Share via

Konfigurera identifierings- och autentiseringskontroller för att uppfylla FedRAMP-nivån med hög påverkan med Microsoft Entra-ID

  • Artikel

Identifiering och autentisering är nyckeln till att uppnå en FedRAMP-nivå (Federal Risk and Authorization Management Program ).

Följande lista över kontroller och kontrollförbättringar i IA-serien (identifiering och autentisering) kan kräva konfiguration i din Microsoft Entra-klientorganisation.

Kontrollfamilj beskrivning
IA-2 Identifiering och autentisering (organisationsanvändare)
IA-3 Enhetsidentifiering och autentisering
IA-4 Hantering av identifierare
IA-5 Autentiseringshantering
IA-6 Feedback om autentisering
IA-7 Autentisering av kryptografisk modul
IA-8 Identifiering och autentisering (icke-organisatoriska användare)

Varje rad i följande tabell innehåller vägledning som hjälper dig att utveckla organisationens svar på eventuella delade ansvarsområden för kontrollen eller kontrollförbättringen.

-konfigurationer

FedRAMP-kontroll-ID och beskrivning Vägledning och rekommendationer för Microsoft Entra
Användaridentifiering och autentisering för IA-2
Informationssystemet identifierar och autentiserar organisationsanvändare (eller processer som agerar på uppdrag av organisationsanvändare).		 Identifiera och autentisera användare eller processer som fungerar för användare unikt.

Microsoft Entra-ID identifierar unikt användar- och tjänsthuvudnamnsobjekt direkt. Microsoft Entra ID tillhandahåller flera autentiseringsmetoder och du kan konfigurera metoder som följer NIST-autentiseringsnivån (National Institute of Standards and Technology) 3.

Identifierare

  • Användare: Arbeta med användare i Microsoft Graph: ID-egenskapen
  • Tjänstens huvudnamn: ServicePrincipal-resurstyp : ID-egenskap

    Autentisering och multifaktorautentisering

  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform
    		•
    IA-2(1)
    Informationssystemet implementerar multifaktorautentisering för nätverksåtkomst till privilegierade konton.

    IA-2(3)
    Informationssystemet implementerar multifaktorautentisering för lokal åtkomst till privilegierade konton.    		 multifaktorautentisering för all åtkomst till privilegierade konton.

    Konfigurera följande element för en fullständig lösning för att säkerställa att all åtkomst till privilegierade konton kräver multifaktorautentisering.

    Konfigurera principer för villkorlig åtkomst för att kräva multifaktorautentisering för alla användare.
    Implementera Microsoft Entra Privileged Identity Management för att kräva multifaktorautentisering för aktivering av privilegierad rolltilldelning före användning.

    Med aktiveringskrav för privileged Identity Management är aktivering av privilegierade konton inte möjligt utan nätverksåtkomst, så lokal åtkomst är aldrig privilegierad.

    multifaktorautentisering och privileged Identity Management

  • Villkorlig åtkomst: Kräv multifaktorautentisering för alla användare
  • Konfigurera Microsoft Entra-rollinställningar i Privileged Identity Management
    		•
    IA-2(2)
    Informationssystemet implementerar multifaktorautentisering för nätverksåtkomst till icke-privilegierade konton.

    IA-2(4)
    Informationssystemet implementerar multifaktorautentisering för lokal åtkomst till konton som inte är privilegierade.    		 Implementera multifaktorautentisering för all åtkomst till konton som inte är privilegierade

    Konfigurera följande element som en övergripande lösning för att säkerställa att all åtkomst till konton som inte är privilegierade kräver MFA.

    Konfigurera principer för villkorsstyrd åtkomst för att kräva MFA för alla användare.
    Konfigurera enhetshanteringsprinciper via MDM (till exempel Microsoft Intune), Microsoft Endpoint Manager (MEM) eller grupprincipobjekt (GPO) för att framtvinga användning av specifika autentiseringsmetoder.
    Konfigurera principer för villkorlig åtkomst för att framtvinga enhetsefterlevnad.

