Configurar controles de controle de acesso (AC) CMMC Nível 2

  • Artigo

O Microsoft Entra ID pode ajudá-lo a atender aos requisitos de prática relacionados à identidade em cada nível de Certificação de Modelo de Maturidade em Cibersegurança (CMMC). Para estar em conformidade com os requisitos do CMMC V2.0 nível 2, é responsabilidade das empresas que realizam trabalho com, e em nome do, Departamento de Defesa dos EUA (DoD) concluir outras configurações ou processos.

No CMMC Nível 2, existem 13 domínios que têm uma ou mais práticas relacionadas à identidade:

  • Controlo de Acessos (AC)
  • Auditoria e Prestação de Contas (AU)
  • Gerenciamento de configuração (CM)
  • Identificação e autenticação (IA)
  • Resposta a incidentes (RI)
  • Manutenção (MA)
  • Proteção dos meios de comunicação social (MP)
  • Segurança Pessoal (PS)
  • Proteção física (EP)
  • Avaliação de Riscos (RA)
  • Avaliação de Segurança (AC)
  • Proteção de Sistemas e Comunicações (SC)
  • Integridade do Sistema e da Informação (SI)

O restante deste artigo fornece orientação para o domínio de controle de acesso (AC). Há uma tabela com links para o conteúdo que fornece orientação passo a passo para realizar a prática.

Controlo de Acessos (AC)

A tabela a seguir fornece uma lista de declaração de prática e objetivos, além de orientações e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.

Declaração de prática e objetivos do CMMC Orientações e recomendações do Microsoft Entra
AC. L2-3.1.3

Declaração prática: Controlar o fluxo de CUI de acordo com as autorizações aprovadas.

Objetivos:
Determine se:
[a.] são definidas políticas de controlo do fluxo de informação;
[b.] são definidos métodos e mecanismos de execução para controlar o fluxo de CUI;
[c.] são identificadas as fontes e os destinos designados (por exemplo, redes, indivíduos e dispositivos) para o CUI dentro do sistema e entre sistemas intercalados;
[d.] são definidas autorizações para controlar o fluxo de CUI; e ainda
[e.] as autorizações aprovadas para controlar o fluxo de CUI são aplicadas.		 Configure políticas de Acesso Condicional para controlar o fluxo de CUI de locais confiáveis, dispositivos confiáveis, aplicativos aprovados e exigir política de proteção de aplicativos. Para obter uma autorização mais refinada para CUI, configure restrições impostas por aplicativos (Exchange/SharePoint Online), Controle de Aplicativo (com o Microsoft Defender for Cloud Apps), Contexto de autenticação. Implante o proxy de aplicativo Microsoft Entra para proteger o acesso a aplicativos locais.
Condição de localização no Acesso Condicional do Microsoft Entra
Conceder controles na política de Acesso Condicional - Exigir que o dispositivo seja marcado como compatível
Conceder controles na política de Acesso Condicional - Exigir dispositivo híbrido ingressado no Microsoft Entra
Conceder controles na política de Acesso Condicional - Exigir aplicativo cliente aprovado
Conceder controles na política de Acesso Condicional - Exigir política de proteção de aplicativo
Controles de sessão na política de Acesso Condicional - Restrições impostas pelo aplicativo
Proteja com o Controle de Aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps
Aplicações, ações e contexto de autenticação na nuvem na política de Acesso Condicional
Acesso remoto a aplicativos locais usando o proxy de aplicativo Microsoft Entra

Contexto de autenticação
Configurando o contexto de autenticação & Atribuir à política de acesso condicional

Proteção de informações
Conhecer e proteger os seus dados; Ajude a evitar a perda de dados.
Proteja seus dados confidenciais com o Microsoft Purview

Conditional Access
Acesso condicional para proteção de informações do Azure (AIP)

Proxy da Aplicação
Acesso remoto a aplicativos locais usando o proxy de aplicativo Microsoft Entra
AC. L2-3.1.4

Declaração prática: Separe os deveres dos indivíduos para reduzir o risco de atividade malévola sem conluio.

