Voldoen aan de autorisatievereisten van memorandum 22-09
Deze reeks artikelen bevat richtlijnen voor het gebruik van Microsoft Entra ID als gecentraliseerd identiteitsbeheersysteem bij het implementeren van Zero Trust-principes. Zie, Us Office of Management and Budget (OMB) M 22-09 Memorandum voor de hoofden van uitvoerende afdelingen en agentschappen.
De memovereisten zijn afdwingingstypen in beleid voor meervoudige verificatie en besturingselementen voor apparaten, rollen, kenmerken en privileged access management.
Apparaatbesturingselementen
Een memorandum 22-09-vereiste is ten minste één signaal op basis van een apparaat voor autorisatiebeslissingen voor toegang tot een systeem of toepassing. Dwing de vereiste af met behulp van voorwaardelijke toegang. Pas verschillende apparaatsignalen toe tijdens de autorisatie. Zie de volgende tabel voor het signaal en de vereiste om het signaal op te halen.
| Signaal | Signaal ophalen |
|---|---|
| Apparaat wordt beheerd | Integratie met Intune of een andere MDM-oplossing (Mobile Device Management) die ondersteuning biedt voor integratie. |
| Hybride aan Microsoft Entra gekoppeld | Active Directory beheert het apparaat en komt in aanmerking. |
| Apparaat voldoet aan het beleid | Integratie met Intune of een andere MDM-oplossing die ondersteuning biedt voor de integratie. Zie Een nalevingsbeleid maken in Microsoft Intune. |
| Bedreigingssignalen | Microsoft Defender voor Eindpunt en andere EDR-hulpprogramma's (eindpuntdetectie en -respons) beschikken over Microsoft Entra ID- en Intune-integraties die bedreigingssignalen verzenden om toegang te weigeren. Bedreigingssignalen ondersteunen het compatibele statussignaal. |
| Toegangsbeleid voor meerdere tenants (openbare preview) | Vertrouw apparaatsignalen van apparaten in andere organisaties. |
Rolbesturingselementen
Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om autorisaties af te dwingen via roltoewijzingen in een bepaald bereik. Wijs bijvoorbeeld toegang toe met behulp van rechtenbeheerfuncties, waaronder toegangspakketten en toegangsbeoordelingen. Beheer autorisaties met selfserviceaanvragen en gebruik automatisering om de levenscyclus te beheren. Bijvoorbeeld automatisch toegang beëindigen op basis van criteria.
Meer informatie:
- Wat is rechtenbeheer?
- Een nieuw toegangspakket maken in rechtenbeheer
- Wat zijn toegangsbeoordelingen?
Kenmerkbesturingselementen
Op kenmerken gebaseerd toegangsbeheer (ABAC) maakt gebruik van metagegevens die zijn toegewezen aan een gebruiker of resource om toegang tijdens verificatie toe tegestaan of te weigeren. Zie de volgende secties voor het maken van autorisaties met behulp van ABAC-afdwinging voor gegevens en resources via verificatie.
Kenmerken toegewezen aan gebruikers
Gebruik kenmerken die zijn toegewezen aan gebruikers, opgeslagen in Microsoft Entra-id, om gebruikersautorisaties te maken. Gebruikers worden automatisch toegewezen aan dynamische lidmaatschapsgroepen op basis van een regelset die u definieert tijdens het maken van groepen. Regels voegen een gebruiker toe aan of verwijderen uit de groep op basis van regelevaluatie op basis van de gebruiker en hun kenmerken. We raden u aan kenmerken te onderhouden en geen statische kenmerken in te stellen op de aanmaakdag.
Meer informatie: Een dynamische groep maken of bijwerken in Microsoft Entra-id
Kenmerken toegewezen aan gegevens
Met Microsoft Entra ID kunt u autorisatie voor de gegevens integreren. Zie de volgende secties voor het integreren van autorisatie. U kunt verificatie configureren in beleid voor voorwaardelijke toegang: beperken welke acties gebruikers uitvoeren in een toepassing of op gegevens. Deze verificatiebeleidsregels worden vervolgens toegewezen in de gegevensbron.
Gegevensbronnen kunnen Microsoft Office-bestanden zijn, zoals Word-, Excel- of SharePoint-sites die zijn toegewezen aan verificatie. Gebruik verificatie die is toegewezen aan gegevens in toepassingen. Voor deze aanpak is integratie met de toepassingscode vereist en moeten ontwikkelaars de mogelijkheid gebruiken. Gebruik verificatieintegratie met Microsoft Defender voor Cloud Apps om acties voor gegevens te beheren via sessiebesturingselementen.
Combineer dynamische lidmaatschapsgroepen met verificatiecontext om toewijzingen van gebruikerstoegang tussen de gegevens en de gebruikerskenmerken te beheren.
Meer informatie:
- Voorwaardelijke toegang: cloud-apps, acties en verificatiecontexten
- Ontwikkelaarshandleiding voor verificatiecontext voor voorwaardelijke toegang
- Sessiebeleid
Kenmerken toegewezen aan resources
Azure bevat op kenmerken gebaseerd toegangsbeheer (Azure ABAC) voor opslag. Wijs metagegevenstags toe op gegevens die zijn opgeslagen in een Azure Blob Storage-account. Wijs de metagegevens toe aan gebruikers met behulp van roltoewijzingen om toegang te verlenen.
Meer informatie: Wat is op kenmerken gebaseerd toegangsbeheer van Azure?
Uitgebreide toegang management
De memo citeert de inefficiëntie van het gebruik van hulpprogramma's voor privileged access management met kortstondige referenties voor toegang tot systemen. Deze technologieën omvatten wachtwoordkluizen die meervoudige verificatieaanmelding accepteren voor een beheerder. Deze hulpprogramma's genereren een wachtwoord voor een alternatief account voor toegang tot het systeem. Systeemtoegang vindt plaats met één factor.
Microsoft-hulpprogramma's implementeren Privileged Identity Management (PIM) voor bevoegde systemen met Microsoft Entra ID als centraal identiteitsbeheersysteem. Meervoudige verificatie afdwingen voor de meeste bevoegde systemen die toepassingen, infrastructuurelementen of apparaten zijn.
Gebruik PIM voor een bevoorrechte rol wanneer deze wordt geïmplementeerd met Microsoft Entra-identiteiten. Identificeer bevoegde systemen waarvoor beveiligingen nodig zijn om zijwaartse verplaatsing te voorkomen.
Meer informatie:
- Wat is Microsoft Entra Privileged Identity Management?
- Een Privileged Identity Management-implementatie plannen