Konfigurera CMMC Level 1-kontroller
Microsoft Entra ID uppfyller identitetsrelaterade övningskrav på varje CMMC-nivå (Cybersecurity Maturity Model Certification). För att uppfylla kraven i CMMC är det företagets ansvar att utföra arbete med, och på uppdrag av, US Dept. of Defense (DoD) för att slutföra andra konfigurationer eller processer. I CMMC-nivå 1 finns det tre domäner som har en eller flera metoder som rör identitet:
- Åtkomstkontroll (AC)
- Identifiering och autentisering (IA)
- System- och informationsintegritet (SI)
Läs mer:
- DoD CMMC-webbplats – Office of the Under Secretary of Defense for Acquisition &Sustainment Cybersecurity Maturity Model Certification
- Microsoft Download Center – Microsoft Product Placemat för CMMC Level 3 (förhandsversion)
Resten av det här innehållet ordnas efter domän och associerade metoder. För varje domän finns det en tabell med länkar till innehåll som ger stegvis vägledning för att utföra övningen.
Åtkomstkontrolldomän
I följande tabell finns en lista över övningsinstruktioner och mål samt Vägledning och rekommendationer från Microsoft Entra som gör att du kan uppfylla dessa krav med Microsoft Entra-ID.
| CMMC-övningsinstruk ment och mål | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| AC. L1-3.1.1 Övningsuttryck: Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare eller enheter (inklusive andra informationssystem). Mål: Kontrollera om: [a.] behöriga användare identifieras. [b.] processer som agerar på uppdrag av behöriga användare identifieras. [c.] Enheter (och andra system) som har behörighet att ansluta till systemet identifieras. [d.] systemåtkomst är begränsad till behöriga användare. [e.] systemåtkomst är begränsad till processer som agerar på uppdrag av behöriga användare. Och [f.] systemåtkomst är begränsad till auktoriserade enheter (inklusive andra system). |
Du ansvarar för att konfigurera Microsoft Entra-konton, vilket sker från externa HR-system, lokal Active Directory eller direkt i molnet. Du konfigurerar villkorlig åtkomst för att endast bevilja åtkomst från en känd (registrerad/hanterad) enhet. Tillämpa dessutom begreppet lägsta behörighet när du beviljar programbehörigheter. Använd delegerad behörighet där det är möjligt. Konfigurera användare Konfigurera enheter Konfigurera program Villkorlig åtkomst |
| AC. L1-3.1.2 Övningsinstrukation: Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. Mål: Kontrollera om: [a.] De typer av transaktioner och funktioner som auktoriserade användare får köra definieras. Och [b.] systemåtkomst är begränsad till de definierade typerna av transaktioner och funktioner för behöriga användare. |
Du ansvarar för att konfigurera åtkomstkontroller som rollbaserade åtkomstkontroller (RBAC) med inbyggda eller anpassade roller. Använd rolltilldelningsbara grupper för att hantera rolltilldelningar för flera användare som behöver samma åtkomst. Konfigurera attributbaserade åtkomstkontroller (ABAC) med standardattribut eller anpassade säkerhetsattribut. Målet är att kontrollera åtkomsten till resurser som skyddas med Microsoft Entra-ID på ett detaljerat sätt. Konfigurera rollbaserad åtkomstkontroll Konfigurera ABAC Konfigurera grupper för rolltilldelning |
| AC. L1-3.1.20 Övningsuttryck: Verifiera och kontrollera/begränsa anslutningar till och användning av externa informationssystem. Mål: Kontrollera om: [a.] anslutningar till externa system identifieras. [b.] Användningen av externa system identifieras. [c.] anslutningar till externa system verifieras. [d.] Användningen av externa system har verifierats. [e.] anslutningar till externa system styrs och eller begränsas. Och [f.] användningen av externa system styrs och eller begränsas. |
Du ansvarar för att konfigurera principer för villkorlig åtkomst med hjälp av enhetskontroller och eller nätverksplatser för att styra och eller begränsa anslutningar och användning av externa system. Konfigurera användningsvillkor (TOU) för inspelad användarbekräftelse av villkor för användning av externa system för åtkomst. Konfigurera villkorsstyrd åtkomst efter behov Använda villkorsstyrd åtkomst för att blockera åtkomst Konfigurera användningsvillkor |
| AC. L1-3.1.22 Övningsuttryck: Kontrollera information som publiceras eller bearbetas i offentligt tillgängliga informationssystem. Mål: Kontrollera om: [a.] personer som har behörighet att publicera eller bearbeta information om offentligt tillgängliga system identifieras. [b.] procedurer för att säkerställa att FCI inte publiceras eller bearbetas i offentligt tillgängliga system identifieras. [c.] En granskningsprocess pågår innan innehåll publiceras i offentligt tillgängliga system. Och [d.] innehåll i offentligt tillgängliga system granskas för att säkerställa att det inte innehåller federal kontraktsinformation (FCI). |
Du ansvarar för att konfigurera Privileged Identity Management (PIM) för att hantera åtkomst till system där publicerad information är offentligt tillgänglig. Kräv godkännanden med motivering före rolltilldelning i PIM. Konfigurera användningsvillkor (TOU) för system där publicerad information är offentligt tillgänglig för inspelad bekräftelse av villkor för publicering av offentligt tillgänglig information. Planera PIM-distribution Konfigurera användningsvillkor |
IA-domän (IA)
I följande tabell finns en lista över övningsinstruktioner och mål samt Vägledning och rekommendationer från Microsoft Entra som gör att du kan uppfylla dessa krav med Microsoft Entra-ID.