Objetivos:
Determine se:
[a.] são definidos os deveres das pessoas que necessitam de separação;
[b.] as responsabilidades por tarefas que exigem separação são atribuídas a indivíduos separados; e ainda
[c.] Os privilégios de acesso que permitem aos indivíduos exercer as funções que exigem separação são concedidos a indivíduos separados.		 Assegurar uma separação adequada das funções, definindo o âmbito do acesso adequado. Configure pacotes de Acesso ao Gerenciamento de Direitos para controlar o acesso a aplicativos, grupos, equipes e sites do SharePoint. Configure as verificações de Separação de Tarefas dentro dos pacotes de acesso para evitar que um usuário obtenha acesso excessivo. No gerenciamento de direitos do Microsoft Entra, você pode configurar várias políticas, com configurações diferentes para cada comunidade de usuários que precisará de acesso por meio de um pacote de acesso. Essa configuração inclui restrições para que um usuário de um determinado grupo, ou que já tenha atribuído um pacote de acesso diferente, não receba outros pacotes de acesso por política.

Configure as unidades administrativas no Microsoft Entra ID para definir o escopo do privilégio administrativo para que os administradores com funções privilegiadas tenham escopo para ter apenas esses privilégios em um conjunto limitado de objetos de diretório (usuários, grupos, dispositivos).
O que é a gestão de direitos?
O que são pacotes de acesso e que recursos posso gerir com eles?
Configurar a separação de tarefas para um pacote de acesso no gerenciamento de direitos do Microsoft Entra
Unidades administrativas no Microsoft Entra ID
AC. L2-3.1.5

Declaração prática: Empregar o princípio do menor privilégio, incluindo funções de segurança específicas e contas privilegiadas.

Objetivos:
Determine se:
[a.] são identificadas contas privilegiadas;
[b.] o acesso a contas privilegiadas é autorizado de acordo com o princípio do menor privilégio;
[c.] as funções de segurança são identificadas; e ainda
[d.] O acesso às funções de segurança é autorizado de acordo com o princípio do menor privilégio.		 Você é responsável por implementar e fazer cumprir a regra do menor privilégio. Essa ação pode ser realizada com o Privileged Identity Management para configurar a aplicação, o monitoramento e o alerta. Defina requisitos e condições para a associação à função.

Depois que as contas privilegiadas forem identificadas e gerenciadas, use o Gerenciamento do Ciclo de Vida dos Direitos e as revisões de Acesso para definir, manter e auditar o acesso adequado. Use a API do MS Graph para descobrir e monitorar funções de diretório.

Atribuir funções
Atribuir funções do Microsoft Entra no PIM
Atribuir funções de recurso do Azure no Privileged Identity Management
Atribuir proprietários e membros qualificados para o PIM for Groups

Definir configurações de função
Definir configurações de função do Microsoft Entra no PIM
Configurar definições de funções de recursos do Azure no PIM
Definir configurações do PIM para Grupos no PIM

Configurar alertas
Alertas de segurança para funções do Microsoft Entra no PIM
Configurar alertas de segurança para funções de recursos do Azure no Privileged Identity Management
AC. L2-3.1.6

Declaração prática: use contas ou funções não privilegiadas ao acessar funções que não sejam de segurança.

Objetivos:
Determine se:
[a.] sejam identificadas funções não relacionadas com a segurança; e ainda
[b.] Os usuários são obrigados a usar contas ou funções não privilegiadas ao acessar funções que não sejam de segurança.

AC. L2-3.1.7

Declaração prática: Impedir que usuários não privilegiados executem funções privilegiadas e capturar a execução de tais funções em logs de auditoria.

