtenbeheer? Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management Toegang tot een toegangspakket controleren in Microsoft Entra-rechtenbeheer
Mislukte aanmeldingspogingen voor AC-7 De organisatie: (a.) Hiermee wordt een limiet afgedwongen van [FedRAMP Assignment: niet meer dan drie (3)] opeenvolgende ongeldige aanmeldingspogingen door een gebruiker tijdens een [FedRAMP-toewijzing: vijftien (15) minuten]; en (b.) Automatisch [Selectie: vergrendelt het account/knooppunt voor een [FedRAMP-toewijzing: minimaal drie (3) uur of totdat deze is ontgrendeld door een beheerder]; vertraagt de volgende aanmeldingsprompt volgens [Toewijzing: algoritme voor door de organisatie gedefinieerde vertraging]] wanneer het maximum aantal mislukte pogingen wordt overschreden.	Dwing een limiet af van maximaal drie opeenvolgende mislukte aanmeldingspogingen binnen een periode van 15 minuten bij door de klant geïmplementeerde resources. Vergrendel het account minimaal drie uur of totdat het is ontgrendeld door een beheerder. Schakel aangepaste instellingen voor slimme vergrendeling in. Configureer de vergrendelingsdrempel en vergrendelingsduur in seconden om deze vereisten te implementeren. Slimme vergrendeling Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra Slimme vergrendelingswaarden van Microsoft Entra beheren
Melding voor ac-8-systeemgebruik Het informatiesysteem: (a.) Geeft weer aan gebruikers [Toewijzing: door de organisatie gedefinieerd systeem meldingsbericht of banner (FedRAMP-toewijzing: zie aanvullende vereisten en richtlijnen)] voordat u toegang verleent tot het systeem dat privacy- en beveiligingsmeldingen biedt die consistent zijn met toepasselijke federale wetten, executive orders, richtlijnen, beleidsregels, voorschriften, standaarden en richtlijnen en staat dat: (1.) Gebruikers hebben toegang tot een Informatiesysteem van de Amerikaanse overheid; (2.) Het gebruik van het informatiesysteem kan worden bewaakt, geregistreerd en onderworpen aan controle; (3.) Onbevoegd gebruik van het informatiesysteem is verboden en onderworpen aan strafrechtelijke en civiele sancties; En (4.) Het gebruik van het informatiesysteem geeft toestemming voor bewaking en opname aan; (b.) Behoudt het meldingsbericht of de banner op het scherm totdat gebruikers de gebruiksvoorwaarden erkennen en expliciete acties ondernemen om zich aan te melden bij of verder toegang te krijgen tot het informatiesysteem; En (c.) Voor openbaar toegankelijke systemen: (1.) Geeft systeemgebruiksgegevens weer [Toewijzing: door de organisatie gedefinieerde voorwaarden (FedRAMP-toewijzing: zie aanvullende vereisten en richtlijnen)], voordat verdere toegang wordt verleend; (2.) Geeft verwijzingen weer die, indien van toepassing, verwijzen naar bewaking, opname of controle die consistent zijn met privacy-accommodaties voor dergelijke systemen die deze activiteiten in het algemeen verbieden; En (3.) Bevat een beschrijving van het geautoriseerde gebruik van het systeem. AC-8 Aanvullende FedRAMP-vereisten en richtlijnen: Vereiste: De serviceprovider bepaalt elementen van de cloudomgeving waarvoor het systeemgebruikmeldingsbeheer is vereist. De elementen van de cloudomgeving waarvoor systeemgebruiksmelding is vereist, worden goedgekeurd en geaccepteerd door de JAB/AO. Vereiste: De serviceprovider bepaalt hoe systeemgebruiksmelding wordt geverifieerd en de controle op de juiste periodieke wijze kan worden uitgevoerd. De verificatie en periodiciteit van de systeemgebruiksmelding worden goedgekeurd en geaccepteerd door de JAB/AO. Richtlijnen: Als deze worden uitgevoerd als onderdeel van een controle van de configuratiebasislijn, kan het percentage items dat is gecontroleerd en die geslaagde (of mislukte) controle worden opgegeven. Vereiste: Als deze niet wordt uitgevoerd als onderdeel van een configuratiebasislijncontrole, moet er een gedocumenteerde overeenkomst worden opgenomen over het verstrekken van resultaten van verificatie en de noodzakelijke periodiciteit van de verificatie door de serviceprovider. De gedocumenteerde overeenkomst over het verstrekken van verificatie van de resultaten wordt goedgekeurd en geaccepteerd door de JAB/AO.	Toon en vereis gebruikersbevestiging van privacy- en beveiligingsverklaringen voordat toegang wordt verleend tot informatiesystemen. Met Microsoft Entra ID kunt u meldingen of bannerberichten bezorgen voor alle apps die bevestiging vereisen en registreren voordat u toegang verleent. U kunt deze gebruiksvoorwaarden gedetailleerd richten op specifieke gebruikers (leden of gasten). U kunt ze ook per toepassing aanpassen via beleid voor voorwaardelijke toegang. Gebruiksvoorwaarden Gebruiksvoorwaarden voor Microsoft Entra Rapport bekijken waarin u kunt zien wie de overeenkomst hebben geaccepteerd en geweigerd
AC-10 Gelijktijdig sessiebeheer Het informatiesysteem beperkt het aantal gelijktijdige sessies voor elke [Toewijzing: door de organisatie gedefinieerd account en/of accounttype] tot [FedRAMP-toewijzing: drie (3) sessies voor bevoegde toegang en twee (2) sessies voor niet-bevoegde toegang].	Beperk gelijktijdige sessies tot drie sessies voor bevoegde toegang, en twee voor niet-bevoegde toegang. Momenteel maken gebruikers verbinding vanaf meerdere apparaten, soms tegelijkertijd. Het beperken van gelijktijdige sessies leidt tot een verminderde gebruikerservaring en biedt beperkte beveiliging. Een betere methode voor het aanpakken van de intentie achter dit besturingselement is de ingebruikname van een Zero-Trust-beveiligingspostuur. Voorwaarden worden expliciet gevalideerd voordat een sessie is gemaakt, en voortdurend gevalideerd gedurende de hele levensduur van een sessie. Gebruik bovendien de volgende compenserende besturingselementen. Gebruik beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om aanmeldingsbeperkingen voor gebruikers af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Gebruik Privileged Identity Management om bevoegde accounts verder te beperken en te beheren. Configureer slimme accountvergrendeling voor ongeldige aanmeldingspogingen. Begeleiding bij implementatie Zero Trust Identiteit beveiligen met Zero Trust Continue toegangsevaluatie in Microsoft Entra-id Voorwaardelijke toegang Wat is voorwaardelijke toegang in Microsoft Entra ID? Vereisen dat het apparaat moet worden gemarkeerd als compatibel Aanmeldingsfrequentie van gebruikers Beleidsregels voor apparaten Andere smartcard-groepsbeleidsinstellingen en registersleutels Overzicht van Microsoft Endpoint Manager Resources Wat is Microsoft Entra Privileged Identity Management? Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra Zie AC-12 voor meer richtlijnen voor herwaardering van sessies en voor risicobeperking.
