Delen via

Identificatie- en verificatiecontroles configureren om te voldoen aan fedRAMP High Impact-niveau met Microsoft Entra-id

  • Artikel

Identificatie en verificatie zijn essentieel voor het bereiken van een Federal Risk and Authorization Management Program (FedRAMP) High Impact Level.

De volgende lijst met besturingselementen en verbeteringen in de IA-familie (Identificatie en verificatie) vereist mogelijk configuratie in uw Microsoft Entra-tenant.

Besturingsfamilie Beschrijving
IA-2 Identificatie en verificatie (organisatiegebruikers)
IA-3 Apparaatidentificatie en -verificatie
IA-4 Id-beheer
IA-5 Verificatorbeheer
IA-6 Feedback over verificator
IA-7 Verificatie van cryptografische modules
IA-8 Identificatie en verificatie (niet-organisatiegebruikers)

Elke rij in de volgende tabel bevat voorlichtingsrichtlijnen om u te helpen bij het ontwikkelen van de reactie van uw organisatie op eventuele gedeelde verantwoordelijkheden voor de (uitbreidingen voor) besturingselementen.

Configuraties

FedRAMP Control ID en beschrijving Richtlijnen en aanbevelingen voor Microsoft Entra
IA-2 Gebruikersidentificatie en -verificatie
Het informatiesysteem identificeert en verifieert gebruikers van organisaties (of processen die handelen namens gebruikers van de organisatie).		 Identificeer en verifieer gebruikers of processen die fungeren voor gebruikers op unieke wijze.

Microsoft Entra ID identificeert unieke objecten voor gebruikers- en service-principals rechtstreeks. Microsoft Entra ID biedt meerdere verificatiemethoden en u kunt methoden configureren die voldoen aan het NIST-verificatieniveau (National Institute of Standards and Technology) 3.

Identificatiemiddelen

  • Gebruikers: Werken met gebruikers in Microsoft Graph: id-eigenschap
  • Service-principals: ServicePrincipal-resourcetype: id-eigenschap

    Verificatie en meervoudige verificatie

  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform
    		•
    IA-2(1)
    Het informatiesysteem implementeert meervoudige verificatie voor netwerktoegang tot bevoegde accounts.

    IA-2(3)
    Het informatiesysteem implementeert meervoudige verificatie voor lokale toegang tot bevoegde accounts.    		 meervoudige verificatie voor alle toegang tot bevoegde accounts.

    Configureer de volgende elementen voor een volledige oplossing om ervoor te zorgen dat alle toegang tot bevoegde accounts meervoudige verificatie vereist.

    Configureer beleid voor voorwaardelijke toegang om meervoudige verificatie voor alle gebruikers te vereisen.
    Implementeer Microsoft Entra Privileged Identity Management om meervoudige verificatie te vereisen voor activering van bevoorrechte roltoewijzing voordat u deze gebruikt.

    Met de activeringsvereiste voor Privileged Identity Management is activering van bevoegdhedenaccounts niet mogelijk zonder netwerktoegang, zodat lokale toegang nooit bevoegd is.

    meervoudige verificatie en Privileged Identity Management

  • Voorwaardelijke toegang: meervoudige verificatie vereisen voor alle gebruikers
  • Microsoft Entra-rolinstellingen configureren in Privileged Identity Management
    		•
    IA-2(2)
    Het informatiesysteem implementeert meervoudige verificatie voor netwerktoegang tot niet-bevoegde accounts.

    IA-2(4)
    Het informatiesysteem implementeert meervoudige verificatie voor lokale toegang tot niet-gemachtigde accounts.    		 Meervoudige verificatie implementeren voor alle toegang tot niet-gemachtigde accounts

    Configureer de volgende elementen als een algemene oplossing om ervoor te zorgen dat voor alle toegang tot niet-gemachtigde accounts MFA is vereist.

    Configureer beleid voor voorwaardelijke toegang om MFA voor alle gebruikers te vereisen.
    Configureer apparaatbeheerbeleid via MDM (zoals Microsoft Intune), Microsoft Endpoint Manager (MEM) of groepsbeleidsobjecten (GPO) om het gebruik van specifieke verificatiemethoden af te dwingen.
    Configureer beleid voor voorwaardelijke toegang om apparaatcompatibiliteit af te dwingen.