Objetivos:
Determine se:
[a.] definem-se funções privilegiadas;
[b.] são definidos utilizadores não privilegiados;
[c.] os utilizadores não privilegiados são impedidos de executar funções privilegiadas; e ainda
[d.] A execução de funções privilegiadas é capturada em logs de auditoria.		 Requisitos em AC. L2-3.1.6 e AC. L2-3.1.7 complementam-se. Exigir contas separadas para uso privilegiado e não privilegiado. Configure o Privileged Identity Management (PIM) para trazer acesso privilegiado just-in-time (JIT) e remover o acesso permanente. Configure políticas de Acesso Condicional baseadas em função para limitar o acesso ao aplicativo de produtividade para usuários privilegiados. Para usuários altamente privilegiados, dispositivos seguros como parte da história de acesso privilegiado. Todas as ações privilegiadas são capturadas nos logs de auditoria do Microsoft Entra.
Visão geral da proteção do acesso privilegiado
Definir configurações de função do Microsoft Entra no PIM
Utilizadores e grupos na política de Acesso Condicional
Por que os dispositivos de acesso privilegiado são importantes?
AC. L2-3.1.8

Declaração prática: Limite as tentativas de início de sessão sem sucesso.

Objetivos:
Determine se:
[a.] são definidos os meios para limitar as tentativas de início de sessão infrutíferas; e ainda
[b.] Os meios definidos para limitar as tentativas de início de sessão malsucedidas são implementados.		 Habilite as configurações personalizadas de bloqueio inteligente. Configure o limite e a duração do bloqueio em segundos para implementar esses requisitos.
Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra
Gerenciar valores de bloqueio inteligente do Microsoft Entra
AC. L2-3.1.9

Declaração de prática: Forneça avisos de privacidade e segurança consistentes com as regras CUI aplicáveis.

Objetivos:
Determine se:
[a.] os avisos de privacidade e segurança exigidos pelas regras especificadas pelo CUI são identificados, consistentes e associados à categoria específica do CUI; e ainda
[b.] São apresentados avisos de privacidade e segurança.		 Com o Microsoft Entra ID, você pode enviar mensagens de notificação ou banner para todos os aplicativos que exigem e registrar confirmação antes de conceder acesso. Você pode segmentar granularmente essas políticas de termos de uso para usuários específicos (Membro ou Convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional.

Conditional Access
O que é Acesso Condicional no Microsoft Entra ID?

Termos de utilização
Termos de Utilização do Microsoft Entra
Ver relatório de quem aceitou e recusou
AC. L2-3.1.10

Declaração prática: Use o bloqueio de sessão com monitores que ocultam padrões para impedir o acesso e a visualização de dados após um período de inatividade.

Objetivos:
Determine se:
[a.] o período de inatividade após o qual o sistema inicia um bloqueio de sessão é definido;
[b.] o acesso ao sistema e a visualização dos dados são impedidos iniciando um bloqueio de sessão após o período definido de inatividade; e ainda
[c.] As informações anteriormente visíveis são ocultadas através de um visor que oculta padrões após o período definido de inatividade.		 Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis ou associados híbridos do Microsoft Entra. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções MDM, como o Intune. Microsoft Intune, Configuration Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente.
Exigir que o dispositivo seja marcado como conforme
Conceder controles na política de Acesso Condicional - Exigir dispositivo híbrido ingressado no Microsoft Entra
Frequência de início de sessão do utilizador

Configure dispositivos para o máximo de minutos de inatividade até que a tela bloqueie (Android, iOS, Windows 10).
AC. L2-3.1.11

Declaração de prática: Encerrar (automaticamente) uma sessão de usuário após uma condição definida.