    Microsoft rekommenderar att du använder en multifaktorkryptisk maskinvaruautentisering (till exempel FIDO2-säkerhetsnycklar, Windows Hello för företag (med maskinvaru-TPM) eller smartkort) för att uppnå AAL3. Om din organisation är molnbaserad rekommenderar vi att du använder FIDO2-säkerhetsnycklar eller Windows Hello för företag.

    Windows Hello för företag har inte verifierats på nödvändig FIPS 140-säkerhetsnivå och som sådan skulle federala kunder behöva utföra riskbedömning och utvärdering innan de accepterar den som AAL3. Mer information om Windows Hello för företag FIPS 140-validering finns i Microsoft NIST AALs.

    Se följande vägledning om MDM-principer skiljer sig något beroende på autentiseringsmetoder.

    Smartkort/Windows Hello för företag
    Lösenordsfri strategi – Kräv Windows Hello för företag eller smartkort
    Kräv att enheten är markerad som kompatibel
    Villkorlig åtkomst – Kräv MFA för alla användare

    Endast hybrid
    Lösenordslös strategi – Konfigurera användarkonton för att neka lösenordsautentisering

    Endast smartkort
    Skapa en regel för att skicka ett autentiseringsmetodanspråk
    Konfigurera autentiseringsprinciper

    FIDO2-säkerhetsnyckel
    Lösenordslös strategi – Exklusive providern för lösenordsautentiseringsuppgifter
    Kräv att enheten är markerad som kompatibel
    Villkorlig åtkomst – Kräv MFA för alla användare

    Autentiseringsmetoder
    Lösenordslös inloggning i Microsoft Entra (förhandsversion) | FIDO2-säkerhetsnycklar
    Inloggning med lösenordslös säkerhetsnyckel i Windows – Microsoft Entra-ID
    ADFS: Certifikatautentisering med Microsoft Entra-ID och Office 365
    Så här fungerar inloggning med smartkort i Windows (Windows 10)
    Windows Hello för företag översikt (Windows 10)

    Ytterligare resurser:
    CSP för princip – Windows-klienthantering
    Planera en distribution utan lösenordsautentisering med Microsoft Entra-ID
    IA-2(5)
    Organisationen kräver att enskilda användare autentiseras med en enskild autentisering när en gruppautentisering används.    		 När flera användare har åtkomst till ett lösenord för delat konto eller gruppkonto måste varje användare först autentisera med hjälp av en enskild autentisering.

    Använd ett enskilt konto per användare. Om ett delat konto krävs tillåter Microsoft Entra-ID bindning av flera autentiserare till ett konto så att varje användare har en enskild autentisering.

    Resurser

  • Så här fungerar det: Microsoft Entra multifaktorautentisering
  • Hantera autentiseringsmetoder för Microsoft Entra-multifaktorautentisering
    		•
    IA-2(8)
    Informationssystemet implementerar omspelsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade konton.    		 Implementera omspelsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade konton.

    Konfigurera principer för villkorlig åtkomst för att kräva multifaktorautentisering för alla användare. Alla Microsoft Entra-autentiseringsmetoder på autentiseringssäkerhetsnivå 2 och 3 använder antingen nonce eller utmaningar och är resistenta mot reprisattacker.

    Referenser

  • Villkorlig åtkomst: Kräv multifaktorautentisering för alla användare
  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform
    		•
    IA-2(11)
    Informationssystemet implementerar multifaktorautentisering för fjärråtkomst till privilegierade och icke-privilegierade konton, så att en av faktorerna tillhandahålls av en enhet som är separat från systemet som får åtkomst och enheten uppfyller [FedRAMP-tilldelning: FIPS 140-2, NIAP-certifiering eller NSA-godkännande*].