    Microsoft raadt aan om een cryptografische hardware authenticator (bijvoorbeeld FIDO2-beveiligingssleutels, Windows Hello voor Bedrijven (met hardware TPM) of smartcard te gebruiken om AAL3 te bereiken. Als uw organisatie is gebaseerd op de cloud, raden we u aan FIDO2-beveiligingssleutels of Windows Hello voor Bedrijven te gebruiken.

    Windows Hello voor Bedrijven niet is gevalideerd op het vereiste FIPS 140-beveiligingsniveau en als zodanig moeten federale klanten een risicoanalyse en evaluatie uitvoeren voordat ze deze accepteren als AAL3. Zie Microsoft NIST ACL's voor meer informatie over Windows Hello voor Bedrijven FIPS 140-validatie.

    Zie de volgende richtlijnen met betrekking tot MDM-beleid verschillen enigszins op basis van verificatiemethoden.

    Smartcard/Windows Hello voor Bedrijven
    Strategie zonder wachtwoord: vereisen Windows Hello voor Bedrijven of smartcard
    Vereisen dat het apparaat moet worden gemarkeerd als compatibel
    Voorwaardelijke toegang - MFA vereisen voor alle gebruikers

    Alleen hybride
    Strategie zonder wachtwoord : gebruikersaccounts configureren om wachtwoordverificatie niet toe te laten

    Alleen smartcard
    Een regel maken om een verificatiemethodeclaim te verzenden
    Verificatiebeleid configureren

    FIDO2-beveiligingssleutel
    Strategie zonder wachtwoord : de wachtwoordreferentieprovider uitsluiten
    Vereisen dat het apparaat moet worden gemarkeerd als compatibel
    Voorwaardelijke toegang - MFA vereisen voor alle gebruikers

    Verificatiemethoden
    Aanmelden zonder wachtwoord van Microsoft Entra (preview) | FIDO2-beveiligingssleutels
    Aanmelden met een wachtwoordloze beveiligingssleutel in Windows - Microsoft Entra-id
    ADFS: Certificaatverificatie met Microsoft Entra-id en Office 365
    Hoe smartcard-aanmelding werkt in Windows (Windows 10)
    overzicht van Windows Hello voor Bedrijven (Windows 10)

    Aanvullende bronnen:
    Beleids-CSP - Windows Client Management
    Een implementatie van verificatie zonder wachtwoord plannen met Microsoft Entra-id
    IA-2(5)
    De organisatie vereist dat personen worden geverifieerd met een afzonderlijke verificator wanneer een groepsauthenticator wordt gebruikt.    		 Wanneer meerdere gebruikers toegang hebben tot een wachtwoord voor een gedeeld of groepsaccount, moet elke gebruiker zich eerst verifiëren met behulp van een afzonderlijke verificator.

    Gebruik een afzonderlijk account per gebruiker. Als een gedeeld account is vereist, staat Microsoft Entra-id binding van meerdere verificators toe aan een account, zodat elke gebruiker een afzonderlijke verificator heeft.

    Resources

  • Hoe het werkt: Meervoudige verificatie van Microsoft Entra
  • Verificatiemethoden voor Microsoft Entra-meervoudige verificatie beheren
    		•
    IA-2(8)
    Het informatiesysteem implementeert replay-bestendige verificatiemechanismen voor netwerktoegang tot bevoegde accounts.    		 Implementeer verificatiemechanismen die bestand zijn tegen opnieuw afspelen voor netwerktoegang tot bevoegde accounts.

    Configureer beleid voor voorwaardelijke toegang om meervoudige verificatie voor alle gebruikers te vereisen. Alle Microsoft Entra-verificatiemethoden op verificatiecontroleniveau 2 en 3 gebruiken nonce of uitdagingen en zijn bestand tegen het opnieuw afspelen van aanvallen.

    Verwijzingen

  • Voorwaardelijke toegang: meervoudige verificatie vereisen voor alle gebruikers
  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform
    		•
    IA-2(11)
    Het informatiesysteem implementeert meervoudige verificatie voor externe toegang tot bevoegde en niet-gemachtigde accounts, zodat een van de factoren wordt geleverd door een apparaat gescheiden van het systeem dat toegang krijgt en het apparaat voldoet aan [FedRAMP-toewijzing: FIPS 140-2, NIAP-certificering of NSA-goedkeuring*].