Objetivos:
Determine se:
[a.] são definidas as condições que exigem o encerramento de uma sessão de utilizador; e ainda
[b.] Uma sessão de usuário é encerrada automaticamente após qualquer uma das condições definidas ocorrer.		 Habilite a Avaliação de Acesso Contínuo (CAE) para todos os aplicativos suportados. Para aplicativos que não suportam CAE ou para condições não aplicáveis ao CAE, implemente políticas no Microsoft Defender for Cloud Apps para encerrar automaticamente as sessões quando as condições ocorrerem. Além disso, configure o Microsoft Entra ID Protection para avaliar o risco do usuário e do login. Use o Acesso Condicional com Proteção de Identidade para permitir que o usuário corrija automaticamente o risco.
Avaliação contínua de acesso no Microsoft Entra ID
Controle o uso do aplicativo na nuvem criando políticas
O que é o Microsoft Entra ID Protection?
AC. L2-3.1.12

Declaração prática: Monitorizar e controlar sessões de acesso remoto.

Objetivos:
Determine se:
[a.] São permitidas sessões de acesso remoto;
[b.] sejam identificados os tipos de acesso remoto permitido;
[c.] as sessões de acesso remoto são controladas; e ainda
[d.] As sessões de acesso remoto são monitorizadas.		 No mundo de hoje, os utilizadores acedem a aplicações baseadas na nuvem quase exclusivamente remotamente a partir de redes desconhecidas ou não fidedignas. É fundamental garantir esse padrão de acesso para adotar princípios de confiança zero. Para atender a esses requisitos de controle em um mundo de nuvem moderno, devemos verificar cada solicitação de acesso explicitamente, implementar o mínimo de privilégios e assumir a violação.

Configure locais nomeados para delinear redes internas versus externas. Configure o controle do aplicativo Acesso Condicional para rotear o acesso por meio do Microsoft Defender for Cloud Apps. Configure o Defender for Cloud Apps para controlar e monitorar todas as sessões.
Guia de implantação do Zero Trust para o Microsoft Entra ID
Condição de localização no Acesso Condicional do Microsoft Entra
Implantar o Controle de Aplicativo de Acesso Condicional do Cloud App Security para aplicativos do Microsoft Entra
O que é o Microsoft Defender for Cloud Apps?
Monitorar alertas gerados no Microsoft Defender for Cloud Apps
AC. L2-3.1.13

Declaração prática: Empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.

Objetivos:
Determine se:
[a.] são identificados mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto; e ainda
[b.] São implementados mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto.		 Todos os serviços Web voltados para o cliente Microsoft Entra são protegidos com o protocolo TLS (Transport Layer Security) e são implementados usando criptografia validada por FIPS.
Considerações sobre segurança de dados do Microsoft Entra (microsoft.com)
AC. L2-3.1.14

Declaração prática: Encaminhe o acesso remoto através de pontos de controle de acesso gerenciados.

Objetivos:
Determine se:
[a.] são identificados e implementados pontos de controlo de acesso geridos; e ainda
[b.] O acesso remoto é roteado através de pontos de controle de acesso à rede gerenciados.		 Configure locais nomeados para delinear redes internas versus externas. Configure o controle do aplicativo Acesso Condicional para rotear o acesso por meio do Microsoft Defender for Cloud Apps. Configure o Defender for Cloud Apps para controlar e monitorar todas as sessões. Dispositivos seguros usados por contas privilegiadas como parte da história de acesso privilegiado.
Condição de localização no Acesso Condicional do Microsoft Entra
Controlos de sessão na política de Acesso Condicional
Visão geral da proteção do acesso privilegiado
AC. L2-3.1.15

Declaração prática: Autorizar a execução remota de comandos privilegiados e o acesso remoto a informações relevantes para a segurança.