    *Nationellt informationssäkringspartnerskap (NIAP)
    Ytterligare FedRAMP-krav och vägledning:
    Vägledning: PIV = separat enhet. Se NIST SP 800-157-riktlinjerna för PIV-autentiseringsuppgifter (Derived Personal Identity Verification). FIPS 140-2 innebär validering av kryptografimodulens valideringsprogram (CMVP).    		 Implementera Microsoft Entra multifaktorautentisering för fjärråtkomst till kunddistribuerade resurser så att en av faktorerna tillhandahålls av en enhet som är separat från systemet och får åtkomst där enheten uppfyller FIPS-140-2, NIAP-certifiering eller NSA-godkännande.

    Se vägledning för IA-02(1-4). Microsoft Entra-autentiseringsmetoder att överväga på AAL3 som uppfyller de separata enhetskraven är:

    FIDO2-säkerhetsnycklar

  • Windows Hello för företag med maskinvaru-TPM (TPM identifieras som en giltig "något du har"-faktor av NIST 800-63B avsnitt 5.1.7.1.)
  • Smartkort

    Referenser

  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform
  • NIST 800-63B avsnitt 5.1.7.1
    		•
    **IA-2(12)*
    Informationssystemet godkänner och verifierar autentiseringsuppgifterna för personlig identitetsverifiering (PIV) elektroniskt.

    IA-2 (12) Ytterligare FedRAMP-krav och vägledning:
    Vägledning: Inkludera Common Access Card (CAC), dvs. den tekniska implementeringen av PIV/FIPS 201/HSPD-12.    		 Acceptera och verifiera autentiseringsuppgifter för personlig identitetsverifiering (PIV). Den här kontrollen gäller inte om kunden inte distribuerar PIV-autentiseringsuppgifter.

    Konfigurera federerad autentisering med hjälp av Active Directory Federation Services (AD FS) (AD FS) för att acceptera PIV (certifikatautentisering) som både primära och multifaktorautentiseringsmetoder och utfärda multifaktorautentiseringsanspråket (MultipleAuthN) när PIV används. Konfigurera den federerade domänen i Microsoft Entra ID med inställningen federatedIdpMfaBehavior till enforceMfaByFederatedIdp (rekommenderas) eller SupportsMfa för att $True dirigera multifaktorautentiseringsbegäranden som kommer från Microsoft Entra ID till Active Directory Federation Services (AD FS). Du kan också använda PIV för inloggning på Windows-enheter och senare använda integrerad Windows-autentisering tillsammans med sömlös enkel inloggning. Windows Server och klienten verifierar certifikat som standard när de används för autentisering.

    Resurser

  • Vad är federation med Microsoft Entra-ID?
  • Konfigurera AD FS-stöd för autentisering med användarcertifikat
  • Konfigurera autentiseringsprinciper
  • Skydda resurser med Microsoft Entra multifaktorautentisering och AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Anslut: Sömlös enkel inloggning
    		•
    IA-3 Enhetsidentifiering och autentisering
    Informationssystemet identifierar och autentiserar unikt [Tilldelning: organisationsdefinierade specifika och/eller typer av enheter] innan du upprättar en [markering (en eller flera): lokal, fjärransluten; nätverk] anslutning.    		 Implementera enhetsidentifiering och autentisering innan du upprättar en anslutning.

    Konfigurera Microsoft Entra-ID för att identifiera och autentisera Microsoft Entra-registrerade, Microsoft Entra-anslutna och Microsoft Entra Hybrid-anslutna enheter.

