Поделиться через

Соответствие требованиям к авторизации из меморандума 22-09

  • Статья

В этой серии статей содержатся рекомендации по использованию идентификатора Microsoft Entra в качестве централизованной системы управления удостоверениями при реализации принципов нулевого доверия. См. меморандум 22-09 министерства управления и бюджета США по управлению и бюджету (OMB) 22-09 для руководителей исполнительных департаментов и учреждений.

Требования к memo — это типы применения в политиках многофакторной проверки подлинности и элементы управления для устройств, ролей, атрибутов и управления привилегированным доступом.

Элементы управления на основе устройств

Требование к меморандуму 22-09 является по крайней мере одним сигналом на основе устройств для принятия решений по авторизации для доступа к системе или приложению. Примените требование с помощью условного доступа. Примените несколько сигналов устройства во время авторизации. См. следующую таблицу для сигнала и требование для получения сигнала.

Сигнал Получение сигнала
Управление устройством Интеграция с Intune или другим решением для управления мобильными устройствами (MDM), поддерживающим интеграцию.
имеют гибридное присоединение к Microsoft Entra; Active Directory управляет устройством и квалифисирует его.
Устройство соответствует требованиям Интеграция с Intune или другим решением MDM, поддерживающим интеграцию. См. статью " Создание политики соответствия в Microsoft Intune".
Сигналы об угрозах Microsoft Defender для конечной точки и другие средства обнаружение и нейтрализация атак на конечные точки (EDR) имеют идентификатор Microsoft Entra и интеграции Intune, которые отправляют сигналы об угрозах для запрета доступа. Сигналы угроз поддерживают сигнал о состоянии, соответствующий требованиям.
Политики доступа между арендаторами (общедоступная предварительная версия) Доверять сигналам устройств с устройств в других организациях.

Элементы управления доступом на основе ролей

Используйте управление доступом на основе ролей (RBAC) для принудительного применения авторизации с помощью назначений ролей в определенной области. Например, назначьте доступ с помощью функций управления правами, включая пакеты доступа и проверки доступа. Управление авторизациями с помощью запросов самообслуживания и использование автоматизации для управления жизненным циклом. Например, автоматически завершает доступ на основе критериев.

Подробнее:

Элементы управления на основе атрибутов

Управление доступом на основе атрибутов (ABAC) использует метаданные, назначенные пользователю или ресурсу, для разрешения или запрета доступа во время проверки подлинности. В следующих разделах описано, как создать авторизацию с помощью принудительного применения ABAC для данных и ресурсов с помощью проверки подлинности.

Атрибуты, назначенные пользователям

Используйте атрибуты, назначенные пользователям, хранящимся в идентификаторе Microsoft Entra, для создания авторизации пользователей. Пользователи автоматически назначаются динамическим группам членства на основе набора правил, определяемого во время создания группы. Правила добавляют или удаляют пользователя из группы на основе оценки правил для пользователя и их атрибутов. Рекомендуется поддерживать атрибуты и не устанавливать статические атрибуты в день создания.

Дополнительные сведения. Создание или обновление динамической группы в идентификаторе Microsoft Entra

Атрибуты, назначенные данным

С помощью идентификатора Microsoft Entra можно интегрировать авторизацию в данные. Сведения об интеграции авторизации см. в следующих разделах. Вы можете настроить проверку подлинности в политиках условного доступа: ограничить действия, выполняемые пользователями в приложении или данных. Затем эти политики проверки подлинности сопоставляются в источнике данных.

Источники данных могут быть файлами Microsoft Office, такими как Word, Excel или Сайты SharePoint, сопоставленные с проверкой подлинности. Используйте проверку подлинности, назначенную данным в приложениях. Этот подход требует интеграции с кодом приложения и для разработчиков для внедрения возможности. Используйте интеграцию проверки подлинности с Microsoft Defender для облака Приложения для управления действиями, выполняемыми с данными с помощью элементов управления сеансами.

Объединение динамических групп членства с контекстом проверки подлинности для управления сопоставлениями доступа пользователей между данными и атрибутами пользователя.

Подробнее:

Атрибуты, назначенные ресурсам

Azure включает управление доступом на основе атрибутов (Azure ABAC) для хранения. Назначьте теги метаданных данным, хранящимся в учетной записи Хранилище BLOB-объектов Azure. Назначьте метаданные пользователям с помощью назначений ролей для предоставления доступа.

Дополнительные сведения. Что такое управление доступом на основе атрибутов Azure?

Управление привилегированным доступом

В memo приводится неэффективность использования средств управления привилегированным доступом с однофакторными учетными данными для доступа к системам. К этим технологиям относятся хранилища паролей, которые принимают многофакторную проверку подлинности для администратора. Эти средства создают пароль для альтернативной учетной записи для доступа к системе. Доступ к системе возникает с одним фактором.

Средства Майкрософт реализуют управление привилегированными пользователями (PIM) для привилегированных систем с идентификатором Microsoft Entra в качестве центральной системы управления удостоверениями. Применение многофакторной проверки подлинности для большинства привилегированных систем, которые являются приложениями, элементами инфраструктуры или устройствами.

Используйте PIM для привилегированной роли, когда она реализована с удостоверениями Microsoft Entra. Определите привилегированные системы, требующие защиты для предотвращения бокового перемещения.

Подробнее:

Следующие шаги