AC-11 Sessievergrendeling Het informatiesysteem: a) Voorkomt verdere toegang tot het systeem door een sessievergrendeling te starten na [FedRAMP Assignment: vijftien (15) minuten] van inactiviteit of bij ontvangst van een verzoek van een gebruiker; en (b) Behoudt de sessievergrendeling totdat de gebruiker opnieuw toegang treedt met behulp van vastgestelde identificatie- en verificatieprocedures. AC-11(1) Het informatiesysteem verbergt, via de sessievergrendeling, informatie die eerder zichtbaar was op het scherm met een openbaar zichtbare afbeelding.	Implementeer een sessievergrendeling na een periode van 15 minuten inactiviteit, of bij het ontvangen van een aanvraag van een gebruiker. Behoud de sessievergrendeling totdat de gebruiker opnieuw verificatie uitvoert. Verberg eerder zichtbare informatie wanneer een sessievergrendeling wordt gestart. Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren. Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Aanmeldingsfrequentie van gebruikers MDM-beleid Configureer op apparaten het maximale aantal minuten inactiviteit voordat het scherm wordt vergrendeld (Android, iOS, Windows 10).
BEËINDIGING VAN AC-12-sessie Het informatiesysteem beëindigt automatisch een gebruikerssessie na [Toewijzing: door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen waarvoor sessie-verbinding is verbroken].	Beëindig gebruikerssessies automatisch wanneer door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen plaatsvinden. Implementeer automatische herwaardering van gebruikerssessies met Microsoft Entra-functies, zoals op risico's gebaseerde voorwaardelijke toegang en continue toegangsevaluatie. U kunt inactiviteitsvoorwaarden implementeren op apparaatniveau, zoals beschreven in AC-11. Resources Voorwaardelijke toegang op basis van aanmelding op basis van risico's Voorwaardelijke toegang op basis van gebruikersrisico's Continue toegangsevaluatie
AC-12(1) Het informatiesysteem: (a.) Biedt een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies wanneer verificatie wordt gebruikt om toegang te krijgen tot [Toewijzing: door de organisatie gedefinieerde informatiebronnen]; En (b.) Geeft een expliciet afmeldingsbericht weer aan gebruikers die de betrouwbare beëindiging van geverifieerde communicatiesessies aangeven. AC-8 Aanvullende FedRAMP-vereisten en richtlijnen: Richtlijnen: Testen voor afmeldingsfunctionaliteit (OTG-SESS-006) Testen voor afmeldingsfunctionaliteit	Bied een afmeldingsmogelijkheid voor alle sessies, en geef een expliciet afmeldingsbericht weer. Alle Microsoft Entra ID-webinterfaces bieden een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies. Wanneer SAML-toepassingen zijn geïntegreerd met Microsoft Entra ID, implementeert u eenmalige afmelding. Afmeldingsmogelijkheid Wanneer de gebruiker Overal Afmelden selecteert, worden alle huidige uitgegeven tokens ingetrokken. Bericht weergeven Microsoft Entra ID geeft automatisch een bericht weer na door de gebruiker geïnitieerde afmelding. Resources Uw recente aanmeldingsactiviteit weergeven en doorzoeken op de pagina Mijn aanmeldingen SAML-protocol voor eenmalige afmelding
AC-20 Gebruik van externe informatiesystemen De organisatie stelt voorwaarden vast, consistent met alle vertrouwensrelaties die zijn ingesteld met andere organisaties die eigenaar zijn van, werken en/of onderhouden van externe informatiesystemen, zodat geautoriseerde personen: (a.) Toegang tot het informatiesysteem vanuit externe informatiesystemen; En (b.) Door de organisatie beheerde informatie verwerken, opslaan of verzenden met behulp van externe informatiesystemen. AC-20(1) De organisatie staat geautoriseerde personen toe om een extern informatiesysteem te gebruiken om toegang te krijgen tot het informatiesysteem of om door de organisatie beheerde informatie alleen te verwerken, op te slaan of te verzenden wanneer de organisatie: (a.) Controleert de implementatie van vereiste beveiligingscontroles op het externe systeem zoals opgegeven in het informatiebeveiligingsbeleid en het beveiligingsplan van de organisatie; Of (b.) Behoudt goedgekeurde informatiesysteemverbinding of verwerkingsovereenkomsten met de organisatie-entiteit die als host fungeert voor het externe informatiesysteem.	Breng voorwaarden tot stand waarmee geautoriseerde personen toegang hebben tot de door de klant geïmplementeerde resources van externe informatiesystemen, zoals onbeheerde apparaten en externe netwerken. Vereis de acceptatie van gebruiksvoorwaarden voor geautoriseerde gebruikers die toegang hebben tot resources van externe systemen. Implementeer beleid voor voorwaardelijke toegang om de toegang van externe systemen te beperken. Beleid voor voorwaardelijke toegang kan worden geïntegreerd met Defender voor Cloud Apps om besturingselementen te bieden voor cloud- en on-premises toepassingen van externe systemen. Mobile Application Management in Intune kan organisatiegegevens beveiligen op toepassingsniveau, inclusief aangepaste apps en store-apps, van beheerde apparaten die communiceren met externe systemen. Een voorbeeld hiervan is het openen van cloudservices. U kunt app-beheer gebruiken op apparaten in bedrijfseigendom en persoonlijke apparaten. Algemene voorwaarden Gebruiksvoorwaarden: Microsoft Entra-id Voorwaardelijke toegang Vereisen dat het apparaat moet worden gemarkeerd als compatibel Voorwaarden in beleid voor voorwaardelijke toegang: Apparaatstatus (preview) Beveiligen met App-beheer voor voorwaardelijke toegang van Microsoft Defender for Cloud Apps Locatievoorwaarde in Microsoft Entra voorwaardelijke toegang MDM Wat is Microsoft Intune? Wat is Defender for Cloud Apps? Wat is app-beheer in Microsoft Intune? Bron On-premises apps integreren met Defender for Cloud Apps