    Resurser

  • Vad är en enhetsidentitet?
  • Planera distribution av Microsoft Entra-enheter
  • Kräv hanterade enheter för åtkomst till molnappar med villkorsstyrd åtkomst
    		•
    IA-04 Identifierarhantering
    Organisationen hanterar informationssystemidentifierare för användare och enheter genom att:
    (a.) Ta emot auktorisering från [FedRAMP-tilldelning som minst ISSO (eller liknande roll inom organisationen)] för att tilldela en individ, grupp, roll eller enhetsidentifierare;
    (b.) Välja en identifierare som identifierar en individ, grupp, roll eller enhet.
    (c.) Tilldela identifieraren till den avsedda individen, gruppen, rollen eller enheten.
    (d.) Förhindra återanvändning av identifierare för [FedRAMP-tilldelning: minst två (2) år] och
    (e.) Inaktivera identifieraren efter [FedRAMP-tilldelning: trettiofem (35) dagar (se krav och vägledning)]
    IA-4e Ytterligare FedRAMP-krav och vägledning:
    Krav: Tjänstleverantören definierar tidsperioden för inaktivitet för enhetsidentifierare.
    Vägledning: För DoD-moln, se DoD-molnwebbplatsen för specifika DoD-krav som går utöver FedRAMP.

    IA-4(4)
    Organisationen hanterar enskilda identifierare genom att unikt identifiera varje individ som [FedRAMP Assignment: contractors; foreign nationals].    		 Inaktivera kontoidentifierare efter 35 dagars inaktivitet och förhindra återanvändning i två år. Hantera enskilda identifierare genom att unikt identifiera varje individ (till exempel entreprenörer och utländska medborgare).

    Tilldela och hantera enskilda kontoidentifierare och status i Microsoft Entra-ID i enlighet med befintliga organisationsprinciper som definierats i AC-02. Följ AC-02(3) för att automatiskt inaktivera användar- och enhetskonton efter 35 dagars inaktivitet. Se till att organisationsprincipen underhåller alla konton som är i inaktiverat tillstånd i minst två år. Efter den här tiden kan du ta bort dem.

    Fastställa inaktivitet

  • Hantera inaktiva användarkonton i Microsoft Entra-ID
  • Hantera inaktuella enheter i Microsoft Entra-ID
  • Se AC-02-vägledning
    		•
    IA-5 Authenticator Management
    Organisationen hanterar autentisering av informationssystem genom att:
    (a.) Verifiera identiteten för den person, grupp, roll eller enhet som tar emot autentiseringen som en del av den första autentiseringsdistributionen.
    (b.) Upprätta inledande autentiseringsinnehåll för autentiserare som definierats av organisationen.
    (c.) Se till att autentiserare har tillräcklig mekanism för avsedd användning.
    (d.) Upprätta och genomföra administrativa förfaranden för inledande autentiseringsdistribution, för förlorade/komprometterade eller skadade autentiseringsutentiserare och för återkallande av autentiserare.
    (e.) Ändra standardinnehållet för autentiserare före installationen av informationssystemet.
    (f.) Fastställa begränsningar för minsta och högsta livslängd och återanvändningsvillkor för autentiserare.
    (g.) Ändra/uppdatera autentiserare [Tilldelning: organisationsdefinierad tidsperiod efter autentiseringstyp].
    (h.) Skydda autentiseringsinnehåll från obehörigt avslöjande och ändring;
    (i.) Kräva att enskilda personer vidtar och har enheter implementerade specifika säkerhetsskydd för att skydda autentiserare. Och
    (j.) Ändra autentiserare för grupp-/rollkonton när medlemskap i dessa konton ändras.

    IA-5 Ytterligare FedRAMP-krav och vägledning:
    Krav: Autentiserare måste vara kompatibla med NIST SP 800-63-3 Riktlinjer för digital identitet IAL, AAL, FAL nivå 3. Länk https://pages.nist.gov/800-63-3    		 Konfigurera och hantera autentisering av informationssystem.

    Microsoft Entra ID stöder olika autentiseringsmetoder. Du kan använda dina befintliga organisationsprinciper för hantering. Se vägledning för autentiseringsval i IA-02(1-4). Aktivera användare i kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering och kräva att användarna registrerar minst två godkända multifaktorautentiseringsmetoder för att underlätta självreparation. Du kan återkalla användarkonfigurerade autentiserare när som helst med API:et för autentiseringsmetoder.