    *National Information Assurance Partnership (NIAP)
    Aanvullende FedRAMP-vereisten en richtlijnen:
    Richtlijnen: PIV = afzonderlijk apparaat. Raadpleeg NIST SP 800-157 Guidelines for Derived Personal Identity Verification (PIV)-referenties. FIPS 140-2 betekent gevalideerd door het Cryptographic Module Validation Program (CMVP).    		 Implementeer meervoudige verificatie van Microsoft Entra om extern toegang te krijgen tot door de klant geïmplementeerde resources, zodat een van de factoren wordt geleverd door een apparaat gescheiden van het systeem dat toegang krijgt tot het apparaat waar het apparaat voldoet aan FIPS-140-2, NIAP-certificering of NSA-goedkeuring.

    Zie de richtlijnen voor IA-02(1-4). Microsoft Entra-verificatiemethoden om rekening mee te houden bij AAL3 die voldoen aan de afzonderlijke apparaatvereisten zijn:

    FIDO2-beveiligingssleutels

  • Windows Hello voor Bedrijven met hardware-TPM (TPM wordt herkend als een geldige factor 'iets wat u hebt' door NIST 800-63B Section 5.1.7.1.)
  • Smartcard

    Verwijzingen

  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform
  • NIST 800-63B, sectie 5.1.7.1
    		•
    **IA-2(12)*
    Het informatiesysteem accepteert en verifieert de piV-referenties (Personal Identity Verification) elektronisch.

    IA-2 (12) Aanvullende FedRAMP-vereisten en richtlijnen:
    Richtlijnen: Include Common Access Card (CAC), dat wil gezegd, de DoD technische implementatie van PIV/FIPS 201/HSPD-12.    		 Persoonlijke identiteitsverificatiereferenties (PIV) accepteren en verifiëren. Dit besturingselement is niet van toepassing als de klant geen PIV-referenties implementeert.

    Configureer federatieve verificatie met behulp van Active Directory Federation Services (AD FS) om PIV (certificaatverificatie) te accepteren als primaire en meervoudige verificatiemethoden en geef de claim voor meervoudige verificatie (MultipleAuthN) wanneer PIV wordt gebruikt. Configureer het federatieve domein in Microsoft Entra ID met het instellen van federatedIdpMfaBehavior op enforceMfaByFederatedIdp (aanbevolen) of SupportsMfa om $True aanvragen voor meervoudige verificatie die afkomstig zijn van Microsoft Entra-id naar Active Directory Federation Services te leiden. U kunt OOK PIV gebruiken voor aanmelding op Windows-apparaten en later geïntegreerde Windows-verificatie gebruiken, samen met naadloze eenmalige aanmelding. Windows Server en client verifiëren certificaten standaard wanneer ze worden gebruikt voor verificatie.

    Resources

  • Wat is federatie met Microsoft Entra ID?
  • AD FS-ondersteuning configureren voor verificatie van gebruikerscertificaten
  • Verificatiebeleid configureren
  • Resources beveiligen met Meervoudige Verificatie van Microsoft Entra en AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Verbinding maken: Naadloze eenmalige aanmelding
    		•
    IA-3 Apparaatidentificatie en -verificatie
    Het informatiesysteem identificeert en verifieert [Toewijzing: door de organisatie gedefinieerde specifieke en/of typen apparaten] voordat een [selectie (een of meer): lokale; externe; netwerk]-verbinding tot stand wordt gebracht.    		 Implementeer apparaatidentificatie en -verificatie voordat u een verbinding tot stand hebt gebracht.

    Configureer De Microsoft Entra-id om geregistreerde Microsoft Entra-apparaten te identificeren en te verifiëren die zijn toegevoegd aan Microsoft Entra en aan Microsoft Entra gekoppelde apparaten.

    Resources

  • Wat is een apparaat-id?
  • Implementatie van Microsoft Entra-apparaten plannen
  • Beheerde apparaten vereisen voor toegang tot cloud-apps met voorwaardelijke toegang
    		•
    IA-04 Id-beheer
    De organisatie beheert informatiesysteem-id's voor gebruikers en apparaten door:
    (a.) Autorisatie ontvangen van [FedRAMP-toewijzing minimaal, de ISSO (of vergelijkbare rol binnen de organisatie)] om een afzonderlijke, groep, rol of apparaat-id toe te wijzen;
    (b.) Een id selecteren die een afzonderlijke, groep, rol of apparaat identificeert;
    (c.) De id toewijzen aan de beoogde persoon, groep, rol of apparaat;
    (d.) Voorkomen dat id's opnieuw worden gebruikt voor [FedRAMP Assignment: ten minste twee (2) jaar]; en
    (e.) De id uitschakelen na [FedRAMP Assignment: dertig-vijf (35) dagen (zie vereisten en richtlijnen)]
    IA-4e Aanvullende FedRAMP-vereisten en richtlijnen:
    Vereiste: De serviceprovider definieert de periode van inactiviteit voor apparaat-id's.
    Richtlijnen: Voor DoD-clouds raadpleegt u de DoD-cloudwebsite voor specifieke DoD-vereisten die boven en buiten FedRAMP gaan.

