Konfigurowanie kontrolek kontroli dostępu (AC) na poziomie 2 cmMC
Identyfikator Entra firmy Microsoft może pomóc spełnić wymagania dotyczące praktyk związanych z tożsamościami na każdym poziomie certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC). Aby zapewnić zgodność z wymaganiami na poziomie 2.0 cmMC 2, to odpowiedzialność firm wykonujących pracę w imieniu działu obrony (DoD) w celu ukończenia innych konfiguracji lub procesów.
W programie CMMC Level 2 istnieją 13 domen, które mają co najmniej jedną praktykę związaną z tożsamością:
- Kontrola dostępu (AC)
- Inspekcja i odpowiedzialność (AU)
- Zarządzanie konfiguracją (CM)
- Identyfikacja i uwierzytelnianie (IA)
- Reagowanie na zdarzenia (IR)
- Konserwacja (MA)
- Ochrona multimediów (MP)
- Zabezpieczenia personelu (PS)
- Ochrona fizyczna (PE)
- Ocena ryzyka (RA)
- Ocena zabezpieczeń (CA)
- Ochrona systemu i komunikacji (SC)
- Integralność systemu i informacji (SI)
W pozostałej części tego artykułu znajdują się wskazówki dotyczące domeny kontroli dostępu (AC). Istnieje tabela zawierająca linki do zawartości, która zawiera szczegółowe wskazówki dotyczące wykonywania tej praktyki.
Kontrola dostępu (AC)
Poniższa tabela zawiera listę praktycznych instrukcji i celów oraz wskazówki i zalecenia firmy Microsoft, aby umożliwić spełnienie tych wymagań za pomocą identyfikatora Entra firmy Microsoft.
| Instrukcja i cele praktyki CMMC | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| AC. L2-3.1.3 Instrukcja praktyki: Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. Cele: Ustal, czy: [a.] zdefiniowano zasady sterowania przepływem informacji; [b.] zdefiniowano metody i mechanizmy wymuszania kontroli przepływu cuI; [c.] zidentyfikowane są wyznaczone źródła i miejsca docelowe (na przykład sieci, osoby i urządzenia) dla interfejsu CUI w systemie i między systemami międzycfeetonnected; [d.] zdefiniowano autoryzacje do kontrolowania przepływu cuI; I [e.] zatwierdzane autoryzacje do kontrolowania przepływu cuI są wymuszane. |
Skonfiguruj zasady dostępu warunkowego, aby kontrolować przepływ cuI z zaufanych lokalizacji, zaufanych urządzeń, zatwierdzonych aplikacji i wymagać zasad ochrony aplikacji. Aby uzyskać bardziej szczegółową autoryzację do cuI, skonfiguruj ograniczenia wymuszane przez aplikacje (Exchange/SharePoint Online), kontrolkę aplikacji (z aplikacjami Microsoft Defender dla Chmury), kontekst uwierzytelniania. Wdróż serwer proxy aplikacji Entra firmy Microsoft, aby zabezpieczyć dostęp do aplikacji lokalnych. Warunek lokalizacji w usłudze Microsoft Entra — dostęp warunkowy Udzielanie kontroli w zasadach dostępu warunkowego — wymagaj, aby urządzenie było oznaczone jako zgodne Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie urządzenia dołączonego hybrydowo do firmy Microsoft Udzielanie kontroli w zasadach dostępu warunkowego — wymagaj zatwierdzonej aplikacji klienckiej Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie zasad ochrony aplikacji Kontrolki sesji w zasadach dostępu warunkowego — ograniczenia wymuszane przez aplikację Ochrona za pomocą kontroli dostępu warunkowego aplikacji Microsoft Defender dla Chmury Apps Aplikacje w chmurze, akcje i kontekst uwierzytelniania w zasadach dostępu warunkowego Zdalny dostęp do aplikacji lokalnych przy użyciu serwera proxy aplikacji Firmy Microsoft Entra Kontekst uwierzytelniania Konfigurowanie kontekstu uwierzytelniania i przypisywanie do zasad dostępu warunkowego Ochrona informacji Znajomość i ochrona danych; pomaga zapobiegać utracie danych. Ochrona poufnych danych za pomocą usługi Microsoft Purview Dostęp warunkowy Dostęp warunkowy do usługi Azure Information Protection (AIP) Serwer proxy aplikacji Zdalny dostęp do aplikacji lokalnych przy użyciu serwera proxy aplikacji Firmy Microsoft Entra |