Objetivos:
Determine se:
[a.] são identificados comandos privilegiados autorizados para execução remota;
[b.] identificação de informações relevantes para a segurança autorizadas a serem acedidas remotamente;
[c.] É autorizada a execução dos comandos privilegiados identificados via acesso remoto; e ainda
[d.] O acesso às informações identificadas relevantes para a segurança através do acesso remoto é autorizado.		 O Acesso Condicional é o plano de controle Zero Trust para direcionar políticas de acesso aos seus aplicativos quando combinado com o contexto de autenticação. Você pode aplicar políticas diferentes nesses aplicativos. Dispositivos seguros usados por contas privilegiadas como parte da história de acesso privilegiado. Configure políticas de Acesso Condicional para exigir o uso desses dispositivos protegidos por usuários privilegiados ao executar comandos privilegiados.
Aplicações, ações e contexto de autenticação na nuvem na política de Acesso Condicional
Visão geral da proteção do acesso privilegiado
Filtrar dispositivos como condição na política de Acesso Condicional
AC. L2-3.1.18

Declaração prática: Controlar a conexão de dispositivos móveis.

Objetivos:
Determine se:
[a.] os dispositivos móveis que processam, armazenam ou transmitem CUI são identificados;
[b.] as ligações de dispositivos móveis são autorizadas; e ainda
[c.] As conexões de dispositivos móveis são monitoradas e registradas.		 Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para impor a configuração do dispositivo móvel e o perfil de conexão. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo.

Conditional Access
Exigir que o dispositivo seja marcado como conforme
Exigir dispositivo associado híbrido Microsoft Entra

InTune
Políticas da conformidade do dispositivo no Microsoft Intune
O que é o gerenciamento de aplicativos no Microsoft Intune?
AC. L2-3.1.19

Declaração prática: Criptografar CUI em dispositivos móveis e plataformas de computação móvel.

Objetivos:
Determine se:
[a.] são identificados dispositivos móveis e plataformas de computação móvel que processam, armazenam ou transmitem CUI; e ainda
[b.] criptografia é empregada para proteger CUI em dispositivos móveis identificados e plataformas de computação móvel.		 Dispositivo gerenciado
Configure políticas de Acesso Condicional para impor dispositivos compatíveis ou híbridos do Microsoft Entra e para garantir que os dispositivos gerenciados sejam configurados adequadamente por meio da solução de gerenciamento de dispositivos para criptografar CUI.

Dispositivo não gerenciado
Configure políticas de Acesso Condicional para exigir políticas de proteção de aplicativos.
Conceder controles na política de Acesso Condicional - Exigir que o dispositivo seja marcado como compatível
Conceder controles na política de Acesso Condicional - Exigir dispositivo híbrido ingressado no Microsoft Entra
Conceder controles na política de Acesso Condicional - Exigir política de proteção de aplicativo
AC. L2-3.1.21

Declaração prática: Limitar a utilização de dispositivos de armazenamento portáteis em sistemas externos.

Objetivos:
Determine se:
[a.] a utilização de dispositivos portáteis de armazenamento contendo CUI em sistemas externos seja identificada e documentada;
[b.] são definidos limites à utilização de dispositivos portáteis de armazenamento que contenham CUI em sistemas externos; e ainda
[c.] a utilização de dispositivos de armazenamento portáteis contendo CUI em sistemas externos é limitada conforme definido.		 Configure políticas de gerenciamento de dispositivos via MDM (como o Microsoft Intune), o Configuration Manager ou objetos de política de grupo (GPO) para controlar o uso de dispositivos de armazenamento portáteis em sistemas. Configure as definições de política no dispositivo Windows para proibir ou restringir completamente a utilização de armazenamento portátil ao nível do SO. Para todos os outros dispositivos em que você pode não conseguir controlar granularmente o acesso ao armazenamento portátil, faça o download totalmente com o Microsoft Defender for Cloud Apps. Configure políticas de Acesso Condicional para impor a conformidade do dispositivo.

Conditional Access
Exigir que o dispositivo seja marcado como conforme
Exigir dispositivo associado híbrido Microsoft Entra
Configurar o gerenciamento de sessão de autenticação

Intune
Políticas da conformidade do dispositivo no Microsoft Intune
Restringir dispositivos USB usando modelos administrativos no Microsoft Intune

Aplicativos do Microsoft Defender para Nuvem
Criar políticas de sessão no Defender for Cloud Apps

Próximos passos