| CMMC-övningsinstruk ment och mål | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Övningsinstrukation: Identifiera informationssystemanvändare, processer som agerar på uppdrag av användare eller enheter. Mål: Kontrollera om: [a.] systemanvändare identifieras. [b.] processer som agerar för användarnas räkning identifieras. Och [c.] enheter som har åtkomst till systemet identifieras. |
Microsoft Entra ID identifierar unikt användare, processer (tjänstens huvudnamn/arbetsbelastningsidentiteter) och enheter via ID-egenskapen för respektive katalogobjekt. Du kan filtrera loggfiler för att hjälpa till med utvärderingen med hjälp av följande länkar. Använd följande referens för att uppfylla utvärderingsmålen. Filtrera loggar efter användaregenskaper Filtrera loggar efter tjänstegenskaper Filtrera loggar efter enhetsegenskaper |
| IA. L1-3.5.2 Övningsinstrukation: Autentisera (eller verifiera) identiteterna för dessa användare, processer eller enheter som en förutsättning för att tillåta åtkomst till organisationens informationssystem. Mål: Kontrollera om: [a.] Varje användares identitet autentiseras eller verifieras som en förutsättning för systemåtkomst. [b.] Identiteten för varje process som agerar för en användares räkning autentiseras eller verifieras som en förutsättning för systemåtkomst. Och [c.] Identiteten för varje enhet som ansluter till eller ansluter till systemet autentiseras eller verifieras som en förutsättning för systemåtkomst. |
Microsoft Entra-ID autentiserar eller verifierar varje användare unikt, bearbetar agerar på uppdrag av användaren eller enheten som en förutsättning för systemåtkomst. Använd följande referens för att uppfylla utvärderingsmålen. Konfigurera användarkonton Konfigurera Microsoft Entra-ID för att uppfylla NIST-autentiseringsnivåer Konfigurera konton för tjänstens huvudnamn Konfigurera enhetskonton |
System- och informationsintegritetsdomän (SI)
I följande tabell finns en lista över övningsinstruktioner och mål samt Vägledning och rekommendationer från Microsoft Entra som gör att du kan uppfylla dessa krav med Microsoft Entra-ID.
| CMMC-övningsinstruk | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| SI. L1-3.14.1 – Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid. SI. L1-3.14.2 – Skydda mot skadlig kod på lämpliga platser i organisationens informationssystem. SI. L1-3.14.4 – Uppdatera mekanismer för skydd mot skadlig kod när nya versioner är tillgängliga. SI. L1-3.14.5 – Utföra periodiska genomsökningar av informationssystemet och realtidsgenomsökningar av filer från externa källor när filer laddas ned, öppnas eller körs. |
Konsoliderad vägledning för äldre hanterade enheter Konfigurera villkorsstyrd åtkomst för att kräva microsoft entra-hybridanslutningsenhet. För enheter som är anslutna till en lokal AD förutsätts det att kontrollen över dessa enheter tillämpas med hjälp av hanteringslösningar som Configuration Manager eller grupprincip (GP). Eftersom det inte finns någon metod för Microsoft Entra-ID för att avgöra om någon av dessa metoder har tillämpats på en enhet, är det en relativt svag mekanism att kräva en hanterad enhet genom att kräva en Microsoft Entra-hybrid ansluten enhet. Administratören bedömer om de metoder som tillämpas på dina lokala domänanslutna enheter är tillräckligt starka för att utgöra en hanterad enhet, om enheten också är en Microsoft Entra-hybridansluten enhet. Konsoliderad vägledning för molnhanterade enheter (eller samhantering) Konfigurera villkorlig åtkomst för att kräva att en enhet markeras som kompatibel, det starkaste formuläret för att begära en hanterad enhet. Det här alternativet kräver enhetsregistrering med Microsoft Entra-ID och anges som kompatibelt med Intune eller ett MDM-system (mobile device management) från tredje part som hanterar Windows 10-enheter via Microsoft Entra-integrering. |