| AC. L2-3.1.4 Instrukcja praktyki: Oddzielanie obowiązków osób fizycznych w celu zmniejszenia ryzyka złośliwych działań bez zmowy. Cele: Ustal, czy: [a.] obowiązki osób wymagających separacji są zdefiniowane; [b.] obowiązki związane z obowiązkami, które wymagają separacji, są przypisywane do osobnych osób; I [c.] uprawnienia dostępu, które umożliwiają osobom fizycznym wykonywanie obowiązków wymagających separacji, są przyznawane oddzielnym osobom. |
Zapewnienie odpowiedniego rozdzielenia obowiązków przez określenie zakresu odpowiedniego dostępu. Skonfiguruj pakiety dostępu do zarządzania upoważnieniami, aby zarządzać dostępem do aplikacji, grup, witryn usługi Teams i programu SharePoint. Skonfiguruj kontrolę podziału obowiązków w pakietach dostępu, aby uniknąć uzyskania przez użytkownika nadmiernego dostępu. W usłudze Microsoft Entra entitlement management można skonfigurować wiele zasad z różnymi ustawieniami dla każdej społeczności użytkowników, które będą potrzebować dostępu za pośrednictwem pakietu dostępu. Ta konfiguracja obejmuje ograniczenia takie, że użytkownik określonej grupy lub już przypisany inny pakiet dostępu nie ma przypisanych innych pakietów dostępu według zasad. Skonfiguruj jednostki administracyjne w usłudze Microsoft Entra ID w celu określenia zakresu uprawnień administracyjnych, tak aby administratorzy z rolami uprzywilejowanymi mieli tylko te uprawnienia w ograniczonym zestawie obiektów katalogu (użytkowników, grup, urządzeń). Co to jest zarządzanie upoważnieniami? Jakie są pakiety dostępu i jakie zasoby można nimi zarządzać? Konfigurowanie rozdzielenia obowiązków dla pakietu dostępu w usłudze Microsoft Entra entitlement management Jednostki Administracja istracyjne w identyfikatorze Entra firmy Microsoft |
| AC. L2-3.1.5 Instrukcja praktyki: stosowanie zasady najniższych uprawnień, w tym określonych funkcji zabezpieczeń i kont uprzywilejowanych. Cele: Ustal, czy: [a.] Zidentyfikowano uprzywilejowane konta; [b.] dostęp do uprzywilejowanych kont jest autoryzowany zgodnie z zasadą najniższych uprawnień; [c.] zidentyfikowano funkcje zabezpieczeń; I [d.] dostęp do funkcji zabezpieczeń jest autoryzowany zgodnie z zasadą najniższych uprawnień. |
Odpowiadasz za implementowanie i wymuszanie reguły najniższych uprawnień. Tę akcję można wykonać za pomocą usługi Privileged Identity Management w celu skonfigurowania wymuszania, monitorowania i alertów. Ustawianie wymagań i warunków członkostwa w rolach. Po zidentyfikowaniu i zarządzaniu kontami uprzywilejowanym użyj funkcji Zarządzania cyklem życia uprawnień i przeglądów dostępu, aby ustawić, zachować i przeprowadzić inspekcję odpowiedniego dostępu. Użyj interfejsu API programu MS Graph, aby odnajdywać i monitorować role katalogów. Przypisywanie ról Przypisywanie ról usługi Microsoft Entra w usłudze PIM Przypisywanie ról zasobów platformy Azure w usłudze Privileged Identity Management Przypisywanie uprawnionych właścicieli i członków dla usługi PIM dla grup Ustawianie ustawień roli Konfigurowanie ustawień roli entra firmy Microsoft w usłudze PIM Konfigurowanie ustawień roli zasobów platformy Azure w usłudze PIM Konfigurowanie usługi PIM dla ustawień grup w usłudze PIM Konfigurowanie alertów Alerty zabezpieczeń dla ról firmy Microsoft Entra w usłudze PIM Konfigurowanie alertów zabezpieczeń dla ról zasobów platformy Azure w usłudze Privileged Identity Management |