FedRAMP Control ID en beschrijving

Richtlijnen en aanbevelingen voor Microsoft Entra

AC-2 ACCOUNTBEHEER

De organisatie
(a.) Identificeert en selecteert de volgende soorten informatiesysteemaccounts ter ondersteuning van organisatiemissies/bedrijfsfuncties: [Toewijzing: door de organisatie gedefinieerde typen informatiesysteemaccounts];

(b.) Wijst accountbeheerders toe voor informatiesysteemaccounts;

(c.) Stelt voorwaarden vast voor groep- en rollidmaatschap;

(d.) Hiermee geeft u geautoriseerde gebruikers van het informatiesysteem, groep en rollidmaatschap, en toegangsautorisaties (d.w.v. bevoegdheden) en andere kenmerken (zoals vereist) voor elk account op;

(e.) Vereist goedkeuringen door [Toewijzing: door de organisatie gedefinieerd personeel of rollen] voor aanvragen voor het maken van informatiesysteemaccounts;

(f.) Maakt, schakelt, wijzigt, uitschakelt en verwijdert informatiesysteemaccounts in overeenstemming met [Toewijzing: door de organisatie gedefinieerde procedures of voorwaarden];

(g.) Bewaakt het gebruik van informatiesysteemaccounts;

(h.) Hiermee wordt accountmanagers op de hoogte gehouden:
(1.) Wanneer accounts niet meer nodig zijn;
(2.) Wanneer gebruikers worden beëindigd of overgedragen; En
(3.) Wanneer het gebruik van afzonderlijke informatiesystemen of de noodzaak om te weten wijzigingen aanbrengt;

(i.) Autoriseert toegang tot het informatiesysteem op basis van:
(1.) Een geldige toegangsautorisatie;
(2.) Beoogd systeemgebruik; En
(3.) Andere kenmerken zoals vereist door de organisatie of bijbehorende missies/bedrijfsfuncties;

(j.) Controleert accounts op naleving van accountbeheervereisten [FedRAMP-toewijzing: maandelijks voor bevoegde toegang, elke zes (6) maanden voor niet-bevoegde toegang]; en

(k.) Hiermee wordt een proces vastgesteld voor het opnieuw uitgeven van referenties voor gedeelde/groepsaccounts (indien geïmplementeerd) wanneer personen uit de groep worden verwijderd.

Beheer van de accountlevenscycli implementeren voor door de klant beheerde accounts. Bewaak het gebruik van accounts en informeer accountmanagers over levenscyclus-gebeurtenissen van accounts. Controleer accounts op naleving van accountbeheervereisten, maandelijks voor bevoegde toegang, en elke zes maanden voor niet-gemachtigde toegang.