    IA-4(4)
    De organisatie beheert afzonderlijke id's door elke persoon uniek te identificeren als [FedRAMP Assignment: contractanten; buitenlandse onderdanen].    		 Schakel account-id's uit na 35 dagen inactiviteit en voorkom dat ze gedurende twee jaar opnieuw worden gebruikt. Beheer afzonderlijke id's door elke persoon uniek te identificeren (bijvoorbeeld aannemers en buitenlandse onderdanen).

    Wijs afzonderlijke account-id's en status in Microsoft Entra-id toe en beheer deze overeenkomstig het bestaande organisatiebeleid dat is gedefinieerd in AC-02. Volg AC-02(3) om gebruikers- en apparaataccounts automatisch uit te schakelen na 35 dagen inactiviteit. Zorg ervoor dat het organisatiebeleid alle accounts onderhoudt die ten minste twee jaar in de uitgeschakelde status blijven. Na deze tijd kunt u ze verwijderen.

    Inactiviteit bepalen

  • Inactieve gebruikersaccounts beheren in Microsoft Entra-id
  • Verlopen apparaten beheren in Microsoft Entra-id
  • Zie ac-02 richtlijnen
    		•
    Beheer van IA-5 Authenticator
    De organisatie beheert verificaties voor informatiesystemen door:
    (a.) Verifiëren, als onderdeel van de initiële verificatordistributie, de identiteit van de persoon, de groep, de rol of het apparaat dat de verificator ontvangt;
    (b.) Het tot stand brengen van initiële verificatorinhoud voor verificators die door de organisatie zijn gedefinieerd;
    (c.) Ervoor zorgen dat verificators voldoende mechanisme hebben voor hun beoogde gebruik;
    (d.) Vaststelling en uitvoering van administratieve procedures voor initiële verificatordistributie, voor verloren/gecompromitteerde of beschadigde verificators, en voor het intrekken van verificators;
    (e.) Standaardinhoud van verificators wijzigen vóór de installatie van het informatiesysteem;
    (f.) Minimale en maximale levensduurbeperkingen vaststellen en voorwaarden voor hergebruik voor verificators;
    (g.) Authenticators wijzigen/vernieuwen [Toewijzing: door de organisatie gedefinieerde tijdsperiode op type authenticator].
    (h.) Verificator-inhoud beschermen tegen onbevoegde openbaarmaking en wijziging;
    (i.) Vereisen dat personen apparaten nemen en apparaten implementeren, specifieke beveiligingsbeveiligingen om verificators te beschermen; En
    (j.) Verificators wijzigen voor groeps-/rolaccounts wanneer het lidmaatschap van die accounts verandert.

    IA-5 Aanvullende FedRAMP-vereisten en richtlijnen:
    Vereiste: Verificators moeten voldoen aan NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. Link https://pages.nist.gov/800-63-3    		 Verificators voor informatiesystemen configureren en beheren.

    Microsoft Entra ID ondersteunt verschillende verificatiemethoden. U kunt uw bestaande organisatiebeleid gebruiken voor beheer. Zie de richtlijnen voor authenticatorselectie in IA-02(1-4). Schakel gebruikers in gecombineerde registratie in voor SSPR- en Microsoft Entra-meervoudige verificatie en vereisen dat gebruikers minimaal twee acceptabele meervoudige verificatiemethoden registreren om zelfherstel te vergemakkelijken. U kunt door de gebruiker geconfigureerde authenticators op elk gewenst moment intrekken met de API voor verificatiemethoden.