| AC. L2-3.1.6 Instrukcja praktyki: użyj kont lub ról innych niż uprzywilejowane podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami. Cele: Ustal, czy: [a.] funkcje niezwiązane z zabezpieczeniami są identyfikowane; I [b.] użytkownicy muszą używać kont lub ról nieuprzywilejowanych podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami. AC. L2-3.1.7 Instrukcja praktyki: Uniemożliwiaj użytkownikom niebędącym uprzywilejowanym wykonywanie funkcji uprzywilejowanych i przechwytywanie wykonywania takich funkcji w dziennikach inspekcji. Cele: Ustal, czy: [a.] Zdefiniowane są funkcje uprzywilejowane; [b.] użytkownicy niebędący uprzywilejowani są definiowani; [c.] użytkownicy niebędący uprzywilejowani nie mogą wykonywać funkcji uprzywilejowanych; I [d.] wykonywanie funkcji uprzywilejowanych jest przechwytywane w dziennikach inspekcji. |
Wymagania w ac. L2-3.1.6 i AC. L2-3.1.7 uzupełniają się nawzajem. Wymagaj oddzielnych kont na potrzeby uprzywilejowanego i nieuprzywilejowanego użycia. Skonfiguruj usługę Privileged Identity Management (PIM), aby zapewnić uprzywilejowany dostęp just in time (JIT) i usunąć stały dostęp. Skonfiguruj zasady dostępu warunkowego opartego na rolach, aby ograniczyć dostęp do aplikacji zwiększającej produktywność dla uprzywilejowanych użytkowników. W przypadku użytkowników z wysokimi uprawnieniami należy zabezpieczyć urządzenia w ramach scenariusza dostępu uprzywilejowanego. Wszystkie akcje uprzywilejowane są przechwytywane w dziennikach inspekcji firmy Microsoft Entra. Omówienie zabezpieczania uprzywilejowanego dostępu Konfigurowanie ustawień roli entra firmy Microsoft w usłudze PIM Użytkownicy i grupy w zasadach dostępu warunkowego Dlaczego ważne są urządzenia z dostępem uprzywilejowanym |
| AC. L2-3.1.8 Instrukcja praktyki: Ogranicz nieudane próby logowania. Cele: Ustal, czy: [a.] zdefiniowano środki ograniczania nieudanych prób logowania; I [b.] zdefiniowaną metodę ograniczania nieudanych prób logowania jest implementowana. |
Włącz niestandardowe ustawienia blokady inteligentnej. Skonfiguruj próg blokady i czas trwania blokady w sekundach, aby zaimplementować te wymagania. Ochrona kont użytkowników przed atakami za pomocą inteligentnej blokady Microsoft Entra Zarządzanie wartościami inteligentnej blokady firmy Microsoft |
| AC. L2-3.1.9 Instrukcja praktyki: zapewnianie poufności informacji i zabezpieczeń spójnych z odpowiednimi regułami CUI. Cele: Ustal, czy: [a.] informacje o ochronie prywatności i zabezpieczeniach wymagane przez reguły określone przez cuI są identyfikowane, spójne i skojarzone z określoną kategorią CUI; I [b.] Wyświetlane są powiadomienia o ochronie prywatności i zabezpieczeniach. |