Gebruik Microsoft Entra ID om accounts van externe HR-systemen, on-premises Active Directory of rechtstreeks in de cloud in te richten. Alle levenscyclusbewerkingen van accounts worden gecontroleerd in de Microsoft Entra-auditlogboeken. U kunt logboeken verzamelen en analyseren met behulp van een SIEM-oplossing (Security Information and Event Management), zoals Microsoft Sentinel. U kunt ook Azure Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden, om bewaking en meldingen in te schakelen. Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen om de nalevingsstatus van accounts te garanderen.

Accounts inrichten

Cloud-HR-toepassing plannen voor inrichting van Microsoft Entra-gebruikers

Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen

Gebruikers toevoegen of verwijderen met behulp van Microsoft Entra ID

Accounts bewaken

Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum

Verbinding maken Microsoft Entra-gegevens naar Microsoft Sentinel

Zelfstudie: logboeken streamen naar een Azure Event Hub

Rekeningen controleren

Wat is Microsoft Entra-rechtenbeheer?

Een toegangsbeoordeling van een toegangspakket maken in Microsoft Entra-rechtenbeheer

Toegang tot een toegangspakket controleren in Microsoft Entra-rechtenbeheer

Resources

Machtigingen voor Beheerdersrol in Microsoft Entra ID

Dynamische groepen in Microsoft Entra-id

AC-2(1)
De organisatie maakt gebruik van geautomatiseerde mechanismen ter ondersteuning van het beheer van informatiesysteemaccounts.

Gebruik geautomatiseerde mechanismen ter ondersteuning van het beheer van door de klant beheerde accounts.

Configureer geautomatiseerde inrichting van door de klant beheerde accounts van externe HR-systemen of on-premises Active Directory. Voor toepassingen die ondersteuning bieden voor het inrichten van toepassingen, configureert u Microsoft Entra-id om automatisch gebruikersidentiteiten en -rollen te maken in cloudsoftware als oplossingstoepassingen (SaaS) waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Als u de bewaking van het accountgebruik wilt vereenvoudigen, kunt u Logboeken van Microsoft Entra ID Protection streamen, die riskante gebruikers, riskante aanmeldingen en risicodetecties en auditlogboeken rechtstreeks in Microsoft Sentinel of Event Hubs tonen.

inrichten

Cloud-HR-toepassing plannen voor inrichting van Microsoft Entra-gebruikers

Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen

Wat is geautomatiseerde inrichting van Gebruikers van SaaS-apps in Microsoft Entra ID?

Zelfstudies voor integratie van SaaS-apps voor gebruik met Microsoft Entra ID

Bewaken en controleren

Risico onderzoeken

Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum

Wat is Microsoft Sentinel?

Microsoft Sentinel: Verbinding maken gegevens van Microsoft Entra-id

Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub

AC-2(2)
Het informatiesysteem wordt automatisch [FedRAMP Selection: uitgeschakeld] tijdelijke en noodaccounts na [FedRAMP Assignment: 24 uur na laatste gebruik].

AC-02(3)
Het informatiesysteem schakelt automatisch inactieve accounts uit na [FedRAMP Assignment: dertig-vijf (35) dagen voor gebruikersaccounts].

AC-2 (3) Aanvullende FedRAMP-vereisten en richtlijnen:
Vereiste: De serviceprovider definieert de periode voor niet-gebruikersaccounts (bijvoorbeeld accounts die zijn gekoppeld aan apparaten). De perioden worden goedgekeurd en geaccepteerd door de JAB/AO. Wanneer gebruikersbeheer een functie van de dienst is, worden rapporten van activiteiten van consumentengebruikers beschikbaar gesteld.

Gebruik geautomatiseerde mechanismen ter ondersteuning van het automatisch verwijderen of uitschakelen van tijdelijke accounts en noodaccounts 24 uur na het laatste gebruik, en alle door de klant beheerde accounts na 35 dagen inactiviteit.

Automatisering van accountbeheer implementeren met Microsoft Graph en Microsoft Graph PowerShell. Gebruik Microsoft Graph om aanmeldingsactiviteiten en Microsoft Graph PowerShell te controleren om binnen het vereiste tijdsbestek actie te ondernemen op accounts.

Inactiviteit bepalen

Inactieve gebruikersaccounts beheren in Microsoft Entra-id

Verlopen apparaten beheren in Microsoft Entra-id

Accounts verwijderen of uitschakelen

Werken met gebruikers in Microsoft Graph

Een gebruiker ophalen

Gebruiker bijwerken

Een gebruiker verwijderen

Werken met apparaaten in Microsoft Graph

Apparaat ophalen

Apparaat bijwerken

Apparaat verwijderen

Zie de documentatie voor Microsoft Graph PowerShell

AC-2(4)
Het informatiesysteem controleert automatisch het maken, wijzigen, inschakelen, uitschakelen en verwijderen van accounts en meldt [FedRAMP Assignment: organisatie- en/of serviceprovidersysteemeigenaar].

Implementeer een geautomatiseerd controle- en meldingssysteem voor de levenscyclus van het beheren van door de klant beheerde accounts.

Alle levenscyclusbewerkingen van accounts, zoals account maken, wijzigen, inschakelen, uitschakelen en verwijderen, worden gecontroleerd in de Azure-auditlogboeken. U kunt de logboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met meldingen.

Audit

Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum

Microsoft Sentinel: Verbinding maken gegevens van Microsoft Entra-id

Melding

Wat is Microsoft Sentinel?

Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub

AC-2(5)
De organisatie vereist dat gebruikers zich afmelden wanneer [FedRAMP Assignment: inactiviteit naar verwachting langer is dan vijftien (15) minuten].

AC-2 (5) Aanvullende FedRAMP-vereisten en richtlijnen:
Richtlijnen: Gebruik een kortere periode dan AC-12

Implementeer het afmelden van apparaten na een periode van 15 minuten inactiviteit.

Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang waarmee de toegang tot compatibele apparaten wordt beperkt. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen (Mobile Device Management) zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren.

Voorwaardelijke toegang

Vereisen dat het apparaat moet worden gemarkeerd als compatibel

Aanmeldingsfrequentie van gebruikers

MDM-beleid

Configureer op apparaten het maximale aantal minuten inactiviteit voordat het scherm wordt vergrendeld en een wachtwoord is vereist om te ontgrendelen (Android, iOS, Windows 10).

AC-2(7)

De organisatie:
(a.) Stelt bevoegde gebruikersaccounts vast en beheert deze in overeenstemming met een op rollen gebaseerd toegangsschema dat toegestane toegang tot het informatiesysteem en bevoegdheden in rollen organiseert;
b) Bewaakt bevoorrechte roltoewijzingen; en
(c) Neemt [FedRAMP Assignment: schakelt/intrekt toegang binnen een door de organisatie opgegeven periode] wanneer bevoorrechte roltoewijzingen niet meer geschikt zijn.

Beheer en bewaak toewijzingen van bevoorrechte rollen door een op rollen gebaseerd toegangsschema te volgen voor door de klant beheerde accounts. Schakel toegang tot bevoegdheden voor accounts uit of trek deze bevoegdheid in wanneer ze niet meer geschikt zijn.

Implementeer Microsoft Entra Privileged Identity Management met toegangsbeoordelingen voor bevoorrechte rollen in Microsoft Entra ID om roltoewijzingen te bewaken en roltoewijzingen te verwijderen wanneer deze niet meer geschikt zijn. U kunt de auditlogboeken rechtstreeks streamen naar Microsoft Sentinel of Event Hubs om u te helpen met bewaken.

Beheren

Wat is Microsoft Entra Privileged Identity Management?

Maximale activeringsduur

Monitor

Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management

Controlegeschiedenis voor Microsoft Entra-rollen weergeven in Privileged Identity Management

Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum

Wat is Microsoft Sentinel?

Verbinding maken gegevens uit Microsoft Entra-id

Zelfstudie: Microsoft Entra-logboeken streamen naar een Azure Event Hub

AC-2(11)
Het informatiesysteem dwingt [Toewijzing: door de organisatie gedefinieerde omstandigheden en/of gebruiksvoorwaarden] af voor [Toewijzing: door de organisatie gedefinieerde informatiesysteemaccounts].

Dwing het gebruik van door de klant beheerde accounts af, om te voldoen aan door de klant gedefinieerde voorwaarden of omstandigheden.

Maak beleid voor voorwaardelijke toegang om beslissingen voor toegangsbeheer af te dwingen voor gebruikers en apparaten.

Voorwaardelijke toegang

Beleid voor voorwaardelijke toegang maken

Wat is voorwaardelijke toegang?

AC-2(12)

De organisatie:
a) Bewaakt informatiesysteemaccounts voor [Toewijzing: door de organisatie gedefinieerd atypisch gebruik]; en
(b) Rapporteert atypisch gebruik van informatiesysteemaccounts aan [FedRAMP Assignment: minimaal de ISSO en/of soortgelijke rol binnen de organisatie].

AC-2 (12) (a) en AC-2 (12) (b) Aanvullende FedRAMP-vereisten en richtlijnen:
Vereist voor bevoegde accounts.

Bewaak en rapporteer door de klant beheerde accounts met bevoegde toegang voor atypisch gebruik.

Voor hulp bij het bewaken van atypisch gebruik kunt u Identity Protection-logboeken streamen, die riskante gebruikers, riskante aanmeldingen en risicodetecties bevatten, alsook auditlogboeken, die helpen bij correlatie met bevoegdheidstoewijzing, rechtstreeks in een SIEM-oplossing zoals Microsoft Sentinel. U kunt ook Event Hubs gebruiken om logboeken te integreren met SIEM-oplossingen van derden.

Identiteitsbeveiliging

Wat is Microsoft Entra ID ID Protection?

Risico onderzoeken

Microsoft Entra ID Protection-meldingen

Accounts bewaken

Wat is Microsoft Sentinel?

Controle-activiteitenrapporten in het Microsoft Entra-beheercentrum

Verbinding maken Microsoft Entra-gegevens naar Microsoft Sentinel

Zelfstudie: logboeken streamen naar een Azure Event Hub

AC-2(13)
De organisatie schakelt accounts uit van gebruikers die een aanzienlijk risico vormen in [FedRAMP Assignment: één (1) uur] van de detectie van het risico.

Schakel door de klant beheerde accounts van gebruikers uit die in één uur een aanzienlijk risico vormen.

Configureer en schakel in Microsoft Entra ID Protection een beleid voor gebruikersrisico's in met de drempelwaarde die is ingesteld op Hoog. Maak beleid voor voorwaardelijke toegang om de toegang voor riskante gebruikers en riskante aanmeldingen te blokkeren. Configureer risicobeleid zodat gebruikers de volgende aanmeldingspogingen zelf kunnen herstellen en deblokkeren.

