Configurar controles de identificação e autenticação para atender ao nível de alto impacto do FedRAMP com o Microsoft Entra ID
A identificação e autenticação são fundamentais para atingir um nível Alto de Impacto do Federal Risk and Authorization Management Program (FedRAMP).
A lista a seguir de controles e aprimoramentos de controle na família de identificação e autenticação pode exigir configuração em seu locatário do Microsoft Entra.
| Família de controle | Descrição |
|---|---|
| IA-2 | Identificação e autenticação (usuários organizacionais) |
| IA-3 | Identificação e autenticação de dispositivo |
| IA-4 | Gerenciamento de identificador |
| IA-5 | Gerenciamento de autenticador |
| IA-6 | Comentários do autenticador |
| IA-7 | Autenticação do módulo criptográfico |
| IA-8 | Identificação e autenticação (usuários não organizacionais) |
Cada linha na tabela a seguir fornece diretrizes prescritivas para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o aprimoramento do controle ou controle.
Configurações
| ID e descrição do controle FedRAMP | Orientações e recomendações do Microsoft Entra |
|---|---|
| Identificação e autenticação do usuário IA-2 O sistema de informação exclusivamente identifica e autentica usuários organizacionais (ou processos atuando em nome dos usuários organizacionais). |
Identifique e autentique exclusivamente usuários ou processos agindo para usuários. O Microsoft Entra ID identifica diretamente objetos de usuário e entidade de serviço. O Microsoft Entra ID fornece vários métodos de autenticação e você pode configurar métodos que aderem ao nível de garantia de autenticação (AAL) 3 do National Institute of Standards and Technology (NIST). Identificadores Autenticação e autenticação multifator |
| IA-2(1) O sistema de informação implementa a autenticação multi-fator para acesso à rede para contas com privilégios. IA-2(3) O sistema de informação implementa a autenticação multi-fator para acesso local para contas com privilégios. |
Autenticação multifator para todos os acessos a contas com privilégios. Configure os seguintes elementos da solução completa para garantir que todos os acessos a contas com privilégios exijam a autenticação multifator. Configure as políticas de Acesso Condicional para exigir a autenticação multifator para todos os usuários. Com a exigência de ativação do Privileged Identity Management, a ativação da conta com privilégio não é possível sem o acesso à rede, e portanto, o acesso local nunca é privilegiado. autenticação multifator e Privileged Identity Management |
| IA-2(2) O sistema de informação implementa a autenticação multi-fator para acesso à rede para contas sem privilégios. IA-2(4) O sistema de informação implementa a autenticação multifator para o acesso local a contas sem privilégios. |
Implementar a autenticação multifator para todo o acesso a contas sem privilégios Configure os elementos a seguir como uma solução geral para garantir que todos os acessos a contas sem privilégios exijam a MFA. Configure as políticas de Acesso Condicional para exigir MFA para todos os usuários. A Microsoft recomenda usar um autenticador de hardware criptográfico multifator (por exemplo, chaves de segurança FIDO2, Windows Hello para Empresas (com TPM de hardware) ou cartão inteligente) para obter a AAL3. Se a sua organização for baseada em nuvem, recomendamos usar as chaves de segurança FIDO2 ou o Windows Hello para Empresas. O Windows Hello para Empresas não foi validado no Nível de Segurança FIPS 140 necessário e, como tal, os clientes federais precisariam conduzir uma avaliação de risco e teste antes de aceitá-lo como AAL3. Para mais informações sobre a validação do FIPS 140 do Windows Hello para Empresas, consulte Microsoft NIST AALs. Confira as diretrizes a seguir sobre políticas de MDM que diferem ligeiramente com base nos métodos de autenticação. Cartão Inteligente/Windows Hello para Empresas Somente híbrido Somente cartão inteligente Chave de segurança FIDO2 Métodos de autenticação Recursos adicionais: |
| IA-2(5) A organização requer que os indivíduos sejam autenticados com um autenticador individual quando um autenticador de grupo é utilizado. |