    Verificatorsterkte/verificatorinhoud beveiligen

  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform

    Verificatiemethoden en gecombineerde registratie

  • Welke authenticatie- en verificatiemethoden zijn er beschikbaar in Microsoft Entra ID?
  • Gecombineerde registratie voor SSPR- en Microsoft Entra-meervoudige verificatie

    Verificator wordt ingetrokken

  • Api-overzicht van Microsoft Entra-verificatiemethoden
    		•
    IA-5(1)
    Het informatiesysteem voor verificatie op basis van wachtwoorden:
    (a.) Dwingt minimale wachtwoordcomplexiteit af van [Toewijzing: door de organisatie gedefinieerde vereisten voor hoofdlettergevoeligheid, aantal tekens, combinatie van hoofdletters, kleine letters, cijfers en speciale tekens, inclusief minimale vereisten voor elk type];
    (b.) Dwingt ten minste het volgende aantal gewijzigde tekens af wanneer nieuwe wachtwoorden worden gemaakt: [FedRAMP-toewijzing: ten minste vijftig procent (50%)];
    (c.) Slaat en verzendt alleen cryptografisch beveiligde wachtwoorden;
    (d.) Dwingt minimale en maximale levensduurbeperkingen voor wachtwoorden af van [Toewijzing: organisatie- gedefinieerde getallen voor minimale levensduur, maximum levensduur];
    (e.)** Verbiedt het hergebruik van wachtwoorden voor [FedRAMP Assignment: 24(24)] generaties; en
    (f.) Hiermee staat u het gebruik van een tijdelijk wachtwoord voor systeemaanmeldingen toe met een onmiddellijke wijziging in een permanent wachtwoord.

    IA-5 (1) a en d Aanvullende FedRAMP-vereisten en richtlijnen:
    Richtlijnen: Als wachtwoordbeleid voldoet aan NIST SP 800-63B Memorized Secret (sectie 5.1.1) Richtlijnen, kan het besturingselement als compatibel worden beschouwd.    		 Implementeer verificatievereisten op basis van wachtwoorden.

    Per NIST SP 800-63B Section 5.1.1: Onderhoud een lijst met veelgebruikte, verwachte of gecompromitteerde wachtwoorden.

    Met Microsoft Entra-wachtwoordbeveiliging worden standaard algemene lijsten met verboden wachtwoorden automatisch toegepast op alle gebruikers in een Microsoft Entra-tenant. Ter ondersteuning van uw bedrijfs- en beveiligingsbehoeften kunt u vermeldingen definiëren in een aangepaste lijst met verboden wachtwoorden. Wanneer gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze lijsten met verboden wachtwoorden gecontroleerd om het gebruik van sterke wachtwoorden af te dwingen.

    We raden strategieën zonder wachtwoord sterk aan. Dit besturingselement is alleen van toepassing op wachtwoordverificators, dus als u wachtwoorden verwijdert als een beschikbare verificator, wordt dit besturingselement niet van toepassing.

    NIST-referentiedocumenten

  • NIST Special Publicatie 800-63B
  • NIST Special Publication 800-53 Revision 5 - IA-5 - Control enhancement (1)

    Bron

  • Ongeldige wachtwoorden elimineren met Microsoft Entra-wachtwoordbeveiliging
    		•
    IA-5(2)
    Het informatiesysteem voor verificatie op basis van PKI:
    (a.) Valideert certificeringen door een certificeringspad te bouwen en te verifiëren naar een geaccepteerd vertrouwensanker, inclusief het controleren van certificaatstatusinformatie;
    (b.) Dwingt geautoriseerde toegang tot de bijbehorende persoonlijke sleutel af;
    (c.) Kaarten de geverifieerde identiteit voor het account van de persoon of groep; en
    (d.) Hiermee wordt een lokale cache met intrekkingsgegevens geïmplementeerd ter ondersteuning van paddetectie en -validatie tijdens het onvermogen om toegang te krijgen tot intrekkingsgegevens via het netwerk.    		 Implementeer verificatievereisten op basis van PKI.

    Federatieve Microsoft Entra-id via AD FS om verificatie op basis van PKI te implementeren. Ad FS valideert standaard certificaten, slaat intrekkingsgegevens lokaal in de cache op en wijst gebruikers toe aan de geverifieerde identiteit in Active Directory.

    Resources

  • Wat is federatie met Microsoft Entra ID?
  • AD FS-ondersteuning configureren voor verificatie van gebruikerscertificaten
    		•
    IA-5(4)
    De organisatie maakt gebruik van geautomatiseerde hulpprogramma's om te bepalen of wachtwoordverificatoren voldoende sterk zijn om te voldoen aan [FedRAMP Assignment: complexiteit zoals geïdentificeerd in IA-5 (1) Control Enhancement (H) Deel A].