Za pomocą identyfikatora Entra firmy Microsoft można dostarczać powiadomienia lub komunikaty banerów dla wszystkich aplikacji, które wymagają potwierdzenia i rejestrują je przed udzieleniem dostępu. Możesz szczegółowo kierować te zasady użytkowania do określonych użytkowników (członka lub gościa). Można je również dostosować na aplikację za pomocą zasad dostępu warunkowego. Dostęp warunkowy Co to jest dostęp warunkowy w identyfikatorze Entra firmy Microsoft? Warunki użytkowania Warunki użytkowania usługi Microsoft Entra Wyświetlanie raportu o tym, kto zaakceptował i odrzucił |
| AC. L2-3.1.10 Instrukcja praktyki: użyj blokady sesji z wyświetlaczami ukrywania wzorców, aby zapobiec dostępowi i wyświetlaniu danych po okresie braku aktywności. Cele: Ustal, czy: [a.] okres braku aktywności, po którym system inicjuje blokadę sesji, jest definiowany; [b.] dostęp do systemu i wyświetlanie danych jest blokowany przez zainicjowanie blokady sesji po określonym okresie braku aktywności; I [c.] wcześniej widoczne informacje są ukrywane za pomocą ukrywania wzorca po zdefiniowanym okresie braku aktywności. |
Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych lub urządzeń dołączonych hybrydowych do firmy Microsoft Entra. Skonfiguruj ustawienia zasad na urządzeniu, aby wymusić blokadę urządzenia na poziomie systemu operacyjnego przy użyciu rozwiązań MDM, takich jak usługa Intune. Obiekty zasad grupy lub usługi Microsoft Intune, programu Configuration Manager można również rozważyć we wdrożeniach hybrydowych. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników. Wymagaj, aby urządzenie było oznaczone jako zgodne Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie urządzenia dołączonego hybrydowo do firmy Microsoft Częstotliwość logowania użytkownika Skonfiguruj urządzenia przez maksymalną liczbę minut braku aktywności do momentu zablokowania ekranu (Android, iOS, Windows 10). |
| AC. L2-3.1.11 Instrukcja praktyki: kończenie (automatycznie) sesji użytkownika po zdefiniowanym warunku. Cele: Ustal, czy: [a.] definiowane są warunki wymagające zakończenia sesji użytkownika; I [b.] sesja użytkownika zostanie automatycznie zakończona po wystąpieniu któregokolwiek ze zdefiniowanych warunków. |
Włącz ocenę ciągłego dostępu (CAE) dla wszystkich obsługiwanych aplikacji. W przypadku aplikacji, które nie obsługują środowiska CAE lub warunków, które nie mają zastosowania do caE, zaimplementuj zasady w usłudze Microsoft Defender dla Chmury Apps, aby automatycznie zakończyć sesje po wystąpieniu warunków. Ponadto skonfiguruj Ochrona tożsamości Microsoft Entra w celu oceny ryzyka związanego z logowaniem i użytkownikami. Użyj dostępu warunkowego z ochroną tożsamości, aby umożliwić użytkownikowi automatyczne korygowanie ryzyka. Ciągła ocena dostępu w usłudze Microsoft Entra ID Kontrolowanie użycia aplikacji w chmurze przez tworzenie zasad Co to jest Ochrona usługi Microsoft Entra ID? |
| AC. L2-3.1.12 Instrukcja praktyki: Monitorowanie i kontrolowanie sesji dostępu zdalnego. Cele: Ustal, czy: [a.] sesje dostępu zdalnego są dozwolone; [b.] zidentyfikowano typy dozwolonego dostępu zdalnego; [c.] sesje dostępu zdalnego są kontrolowane; I [d.] Sesje dostępu zdalnego są monitorowane. |