Identiteitsbeveiliging

Wat is Microsoft Entra ID ID Protection?

Voorwaardelijke toegang

Wat is voorwaardelijke toegang?

Beleid voor voorwaardelijke toegang maken

Voorwaardelijke toegang: Voorwaardelijke toegang op basis van gebruikersrisico's

Voorwaardelijke toegang: op risico gebaseerde voorwaardelijke toegang aanmelden

Zelfherstel met risicobeleid

AC-6(7)

De organisatie:
(a.) Beoordelingen [FedRAMP Assignment: minimaal, jaarlijks] de bevoegdheden die zijn toegewezen aan [FedRAMP Assignment: alle gebruikers met bevoegdheden] om de noodzaak van dergelijke bevoegdheden te valideren; en
(b.) Wijs zo nodig bevoegdheden opnieuw toe of verwijdert deze om de bedrijfsmissie/bedrijfsbehoeften correct weer te geven.

Controleer en valideer alle gebruikers met bevoegde toegang elk jaar. Zorg ervoor dat bevoegdheden opnieuw worden toegewezen (of indien nodig worden verwijderd) zodat deze zijn uitgelijnd met de missie en bedrijfsvereisten van de organisatie.

Gebruik Microsoft Entra-rechtenbeheer met toegangsbeoordelingen voor bevoegde gebruikers om te controleren of bevoegde toegang is vereist.

Toegangsbeoordelingen

Wat is Microsoft Entra-rechtenbeheer?

Een toegangsbeoordeling maken van Microsoft Entra-rollen in Privileged Identity Management

Toegang tot een toegangspakket controleren in Microsoft Entra-rechtenbeheer

Mislukte aanmeldingspogingen voor AC-7

De organisatie:
(a.) Hiermee wordt een limiet afgedwongen van [FedRAMP Assignment: niet meer dan drie (3)] opeenvolgende ongeldige aanmeldingspogingen door een gebruiker tijdens een [FedRAMP-toewijzing: vijftien (15) minuten]; en
(b.) Automatisch [Selectie: vergrendelt het account/knooppunt voor een [FedRAMP-toewijzing: minimaal drie (3) uur of totdat deze is ontgrendeld door een beheerder]; vertraagt de volgende aanmeldingsprompt volgens [Toewijzing: algoritme voor door de organisatie gedefinieerde vertraging]] wanneer het maximum aantal mislukte pogingen wordt overschreden.

Dwing een limiet af van maximaal drie opeenvolgende mislukte aanmeldingspogingen binnen een periode van 15 minuten bij door de klant geïmplementeerde resources. Vergrendel het account minimaal drie uur of totdat het is ontgrendeld door een beheerder.

Schakel aangepaste instellingen voor slimme vergrendeling in. Configureer de vergrendelingsdrempel en vergrendelingsduur in seconden om deze vereisten te implementeren.

Slimme vergrendeling

Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra

Slimme vergrendelingswaarden van Microsoft Entra beheren

Melding voor ac-8-systeemgebruik

Het informatiesysteem:
(a.) Geeft weer aan gebruikers [Toewijzing: door de organisatie gedefinieerd systeem meldingsbericht of banner (FedRAMP-toewijzing: zie aanvullende vereisten en richtlijnen)] voordat u toegang verleent tot het systeem dat privacy- en beveiligingsmeldingen biedt die consistent zijn met toepasselijke federale wetten, executive orders, richtlijnen, beleidsregels, voorschriften, standaarden en richtlijnen en staat dat:
(1.) Gebruikers hebben toegang tot een Informatiesysteem van de Amerikaanse overheid;
(2.) Het gebruik van het informatiesysteem kan worden bewaakt, geregistreerd en onderworpen aan controle;
(3.) Onbevoegd gebruik van het informatiesysteem is verboden en onderworpen aan strafrechtelijke en civiele sancties; En
(4.) Het gebruik van het informatiesysteem geeft toestemming voor bewaking en opname aan;

(b.) Behoudt het meldingsbericht of de banner op het scherm totdat gebruikers de gebruiksvoorwaarden erkennen en expliciete acties ondernemen om zich aan te melden bij of verder toegang te krijgen tot het informatiesysteem; En

(c.) Voor openbaar toegankelijke systemen:
(1.) Geeft systeemgebruiksgegevens weer [Toewijzing: door de organisatie gedefinieerde voorwaarden (FedRAMP-toewijzing: zie aanvullende vereisten en richtlijnen)], voordat verdere toegang wordt verleend;
(2.) Geeft verwijzingen weer die, indien van toepassing, verwijzen naar bewaking, opname of controle die consistent zijn met privacy-accommodaties voor dergelijke systemen die deze activiteiten in het algemeen verbieden; En
(3.) Bevat een beschrijving van het geautoriseerde gebruik van het systeem.