Quando vários usuários têm acesso a uma senha de conta compartilhada ou de grupo, ele exige que cada usuário seja autenticado primeiro usando um autenticador individual. Use uma conta individual por usuário. Se uma conta compartilhada for necessária, o Microsoft Entra ID permitirá a associação de vários autenticadores a uma conta para que cada usuário tenha um autenticador individual. Recursos |
| IA-2(8) O sistema de informação implementa a autenticação resistente à repetição para acesso à rede para contas com privilégios. |
Implementar mecanismos de autenticação resistente à repetição para acesso à rede para contas com privilégios. Configure as políticas de Acesso Condicional para exigir a autenticação multifator para todos os usuários. Todos os métodos de autenticação do Microsoft Entra no nível de garantia de autenticação 2 e 3 usam nonce ou desafios e são resistentes a ataques de reprodução. Referências |
| IA-2(11) O sistema de informação implementa a autenticação multifator para o acesso remoto a contas com e sem privilégios, de modo que um dos fatores seja fornecido por um dispositivo separado do sistema que está obtendo o acesso e o dispositivo esteja em conformidade com a [Certificação Atribuição FedRAMP: FIPS 140-2, NIAP ou a Aprovação da NSA*]. *National Information Assurance Partnership (NIAP) Requisitos e Diretrizes Adicionais do FedRAMP: Diretrizes: PIV = dispositivo separado. Consulte as Diretrizes SP 800-157 do NIST para Credenciais Derivadas de Verificação de Identidade Pessoal (PIV). FIPS 140-2 significa validado pelo Programa de Validação de Módulo Criptográfico (CMVP). |
Implemente a autenticação multifator do Microsoft Entra para acessar recursos implantados pelo cliente remotamente para que um dos fatores seja fornecido por um dispositivo separado do sistema que obtém acesso onde o dispositivo atende ao FIPS-140-2, à certificação NIAP ou à aprovação NSA. Confira as diretrizes para IA-02 (1-4). Os métodos de autenticação do Microsoft Entra a serem considerados no AAL3 que atendem aos requisitos de dispositivos separados são: Chaves de segurança FIDO2 Referências |
| **IA-2(12)* O sistema de informação aceita e eletronicamente verifica as credenciais de Verificação de Identidade Pessoal (PIV). IA-2 (12) Requisitos e Diretrizes Adicionais do FedRAMP: Diretrizes: inclua o Cartão de Acesso Comum (CAC), ou seja, a implementação técnica de PIV/FIPS 201/HSPD-12 pelo DoD. |
Aceite e verifique as credenciais de PIV (verificação de identidade pessoal). Esse controle não será aplicável se o cliente não implantar as credenciais de PIV. Configure a autenticação federada usando os Serviços de Federação do Active Directory (AD FS) para aceitar PIV (autenticação de certificado) como os métodos de autenticação primária e multifator e emita a declaração de autenticação multifator (MultipleAuthN) quando PIV for usado. Configure o domínio federado no Microsoft Entra ID com a configuração federatedIdpMfaBehavior como Recursos |
| IA-3 Identificação e Autenticação de Dispositivo O sistema de informação identifica exclusivamente e autentica [Atribuição: específico definido pela organização e/ou tipos de dispositivos] antes de estabelecer uma conexão [Seleção (um ou mais): local; remoto; rede]. |
Implemente a identificação e a autenticação do dispositivo antes de estabelecer uma conexão. Configure o Microsoft Entra ID para identificar e autenticar dispositivos registrados no Microsoft Entra, ingressados no Microsoft Entra ingressados no Microsoft Entra híbrido. Recursos |
| IA-04 Gerenciamento de Identificador A organização gerencia os identificadores do sistema de informação para usuários e dispositivos através de: (a.) Recebendo autorização de [Atribuição FedRAMP, no mínimo, da ISSO (ou função semelhante dentro da organização)] para atribuir um identificador individual, de grupo, de função ou de dispositivo; (b.) Seleção de um identificador que identifique um indivíduo, grupo, função ou dispositivo; (c.) Atribuir o identificador ao indivíduo, grupo, função ou dispositivo pretendido; (d.) Impedir a reutilização de identificadores para [Atribuição FedRAMP: pelo menos dois (2) anos]; e (e.) Como desabilitar o identificador após [Atribuição FedRAMP: 35 (trinta e cinco) dias (consulte os requisitos e diretrizes)] IA-4e Requisitos e Diretrizes Adicionais do FedRAMP: Requisito: O provedor de serviços define o tempo de período de inatividade para identificadores de dispositivo. Diretrizes: para as nuvens do DoD, confira o site de nuvem do DoD para obter os requisitos específicos do DoD que vão muito além do FedRAMP. IA-4(4) A organização gerencia os identificadores individuais identificando cada indivíduo como [Atribuição FedRAMP: prestadores de serviço; cidadãos estrangeiros]. |