    Autentiseringsstyrka/skydda autentiseringsinnehåll

  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform

    Autentiseringsmetoder och kombinerad registrering

  • Vilka autentiserings- och verifieringsmetoder är tillgängliga i Microsoft Entra ID?
  • Kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering

    Authenticator återkallar

  • Api-översikt över Microsoft Entra-autentiseringsmetoder
    		•
    IA-5(1)
    Informationssystemet för lösenordsbaserad autentisering:
    (a.) Framtvingar minsta lösenordskomplexitet för [Tilldelning: organisationsdefinierade krav för skiftlägeskänslighet, antal tecken, blandning av versaler, gemener, siffror och specialtecken, inklusive minimikrav för varje typ];
    (b.) Framtvingar minst följande antal ändrade tecken när nya lösenord skapas: [FedRAMP-tilldelning: minst femtio procent (50 %);
    (c.) Lagrar och överför endast kryptografiskt skyddade lösenord.
    (d.) Tillämpar begränsningar för minsta och högsta livslängd för lösenord för [Tilldelning: organisationsdefinierade nummer för minsta livslängd, maximal livslängd];
    (e.)** Förbjuder återanvändning av lösenord för [FedRAMP-tilldelning: tjugofyra (24)] generationer, och
    (f.) Tillåter användning av ett tillfälligt lösenord för systeminloggning med en omedelbar ändring av ett permanent lösenord.

    IA-5 (1) a och d Ytterligare FedRAMP-krav och vägledning:
    Vägledning: Om lösenordsprinciper är kompatibla med NIST SP 800-63B Memorized Secret (avsnitt 5.1.1) Vägledning, kan kontrollen anses vara kompatibel.    		 Implementera lösenordsbaserade autentiseringskrav.

    Per NIST SP 800-63B Avsnitt 5.1.1: Underhålla en lista över vanliga, förväntade eller komprometterade lösenord.

    Med Microsoft Entra-lösenordsskydd tillämpas standardlistor med globala förbjudna lösenord automatiskt på alla användare i en Microsoft Entra-klientorganisation. För att stödja dina affärs- och säkerhetsbehov kan du definiera poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord.

    Vi rekommenderar starkt lösenordslösa strategier. Den här kontrollen gäller endast för lösenordsautentisering, så om du tar bort lösenord som en tillgänglig autentisering blir kontrollen inte tillämplig.

    NIST-referensdokument

  • NIST Special Publikation 800-63B
  • NIST Special Publikation 800-53 Revision 5 - IA-5 - Kontrollförbättring (1)

    Resurs

  • Eliminera felaktiga lösenord med Microsoft Entra-lösenordsskydd
    		•
    IA-5(2)
    Informationssystemet för PKI-baserad autentisering:
    (a.) Validerar certifieringar genom att konstruera och verifiera en certifieringssökväg till en godkänd förtroendeankare, inklusive kontroll av information om certifikatstatus.
    (b.) Framtvingar auktoriserad åtkomst till motsvarande privata nyckel;
    (c.) Kartor den autentiserade identiteten till individens eller gruppens konto och
    (d.) Implementerar en lokal cache med återkallningsdata för att stödja sökvägsidentifiering och validering under oförmåga att komma åt återkallningsinformation via nätverket.    		 Implementera PKI-baserade autentiseringskrav.

    Federera Microsoft Entra-ID via AD FS för att implementera PKI-baserad autentisering. Som standard verifierar AD FS certifikat, cachelagrar lokalt återkallningsdata och mappar användare till den autentiserade identiteten i Active Directory.

    Resurser

  • Vad är federation med Microsoft Entra-ID?
  • Konfigurera AD FS-stöd för autentisering med användarcertifikat
    		•
    IA-5(4)
    Organisationen använder automatiserade verktyg för att avgöra om lösenordsautentisering är tillräckligt starka för att uppfylla [FedRAMP-tilldelning: komplexitet som identifieras i IA-5 (1) Kontrollförbättring (H) Del A].