AC-8 Aanvullende FedRAMP-vereisten en richtlijnen:
Vereiste: De serviceprovider bepaalt elementen van de cloudomgeving waarvoor het systeemgebruikmeldingsbeheer is vereist. De elementen van de cloudomgeving waarvoor systeemgebruiksmelding is vereist, worden goedgekeurd en geaccepteerd door de JAB/AO.
Vereiste: De serviceprovider bepaalt hoe systeemgebruiksmelding wordt geverifieerd en de controle op de juiste periodieke wijze kan worden uitgevoerd. De verificatie en periodiciteit van de systeemgebruiksmelding worden goedgekeurd en geaccepteerd door de JAB/AO.
Richtlijnen: Als deze worden uitgevoerd als onderdeel van een controle van de configuratiebasislijn, kan het percentage items dat is gecontroleerd en die geslaagde (of mislukte) controle worden opgegeven.
Vereiste: Als deze niet wordt uitgevoerd als onderdeel van een configuratiebasislijncontrole, moet er een gedocumenteerde overeenkomst worden opgenomen over het verstrekken van resultaten van verificatie en de noodzakelijke periodiciteit van de verificatie door de serviceprovider. De gedocumenteerde overeenkomst over het verstrekken van verificatie van de resultaten wordt goedgekeurd en geaccepteerd door de JAB/AO.

Toon en vereis gebruikersbevestiging van privacy- en beveiligingsverklaringen voordat toegang wordt verleend tot informatiesystemen.

Met Microsoft Entra ID kunt u meldingen of bannerberichten bezorgen voor alle apps die bevestiging vereisen en registreren voordat u toegang verleent. U kunt deze gebruiksvoorwaarden gedetailleerd richten op specifieke gebruikers (leden of gasten). U kunt ze ook per toepassing aanpassen via beleid voor voorwaardelijke toegang.

Gebruiksvoorwaarden

Gebruiksvoorwaarden voor Microsoft Entra

Rapport bekijken waarin u kunt zien wie de overeenkomst hebben geaccepteerd en geweigerd

AC-10 Gelijktijdig sessiebeheer
Het informatiesysteem beperkt het aantal gelijktijdige sessies voor elke [Toewijzing: door de organisatie gedefinieerd account en/of accounttype] tot [FedRAMP-toewijzing: drie (3) sessies voor bevoegde toegang en twee (2) sessies voor niet-bevoegde toegang].

Beperk gelijktijdige sessies tot drie sessies voor bevoegde toegang, en twee voor niet-bevoegde toegang.

Momenteel maken gebruikers verbinding vanaf meerdere apparaten, soms tegelijkertijd. Het beperken van gelijktijdige sessies leidt tot een verminderde gebruikerservaring en biedt beperkte beveiliging. Een betere methode voor het aanpakken van de intentie achter dit besturingselement is de ingebruikname van een Zero-Trust-beveiligingspostuur. Voorwaarden worden expliciet gevalideerd voordat een sessie is gemaakt, en voortdurend gevalideerd gedurende de hele levensduur van een sessie.

Gebruik bovendien de volgende compenserende besturingselementen.

Gebruik beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om aanmeldingsbeperkingen voor gebruikers af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties.

Gebruik Privileged Identity Management om bevoegde accounts verder te beperken en te beheren.

Configureer slimme accountvergrendeling voor ongeldige aanmeldingspogingen.

Begeleiding bij implementatie

Zero Trust

Identiteit beveiligen met Zero Trust

Continue toegangsevaluatie in Microsoft Entra-id

Voorwaardelijke toegang

Wat is voorwaardelijke toegang in Microsoft Entra ID?

Vereisen dat het apparaat moet worden gemarkeerd als compatibel

Aanmeldingsfrequentie van gebruikers

Beleidsregels voor apparaten

Andere smartcard-groepsbeleidsinstellingen en registersleutels

Overzicht van Microsoft Endpoint Manager

Resources

Wat is Microsoft Entra Privileged Identity Management?

Gebruikersaccounts beveiligen tegen aanvallen met Smart Lockout van Microsoft Entra

Zie AC-12 voor meer richtlijnen voor herwaardering van sessies en voor risicobeperking.

AC-11 Sessievergrendeling
Het informatiesysteem:
a) Voorkomt verdere toegang tot het systeem door een sessievergrendeling te starten na [FedRAMP Assignment: vijftien (15) minuten] van inactiviteit of bij ontvangst van een verzoek van een gebruiker; en
(b) Behoudt de sessievergrendeling totdat de gebruiker opnieuw toegang treedt met behulp van vastgestelde identificatie- en verificatieprocedures.

AC-11(1)
Het informatiesysteem verbergt, via de sessievergrendeling, informatie die eerder zichtbaar was op het scherm met een openbaar zichtbare afbeelding.

Implementeer een sessievergrendeling na een periode van 15 minuten inactiviteit, of bij het ontvangen van een aanvraag van een gebruiker. Behoud de sessievergrendeling totdat de gebruiker opnieuw verificatie uitvoert. Verberg eerder zichtbare informatie wanneer een sessievergrendeling wordt gestart.

Apparaatvergrendeling implementeren met behulp van beleid voor voorwaardelijke toegang om de toegang tot compatibele apparaten te beperken. Configureer beleidsinstellingen op het apparaat om apparaatvergrendeling af te dwingen op besturingssysteemniveau, met MDM-oplossingen zoals Intune. Endpoint Manager of groepsbeleidsobjecten kunnen ook worden overwogen in hybride implementaties. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie, om gebruikers te dwingen opnieuw te verifiëren.