Desabilite os identificadores de conta após 35 dias de inatividade e impeça sua reutilização por dois anos. Gerencie identificadores individuais identificando exclusivamente cada indivíduo (por exemplo, prestadores de serviços e estrangeiros). Atribua e gerencie identificadores de conta individuais e status no Microsoft Entra ID de acordo com as políticas organizacionais existentes definidas no AC-02. Siga a AC-02 (3) para desabilitar automaticamente as contas de usuário e dispositivo após 35 dias de inatividade. Verifique se a política organizacional mantém todas as contas que permanecem no estado desabilitado por pelo menos dois anos. Após esse período, você pode removê-las. Determinar inatividade |
| IA-5 Gerenciamento de Autenticador A organização gerencia os autenticadores de sistemas de informação através de: (a.) Verificação, como parte da distribuição inicial do autenticador, a identidade do indivíduo, grupo, função ou dispositivo que recebe o autenticador; (b.) Estabelecimento do conteúdo inicial do autenticador para autenticadores definidos pela organização; (c.) Assegurando que os autenticadores tenham força de mecanismo suficiente para seu uso pretendido; (d.) Estabelecimento e implementação de procedimentos administrativos para distribuição inicial de autenticador, para autenticadores danificados ou perdidos/comprometidos e para revogar autenticadores; (e.) Alteração do conteúdo padrão de autenticadores antes da instalação de sistemas de informação; (f.) Estabelecimento de restrições mínimas e máximas de tempo de vida e condições de reutilização para os autenticadores; (g.) Alteração/atualização de autenticadores [Atribuição: período de tempo definido pela organização por tipo de autenticador]. (h.) Proteção do conteúdo do autenticador contra divulgação e modificação não autorizadas; (i.) Exigir que os indivíduos tomem, e tenham dispositivos implementados, proteções de segurança específicas para proteger os autenticadores; e (j.) Alteração de autenticadores para contas de grupo/função quando a associação a essas contas muda. IA-5 Requisitos e Diretrizes Adicionais do FedRAMP: Requisito: Os autenticadores devem estar em conformidade com as Diretrizes de Identidade Digital NIST SP 800-63-3 IAL, AAL, FAL nível 3. https://pages.nist.gov/800-63-3 do link |
Configure e gerencie os autenticadores do sistema de informações. O Microsoft Entra ID dá suporte a vários métodos de autenticação. Você pode usar as políticas organizacionais existentes para gerenciamento. Confira as diretrizes para seleção de autenticador em IA-02 (1-4). Habilite os usuários no registro combinado para autenticação multifator do SSPR e do Microsoft Entra e exija que os usuários registrem um mínimo de dois métodos de autenticação multifator aceitáveis para facilitar a autocorreção. Você pode revogar autenticadores configurados pelo usuário a qualquer momento com a API de métodos de autenticação. Força do autenticador/proteger o conteúdo do autenticador Métodos de autenticação e registro combinado Revogações do autenticador |
| IA-5(1) O sistema de informação, para autenticação baseada em senha: (a.) Impõe uma complexidade mínima de senha de [Atribuição: requisitos definidos pela organização para diferenciação de maiúsculas e minúsculas, número de caracteres, combinação de letras maiúsculas, minúsculas, números e caracteres especiais, incluindo os requisitos mínimos para cada tipo]; (b.) Impõe pelo menos o seguinte número de caracteres alterados quando novas senhas são criadas: [Atribuição FedRAMP: pelo menos cinquenta por cento (50%)]; (c.) Armazena e transmite apenas senhas protegidas por criptografia; (d.) Impõe restrições de tempo de vida mínimo e máximo da senha de [Atribuição: números definidos pela organização para o tempo de vida mínimo e máximo]; (e.)** Proíbe a reutilização de senha para [Atribuição FedRAMP: vinte e quatro (24)] gerações; e (f.) Permite o uso de uma senha temporária para os logons do sistema com uma alteração imediata para uma senha permanente. IA-5 (1) a e d. Requisitos e Diretrizes Adicionais do FedRAMP: Diretrizes: Se as políticas de senha estiverem em conformidade com as diretrizes de NIST SP 800-63B Segredo Memorizado (Seção 5.1.1), o controle pode ser considerado em conformidade. |