W dzisiejszym świecie użytkownicy uzyskują dostęp do aplikacji opartych na chmurze niemal wyłącznie z nieznanych lub niezaufanych sieci. Zabezpieczenie tego wzorca dostępu w celu przyjęcia podmiotów zabezpieczeń zerowego zaufania ma kluczowe znaczenie. Aby spełnić te wymagania dotyczące kontroli w nowoczesnym świecie chmury, musimy jawnie zweryfikować każde żądanie dostępu, zaimplementować najmniejsze uprawnienia i przyjąć naruszenie. Skonfiguruj nazwane lokalizacje, aby rozmieścić wewnętrzne i zewnętrzne sieci. Konfigurowanie kontroli dostępu warunkowego w celu kierowania dostępu za pośrednictwem aplikacji Microsoft Defender dla Chmury. Skonfiguruj Defender dla Chmury Apps, aby kontrolować i monitorować wszystkie sesje. Przewodnik wdrażania zero trust dla identyfikatora Entra firmy Microsoft Warunek lokalizacji w usłudze Microsoft Entra — dostęp warunkowy Wdrażanie kontroli dostępu warunkowego usługi Cloud App Security dla aplikacji firmy Microsoft Entra Co to jest Microsoft Defender dla Chmury Apps? Monitorowanie alertów zgłaszanych w usłudze Microsoft Defender dla Chmury Apps |
| AC. L2-3.1.13 Instrukcja praktyki: stosowanie mechanizmów kryptograficznych w celu ochrony poufności sesji dostępu zdalnego. Cele: Ustal, czy: [a.] zidentyfikowano mechanizmy kryptograficzne w celu ochrony poufności sesji dostępu zdalnego; I [b.] zaimplementowano mechanizmy kryptograficzne w celu ochrony poufności sesji dostępu zdalnego. |
Wszystkie usługi internetowe dostępne dla klientów firmy Microsoft są zabezpieczone przy użyciu protokołu Transport Layer Security (TLS) i są implementowane przy użyciu kryptografii zweryfikowanej przez standard FIPS. Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft (microsoft.com) |
| AC. L2-3.1.14 Instrukcja praktyki: kierowanie dostępu zdalnego za pośrednictwem zarządzanych punktów kontroli dostępu. Cele: Ustal, czy: [a.] punkty kontroli dostępu zarządzanego są identyfikowane i implementowane; I [b.] dostęp zdalny jest kierowany za pośrednictwem zarządzanych punktów kontroli dostępu do sieci. |
Skonfiguruj nazwane lokalizacje, aby rozmieścić wewnętrzne i zewnętrzne sieci. Konfigurowanie kontroli dostępu warunkowego w celu kierowania dostępu za pośrednictwem aplikacji Microsoft Defender dla Chmury. Skonfiguruj Defender dla Chmury Apps, aby kontrolować i monitorować wszystkie sesje. Zabezpieczanie urządzeń używanych przez uprzywilejowane konta w ramach historii uprzywilejowanego dostępu. Warunek lokalizacji w usłudze Microsoft Entra — dostęp warunkowy Kontrolki sesji w zasadach dostępu warunkowego Omówienie zabezpieczania uprzywilejowanego dostępu |
| AC. L2-3.1.15 Instrukcja praktyki: autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. Cele: Ustal, czy: [a.] Zidentyfikowano uprzywilejowane polecenia autoryzowane do zdalnego wykonywania; [b.] zidentyfikowano istotne informacje dotyczące zabezpieczeń, do których dostęp jest uzyskiwany zdalnie; [c.] wykonywanie zidentyfikowanych poleceń uprzywilejowanych za pośrednictwem dostępu zdalnego jest autoryzowane; I [d.] dostęp do zidentyfikowanych informacji istotnych dla zabezpieczeń za pośrednictwem dostępu zdalnego jest autoryzowany. |
Dostęp warunkowy to płaszczyzna kontroli Zero Trust do określania docelowych zasad dostępu do aplikacji w połączeniu z kontekstem uwierzytelniania. W tych aplikacjach można stosować różne zasady. Zabezpieczanie urządzeń używanych przez uprzywilejowane konta w ramach historii uprzywilejowanego dostępu. Skonfiguruj zasady dostępu warunkowego, aby wymagać używania tych zabezpieczonych urządzeń przez uprzywilejowanych użytkowników podczas wykonywania poleceń uprzywilejowanych. Aplikacje w chmurze, akcje i kontekst uwierzytelniania w zasadach dostępu warunkowego Omówienie zabezpieczania uprzywilejowanego dostępu Filtrowanie dla urządzeń jako warunku w zasadach dostępu warunkowego |