Voorwaardelijke toegang

Vereisen dat het apparaat moet worden gemarkeerd als compatibel

Aanmeldingsfrequentie van gebruikers

MDM-beleid

Configureer op apparaten het maximale aantal minuten inactiviteit voordat het scherm wordt vergrendeld (Android, iOS, Windows 10).

BEËINDIGING VAN AC-12-sessie
Het informatiesysteem beëindigt automatisch een gebruikerssessie na [Toewijzing: door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen waarvoor sessie-verbinding is verbroken].

Beëindig gebruikerssessies automatisch wanneer door de organisatie gedefinieerde voorwaarden of triggergebeurtenissen plaatsvinden.

Implementeer automatische herwaardering van gebruikerssessies met Microsoft Entra-functies, zoals op risico's gebaseerde voorwaardelijke toegang en continue toegangsevaluatie. U kunt inactiviteitsvoorwaarden implementeren op apparaatniveau, zoals beschreven in AC-11.

Resources

Voorwaardelijke toegang op basis van aanmelding op basis van risico's

Voorwaardelijke toegang op basis van gebruikersrisico's

Continue toegangsevaluatie

AC-12(1)
Het informatiesysteem:
(a.) Biedt een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies wanneer verificatie wordt gebruikt om toegang te krijgen tot [Toewijzing: door de organisatie gedefinieerde informatiebronnen]; En
(b.) Geeft een expliciet afmeldingsbericht weer aan gebruikers die de betrouwbare beëindiging van geverifieerde communicatiesessies aangeven.

AC-8 Aanvullende FedRAMP-vereisten en richtlijnen:
Richtlijnen: Testen voor afmeldingsfunctionaliteit (OTG-SESS-006) Testen voor afmeldingsfunctionaliteit

Bied een afmeldingsmogelijkheid voor alle sessies, en geef een expliciet afmeldingsbericht weer.

Alle Microsoft Entra ID-webinterfaces bieden een afmeldingsmogelijkheid voor door de gebruiker geïnitieerde communicatiesessies. Wanneer SAML-toepassingen zijn geïntegreerd met Microsoft Entra ID, implementeert u eenmalige afmelding.

Afmeldingsmogelijkheid

Wanneer de gebruiker Overal Afmelden selecteert, worden alle huidige uitgegeven tokens ingetrokken.

Bericht weergeven
Microsoft Entra ID geeft automatisch een bericht weer na door de gebruiker geïnitieerde afmelding.

Schermopname van het bericht voor toegangsbeheer.

Resources

Uw recente aanmeldingsactiviteit weergeven en doorzoeken op de pagina Mijn aanmeldingen

SAML-protocol voor eenmalige afmelding

AC-20 Gebruik van externe informatiesystemen
De organisatie stelt voorwaarden vast, consistent met alle vertrouwensrelaties die zijn ingesteld met andere organisaties die eigenaar zijn van, werken en/of onderhouden van externe informatiesystemen, zodat geautoriseerde personen:
(a.) Toegang tot het informatiesysteem vanuit externe informatiesystemen; En
(b.) Door de organisatie beheerde informatie verwerken, opslaan of verzenden met behulp van externe informatiesystemen.

AC-20(1)
De organisatie staat geautoriseerde personen toe om een extern informatiesysteem te gebruiken om toegang te krijgen tot het informatiesysteem of om door de organisatie beheerde informatie alleen te verwerken, op te slaan of te verzenden wanneer de organisatie:
(a.) Controleert de implementatie van vereiste beveiligingscontroles op het externe systeem zoals opgegeven in het informatiebeveiligingsbeleid en het beveiligingsplan van de organisatie; Of
(b.) Behoudt goedgekeurde informatiesysteemverbinding of verwerkingsovereenkomsten met de organisatie-entiteit die als host fungeert voor het externe informatiesysteem.

Breng voorwaarden tot stand waarmee geautoriseerde personen toegang hebben tot de door de klant geïmplementeerde resources van externe informatiesystemen, zoals onbeheerde apparaten en externe netwerken.

Vereis de acceptatie van gebruiksvoorwaarden voor geautoriseerde gebruikers die toegang hebben tot resources van externe systemen. Implementeer beleid voor voorwaardelijke toegang om de toegang van externe systemen te beperken. Beleid voor voorwaardelijke toegang kan worden geïntegreerd met Defender voor Cloud Apps om besturingselementen te bieden voor cloud- en on-premises toepassingen van externe systemen. Mobile Application Management in Intune kan organisatiegegevens beveiligen op toepassingsniveau, inclusief aangepaste apps en store-apps, van beheerde apparaten die communiceren met externe systemen. Een voorbeeld hiervan is het openen van cloudservices. U kunt app-beheer gebruiken op apparaten in bedrijfseigendom en persoonlijke apparaten.

Algemene voorwaarden

Gebruiksvoorwaarden: Microsoft Entra-id

Voorwaardelijke toegang

Vereisen dat het apparaat moet worden gemarkeerd als compatibel

Voorwaarden in beleid voor voorwaardelijke toegang: Apparaatstatus (preview)

Beveiligen met App-beheer voor voorwaardelijke toegang van Microsoft Defender for Cloud Apps

Locatievoorwaarde in Microsoft Entra voorwaardelijke toegang

MDM

Wat is Microsoft Intune?

Wat is Defender for Cloud Apps?

Wat is app-beheer in Microsoft Intune?

Bron