    IA-5(4) Aanvullende FedRAMP-vereisten en richtlijnen:
    Richtlijnen: Als geautomatiseerde mechanismen die kracht van wachtwoordverificator afdwingen niet worden gebruikt, moeten geautomatiseerde mechanismen worden gebruikt om de sterkte van gemaakte wachtwoordverificators te controleren.    		 Gebruik geautomatiseerde hulpprogramma's om vereisten voor wachtwoordsterkte te valideren.

    Microsoft Entra ID implementeert geautomatiseerde mechanismen waarmee wachtwoordverificatorsterkte wordt afgedwongen bij het maken. Dit geautomatiseerde mechanisme kan ook worden uitgebreid om wachtwoordverificatorsterkte af te dwingen voor on-premises Active Directory. Revisie 5 van NIST 800-53 heeft IA-04(4) ingetrokken en de vereiste in IA-5(1) opgenomen.

    Resources

  • Ongeldige wachtwoorden elimineren met Microsoft Entra-wachtwoordbeveiliging
  • Microsoft Entra-wachtwoordbeveiliging voor Active Directory-domein Services
  • NIST Speciale publicatie 800-53 Revisie 5 - IA-5 - Verbetering van besturingselementen (4)
    		•
    IA-5(6)
    De organisatie beveiligt verificators die overeenkomen met de beveiligingscategorie van de informatie waarvoor het gebruik van de verificator toegang toestaat.    		 Beveilig verificators zoals gedefinieerd in het FedRAMP High Impact-niveau.

    Zie Microsoft Entra-overwegingen voor gegevensbeveiliging voor meer informatie over hoe Microsoft Entra ID verificators beveiligt.
    IA-05(7)
    De organisatie zorgt ervoor dat niet-versleutelde statische verificators niet zijn ingesloten in toepassingen of toegangsscripts of zijn opgeslagen op functiesleutels.    		 Zorg ervoor dat niet-versleutelde statische verificators (bijvoorbeeld een wachtwoord) niet zijn ingesloten in toepassingen of toegangsscripts of zijn opgeslagen op functiesleutels.

    Beheerde identiteiten of service-principal-objecten implementeren (geconfigureerd met alleen een certificaat).

    Resources

  • Wat zijn beheerde identiteiten voor Azure-resources?
  • Een Microsoft Entra-app en service-principal maken in de portal
    		•
    IA-5(8)
    De organisatie implementeert [FedRAMP Assignment: verschillende authenticators op verschillende systemen] om het risico van inbreuk te beheren door personen met accounts op meerdere informatiesystemen.    		 Implementeer beveiligingsbeveiligingen wanneer personen accounts hebben op meerdere informatiesystemen.

    Implementeer eenmalige aanmelding door alle toepassingen te verbinden met Microsoft Entra ID, in tegenstelling tot afzonderlijke accounts op meerdere informatiesystemen.

    Wat is eenmalige aanmelding van Azure?
    IA-5(11)
    Het informatiesysteem, voor verificatie op basis van hardwaretoken, maakt gebruik van mechanismen die voldoen aan [Toewijzing: door de organisatie gedefinieerde tokenkwaliteitsvereisten].    		 Vereisten voor de kwaliteit van hardwaretoken vereisen zoals vereist door het FedRAMP High Impact-niveau.

    Het gebruik van hardwaretokens vereisen die voldoen aan AAL3.

    Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform
    IA-5(13)
    Het informatiesysteem verbiedt het gebruik van verificators in de cache na [Toewijzing: door de organisatie gedefinieerde tijdsperiode].    		 Dwing de vervaldatum van verificators in de cache af.

    Verificators in de cache worden gebruikt om te verifiëren bij de lokale computer wanneer het netwerk niet beschikbaar is. Als u het gebruik van verificators in de cache wilt beperken, configureert u Windows-apparaten om het gebruik ervan uit te schakelen. Als deze actie niet mogelijk of praktisch is, gebruikt u de volgende compenserende besturingselementen:

    Configureer sessiebesturingselementen voor voorwaardelijke toegang met behulp van door toepassingen afgedwongen beperkingen voor Office-app licaties.
    Configureer voorwaardelijke toegang met behulp van toepassingsbesturingselementen voor andere toepassingen.