Implemente os requisitos da autenticação baseada em senha. Pelo NIST SP 800-63B seção 5.1.1: manter uma lista de senhas comumente usadas, esperadas ou comprometidas. Com a proteção de senha do Microsoft Entra, as listas globais padrão de senhas banidas são automaticamente aplicadas a todos os usuários em um locatário do Microsoft Entra. Para dar suporte as necessidades de negócios e de segurança, você pode definir entradas em uma lista personalizada de senhas banidas. Quando os usuários alteram ou redefinem suas senhas, essas listas de senhas banidas são verificadas para impor o uso de senhas fortes. Incentivamos as estratégias sem senha. Esse controle é aplicável somente a autenticadores de senha; portanto, a remoção de senhas como um autenticador disponível torna esse controle não aplicável. Documentos de referência do NIST Recurso |
| IA-5(2) O sistema de informação, para autenticação baseada em PKI: (a.) Valida as certificações através da compilação e verificação de um caminho de certificação para um indicador de confiança aceita, incluindo a verificação de informações sobre o status do certificado; (b.) Impõe o acesso autorizado à chave privada correspondente; (c.) Mapeia a identidade autenticada para a conta do indivíduo ou grupo; e (d.) Implementa um cache local de dados de revogação para facilitar a descoberta e validação do caminho em caso de impossibilidade de acesso às informações de revogação através da rede. |
Implemente os requisitos de autenticação baseada em PKI. Federar o Microsoft Entra ID por meio do AD FS para implementar a autenticação baseada em PKI. Por padrão, o AD FS valida certificados, armazena localmente em cache os dados de revogação e mapeia os usuários para a identidade autenticada no Active Directory. Recursos |
| IA-5(4) A organização emprega ferramentas automatizadas para determinar se os autenticadores de senha são suficientemente fortes para satisfazer [Atribuição FedRAMP: complexidade conforme identificada em IA-5 (1) Aprimoramento de Controle (H) Parte A]. IA-5(4) Requisitos e Diretrizes Adicionais do FedRAMP: Diretrizes: se não forem usados mecanismos automatizados que implementem a força do autenticador de senha na criação, mecanismos automatizados devem ser usados para auditar a força dos autenticadores de senha criados. |
Empregue ferramentas automatizadas para validar os requisitos de força da senha. O Microsoft Entra ID implementa mecanismos automatizados que impõem a força do autenticador de senha na criação. Esse mecanismo automatizado também pode ser estendido para impor a força do autenticador de senha no Active Directory local. A revisão 5 do NIST 800-53 retirou o IA-04 (4) e incorporou o requisito no IA-5 (1). Recursos |
| IA-5(6) A organização protege os autenticadores de acordo com a categoria de segurança das informações às quais o uso do autenticador permite o acesso. |
Proteger autenticadores conforme definido no nível Alto de Impacto do FedRAMP. Para obter mais informações sobre como o Microsoft Entra ID protege os autenticadores, confira Considerações de segurança de dados do Microsoft Entra. |
| IA-05(7) A organização garante que autenticadores estáticos não criptografadas não sejam incorporados em aplicativos ou scripts de acesso ou armazenados em chaves de função. |
Garanta que autenticadores estáticos não criptografados (por exemplo, uma senha) não sejam inseridos em aplicativos, scripts de acesso ou armazenados em chaves de função. Implemente identidades gerenciadas ou objetos de entidade de serviço (configurados apenas com um certificado). Recursos |
| IA-5(8) A organização implementa [Atribuição FedRAMP: diferentes autenticadores em diferentes sistemas] para gerenciar o risco de comprometimento devido a indivíduos com contas em vários sistemas de informação. |