| AC. L2-3.1.18 Instrukcja praktyki: Kontrolowanie połączenia urządzeń przenośnych. Cele: Ustal, czy: [a.] identyfikowane są urządzenia przenośne, które przetwarzają, przechowują lub przesyłają cuI; [b.] połączenia urządzeń przenośnych są autoryzowane; I [c.] połączenia urządzeń przenośnych są monitorowane i rejestrowane. |
Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby wymusić konfigurację i profil połączenia urządzenia przenośnego. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Intune Zasady zgodności urządzeń w usłudze Microsoft Intune Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune? |
| AC. L2-3.1.19 Instrukcja praktyki: Szyfrowanie cuI na urządzeniach przenośnych i platformach przetwarzania mobilnego. Cele: Ustal, czy: [a.] zidentyfikowano urządzenia przenośne i platformy przetwarzania mobilnego, które przetwarzają, przechowują lub przesyłają cuI; I [b.] Szyfrowanie jest stosowane do ochrony cuI na zidentyfikowanych urządzeniach przenośnych i platformach przetwarzania mobilnego. |
Urządzenie zarządzane Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodne lub dołączone hybrydowo urządzenie firmy Microsoft Entra i upewnić się, że urządzenia zarządzane są odpowiednio skonfigurowane za pośrednictwem rozwiązania do zarządzania urządzeniami w celu szyfrowania cuI. Urządzenie niezarządzane Skonfiguruj zasady dostępu warunkowego, aby wymagać zasad ochrony aplikacji. Udzielanie kontroli w zasadach dostępu warunkowego — wymagaj, aby urządzenie było oznaczone jako zgodne Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie urządzenia dołączonego hybrydowo do firmy Microsoft Udzielanie kontroli w zasadach dostępu warunkowego — wymaganie zasad ochrony aplikacji |
| AC. L2-3.1.21 Instrukcja praktyki: Ograniczanie użycia przenośnych urządzeń magazynujących w systemach zewnętrznych. Cele: Ustal, czy: [a.] użycie przenośnych urządzeń magazynujących zawierających cuI w systemach zewnętrznych jest identyfikowane i udokumentowane; [b.] zdefiniowano limity użycia przenośnych urządzeń magazynujących zawierających cuI w systemach zewnętrznych; I [c.] korzystanie z przenośnych urządzeń magazynujących zawierających cuI w systemach zewnętrznych jest ograniczone zgodnie z definicją. |
Skonfiguruj zasady zarządzania urządzeniami za pomocą rozwiązania MDM (na przykład usługi Microsoft Intune), programu Configuration Manager lub obiektów zasad grupy (GPO), aby kontrolować korzystanie z przenośnych urządzeń magazynujących w systemach. Skonfiguruj ustawienia zasad na urządzeniu z systemem Windows, aby całkowicie uniemożliwić lub ograniczyć korzystanie z magazynu przenośnego na poziomie systemu operacyjnego. W przypadku wszystkich innych urządzeń, na których może być niemożliwe szczegółowe kontrolowanie dostępu do przenośnego pobierania bloków magazynu w całości za pomocą Microsoft Defender dla Chmury Apps. Skonfiguruj zasady dostępu warunkowego, aby wymusić zgodność urządzeń. Dostęp warunkowy Wymagaj, aby urządzenie było oznaczone jako zgodne Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra Konfigurowanie zarządzania sesjami uwierzytelniania Intune Zasady zgodności urządzeń w usłudze Microsoft Intune Ograniczanie urządzeń USB przy użyciu szablonów administracyjnych w usłudze Microsoft Intune aplikacje Microsoft Defender dla Chmury Tworzenie zasad sesji w usłudze Defender dla Chmury Apps |