    Resources

  • Interactief aanmeldingsnummer van eerdere aanmeldingen die in de cache moeten worden opgeslagen
  • Sessiebesturingselementen in beleid voor voorwaardelijke toegang: door toepassingen afgedwongen beperkingen
  • Sessiebesturingselementen in beleid voor voorwaardelijke toegang: toepassingsbeheer voor voorwaardelijke toegang
    		•
    IA-6 Authenticator-feedback
    Het informatiesysteem bedekt de feedback van verificatiegegevens tijdens het verificatieproces om de informatie te beschermen tegen mogelijke exploitatie/gebruik door onbevoegde personen.    		 Informatie over feedback over verificatie verbergen tijdens het verificatieproces.

    Microsoft Entra ID verhult standaard alle feedback van authenticatoren.
    IA-7 Cryptografische moduleverificatie
    Het informatiesysteem implementeert mechanismen voor verificatie naar een cryptografische module voor vereisten van toepasselijke federale wetten, executive orders, richtlijnen, beleidsregels, voorschriften, standaarden en richtlijnen voor dergelijke verificatie.    		 Implementeer mechanismen voor verificatie naar een cryptografische module die voldoet aan toepasselijke federale wetten.

    Voor het FedRAMP High Impact-niveau is de AAL3-verificator vereist. Alle verificators die door Microsoft Entra-id bij AAL3 worden ondersteund, bieden mechanismen voor het verifiëren van operatortoegang tot de module, indien nodig. Configureer bijvoorbeeld in een Windows Hello voor Bedrijven-implementatie met hardware-TPM het niveau van tpm-eigenaarsautorisatie.

    Resources

  • Zie IA-02 (2 en 4) voor meer informatie.
  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform
  • TPM-groepsbeleidsinstellingen
    		•
    IA-8 Identificatie en verificatie (niet-organisatiegebruikers)
    Het informatiesysteem identificeert en verifieert niet-organisatiegebruikers (of processen die optreden namens niet-organisatiegebruikers).    		 Het informatiesysteem identificeert en verifieert niet-organisatiegebruikers (of processen die optreden voor niet-organisatiegebruikers).

    Microsoft Entra ID identificeert en verifieert niet-organisatiegebruikers die zijn geplaatst in de tenant van de organisatie of in externe mappen met behulp van ficam-goedgekeurde protocollen (Federal Identity, Credential en Access Management).

    Resources

  • Wat is B2B-samenwerking in Microsoft Entra ID?
  • Directe federatie met een id-provider voor B2B
  • Eigenschappen van een B2B-gastgebruiker
    		•
    IA-8(1)
    Het informatiesysteem accepteert en verifieert elektronisch persoonlijke identiteitsverificatiereferenties (PIV) van andere federale instanties.

    IA-8(4)
    Het informatiesysteem voldoet aan door FICAM uitgegeven profielen.    		 Accepteer en verifieer PIV-referenties die zijn uitgegeven door andere federale instanties. Voldoen aan de profielen die zijn uitgegeven door de FICAM.

    Configureer Microsoft Entra ID om PIV-referenties te accepteren via federatie (OIDC, SAML) of lokaal via geïntegreerde Windows-verificatie.

    Resources

  • Wat is federatie met Microsoft Entra ID?
  • AD FS-ondersteuning configureren voor verificatie van gebruikerscertificaten
  • Wat is B2B-samenwerking in Microsoft Entra ID?
  • Directe federatie met een id-provider voor B2B
    		•
    IA-8(2)
    Het informatiesysteem accepteert alleen ficam-goedgekeurde referenties van derden.    		 Accepteer alleen door FICAM goedgekeurde referenties.

    Microsoft Entra ID ondersteunt verificators bij NIST AALs 1, 2 en 3. Beperk het gebruik van verificators die overeenkomen met de beveiligingscategorie van het systeem dat wordt geopend.

    Microsoft Entra ID ondersteunt een groot aantal verificatiemethoden.

    Resources

  • Welke authenticatie- en verificatiemethoden zijn er beschikbaar in Microsoft Entra ID?
  • Overzicht van beleids-API voor Microsoft Entra-verificatiemethoden
  • Controleniveaus voor NIST-verificator bereiken met het Microsoft Identity Platform                                     
    		•

    Volgende stappen