Implemente proteções de segurança quando as pessoas tiverem contas em vários sistemas de informações. Implemente o logon único conectando todos os aplicativos ao Microsoft Entra ID, em vez de ter contas individuais em vários sistemas de informações. |
| IA-5(11) O sistema de informação, para autenticação baseada em token de hardware, emprega mecanismos que satisfazem [Atribuição: requisitos de qualidade de token definidos pela organização]. |
Exigir requisitos de qualidade de token de hardware conforme solicitado pelo nível Alto de Impacto do FedRAMP. Exigir o uso de tokens de hardware que atendam a AAL3. Obter níveis de garantia do autenticador NIST com a plataforma de identidade da Microsoft |
| IA-5(13) O sistema de informação proíbe o uso de autenticadores em cache depois de [Atribuição: período de tempo definido pela organização]. |
Impor a expiração dos autenticadores armazenados em cache. Os autenticadores armazenados em cache são usados na autenticação do computador local quando a rede não está disponível. Para limitar o uso de autenticadores armazenados em cache, configure os dispositivos Windows para desabilitar seu uso. Quando essa ação não for possível ou prática, use os seguintes controles de compensação: Configure controles de sessão do Acesso Condicional usando restrições implementadas por aplicativos para aplicativos do Office. Recursos |
| IA-6 Comentários do Autenticador O sistema de informação oculta os comentários das informações de autenticação durante o processo de autenticação para proteger as informações contra possível exploração/uso por indivíduos não autorizados. |
Oculte as informações de comentários de autenticação durante o processo de autenticação. Por padrão, o ID do Microsoft Entra oculta todos os comentários do autenticador. |
| IA-7 Autenticação do Módulo Criptográfico O sistema de informação implementa mecanismos de autenticação para um módulo criptográfico que atenda aos requisitos das leis federais, Ordens Executivas, diretivas, políticas, regulamentos, normas e diretrizes aplicáveis à autenticação em questão. |
Implemente mecanismos para autenticação em um módulo criptográfico que atenda às leis federais aplicáveis. O nível Alto de Impacto do FedRAMP requer o autenticador AAL3. Todos os autenticadores compatíveis com o Microsoft Entra ID no AAL3 fornecem mecanismos para autenticar o acesso do operador ao módulo conforme necessário. Por exemplo, em uma implantação Windows Hello para Empresas com hardware TPM, configure o nível de autorização de proprietário do TPM. Recursos |
| IA-8 Identificação e Autenticação (Usuários Não Organizacionais) O sistema de informação identifica e autentica exclusivamente usuários não-organizacionais (ou processos agindo em nome de usuários não-organizacionais). |
O sistema de informação identifica e autentica de forma exclusiva os usuários não organizacionais (ou processos atuando para os usuários não organizacionais). O Microsoft Entra ID identifica e autentica exclusivamente usuários não organizacionais hospedados no locatário das organizações ou em diretórios externos usando protocolos aprovados pelo Federal Identity, Credential, and Access Management (FICAM). Recursos |
| IA-8(1) O sistema de informação aceita e eletronicamente verifica as credenciais de Verificação de Identidade Pessoal (PIV) de outras agências federais. IA-8(4) O sistema de informação está em conformidade com perfis emitidos por FICAM. |
Aceite e verifique as credenciais de PIV emitidas por outras agências federais. Esteja em conformidade com os perfis emitidos pelo FICAM. Configure o Microsoft Entra ID para aceitar credenciais de PIV por meio de federação (OIDC, SAML) ou localmente por meio da autenticação do Windows integrada. Recursos |
| IA-8(2) O sistema de informação aceita somente credenciais de terceiros aprovadas pelo FICAM. |
Aceite apenas credenciais aprovadas pelo FICAM. O Microsoft Entra ID dá suporte a autenticadores nos AALs 1, 2 e 3 do NIST. Restrinja o uso de autenticadores compatíveis com a categoria de segurança do sistema que está sendo acessado. O Microsoft Entra ID dá suporte a uma ampla variedade de métodos de autenticação. Recursos |
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de