    IA-5(4) Ytterligare FedRAMP-krav och vägledning:
    Vägledning: Om automatiserade mekanismer som framtvingar lösenordsautentiseringsstyrkan vid skapande inte används, måste automatiserade mekanismer användas för att granska styrkan hos skapade lösenordsautentisering.    		 Använd automatiserade verktyg för att verifiera krav på lösenordsstyrka.

    Microsoft Entra ID implementerar automatiserade mekanismer som framtvingar lösenordsautentiseringsstyrkan vid skapandet. Den här automatiserade mekanismen kan också utökas för att framtvinga lösenordsautentiseringsstyrka för lokal Active Directory. Revision 5 av NIST 800-53 har dragit tillbaka IA-04(4) och införlivat kravet i IA-5(1).

    Resurser

  • Eliminera felaktiga lösenord med Microsoft Entra-lösenordsskydd
  • Microsoft Entra-lösenordsskydd för Active Directory-domän Services
  • NIST Special Publikation 800-53 Revision 5 - IA-5 - Kontrollförbättring (4)
    		•
    IA-5(6)
    Organisationen skyddar autentiserare som motsvarar säkerhetskategorin för den information som användningen av autentiseringsutenten tillåter åtkomst till.    		 Skydda autentiserare enligt definitionen i FedRAMP-nivån för hög påverkan.

    Mer information om hur Microsoft Entra ID skyddar autentiserare finns i Microsoft Entra-datasäkerhetsöverväganden.
    IA-05(7)
    Organisationen ser till att okrypterade statiska autentiseringsprogram inte är inbäddade i program eller åtkomstskript eller lagras på funktionsnycklar.    		 Se till att okrypterade statiska autentiserare (till exempel ett lösenord) inte är inbäddade i program eller åtkomstskript eller lagras på funktionsnycklar.

    Implementera hanterade identiteter eller objekt för tjänstens huvudnamn (konfigurerade med endast ett certifikat).

    Resurser

  • Vad är hanterade identiteter för Azure-resurser?
  • Skapa en Microsoft Entra-app och tjänstens huvudnamn i portalen
    		•
    IA-5(8)
    Organisationen implementerar [FedRAMP-tilldelning: olika autentiserare i olika system] för att hantera risken för kompromettering på grund av att personer har konton i flera informationssystem.    		 Implementera säkerhetsskydd när enskilda användare har konton i flera informationssystem.

    Implementera enkel inloggning genom att ansluta alla program till Microsoft Entra-ID, i stället för att ha enskilda konton i flera informationssystem.

    Vad är enkel inloggning i Azure?
    IA-5(11)
    Informationssystemet använder mekanismer för maskinvarutokenbaserad autentisering som uppfyller [Tilldelning: krav på organisationsdefinierad tokenkvalitet].    		 Kräv kvalitetskrav för maskinvarutoken som krävs av FedRAMP-nivån för hög påverkan.

    Kräv användning av maskinvarutoken som uppfyller AAL3.

    Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform
    IA-5(13)
    Informationssystemet förbjuder användning av cachelagrade autentiseringar efter [Tilldelning: organisationsdefinierad tidsperiod].    		 Framtvinga förfallotiden för cachelagrade autentiserare.

    Cachelagrade autentiserare används för att autentisera till den lokala datorn när nätverket inte är tillgängligt. Om du vill begränsa användningen av cachelagrade autentiserare konfigurerar du Windows-enheter för att inaktivera deras användning. Om den här åtgärden inte är möjlig eller praktisk använder du följande kompenserande kontroller:

    Konfigurera sessionskontroller för villkorsstyrd åtkomst med hjälp av programtillämpningsbegränsningar för Office-appen likeringar.
    Konfigurera villkorlig åtkomst med hjälp av programkontroller för andra program.

    Resurser

  • Interaktivt inloggningsnummer för tidigare inloggningar som ska cachelagrats
  • Sessionskontroller i princip för villkorsstyrd åtkomst: Begränsningar som tillämpas av programmet
  • Sessionskontroller i princip för villkorsstyrd åtkomst: Programkontroll för villkorsstyrd åtkomst
    		•
    IA-6 Authenticator Feedback
    Informationssystemet döljer feedback om autentiseringsinformation under autentiseringsprocessen för att skydda informationen från eventuellt utnyttjande/användning av obehöriga personer.    		 Dölj feedbackinformation om autentisering under autentiseringsprocessen.

    Som standard döljer Microsoft Entra-ID all autentiseringsfeedback.
    IA-7 Kryptografisk modulautentisering
    Informationssystemet implementerar mekanismer för autentisering till en kryptografisk modul för krav i tillämpliga federala lagar, verkställande order, direktiv, principer, förordningar, standarder och vägledning för sådan autentisering.    		 Implementera mekanismer för autentisering till en kryptografisk modul som uppfyller tillämpliga federala lagar.

    FedRAMP-nivån för hög påverkan kräver AAL3-autentisering. Alla autentiserare som stöds av Microsoft Entra ID på AAL3 tillhandahåller mekanismer för att autentisera operatörsåtkomst till modulen efter behov. I en Windows Hello för företag distribution med TPM för maskinvara kan du till exempel konfigurera nivån för TPM-ägarauktorisering.

    Resurser

  • Mer information finns i IA-02 (2 och 4).
  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform
  • Grupprincipinställningar för TPM
    		•
    IA-8-identifiering och autentisering (icke-organisatoriska användare)
    Informationssystemet identifierar och autentiserar icke-organisatoriska användare (eller processer som agerar på uppdrag av icke-organisationsanvändare).    		 Informationssystemet identifierar och autentiserar oorganiseringsanvändare (eller processer som fungerar för icke-organisatoriska användare).

    Microsoft Entra ID identifierar och autentiserar unikt icke-organisationsanvändare som finns i organisationens klientorganisation eller i externa kataloger med hjälp av FICAM-godkända protokoll (Federal Identity, Credential, and Access Management).

    Resurser

  • Vad är B2B-samarbete i Microsoft Entra-ID?
  • Direkt federation med en identitetsprovider för B2B
  • Egenskaper för en B2B-gästanvändare
    		•
    IA-8(1)
    Informationssystemet accepterar och verifierar elektroniskt PIV-autentiseringsuppgifter (Personal Identity Verification) från andra federala myndigheter.

    IA-8(4)
    Informationssystemet överensstämmer med FICAM-utfärdade profiler.    		 Acceptera och verifiera PIV-autentiseringsuppgifter som utfärdats av andra federala myndigheter. Anpassa dig till de profiler som utfärdats av FICAM.

    Konfigurera Microsoft Entra-ID för att acceptera PIV-autentiseringsuppgifter via federation (OIDC, SAML) eller lokalt via integrerad Windows-autentisering.

    Resurser

  • Vad är federation med Microsoft Entra-ID?
  • Konfigurera AD FS-stöd för autentisering med användarcertifikat
  • Vad är B2B-samarbete i Microsoft Entra-ID?
  • Direkt federation med en identitetsprovider för B2B
    		•
    IA-8(2)
    Informationssystemet accepterar endast FICAM-godkända autentiseringsuppgifter från tredje part.    		 Acceptera endast FICAM-godkända autentiseringsuppgifter.

    Microsoft Entra ID stöder autentisering på NIST AALs 1, 2 och 3. Begränsa användningen av autentiserare som motsvarar säkerhetskategorin för systemet som används.

    Microsoft Entra ID stöder en mängd olika autentiseringsmetoder.

    Resurser

  • Vilka autentiserings- och verifieringsmetoder är tillgängliga i Microsoft Entra ID?
  • Översikt över PRINCIP-API för Microsoft Entra-autentiseringsmetoder
  • Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform                                     
    		•

    Nästa steg