Konfigurera åtkomstkontrollkontroller på CMMC-nivå 2 (AC)
Microsoft Entra-ID kan hjälpa dig att uppfylla identitetsrelaterade övningskrav på varje CMMC-nivå (Cybersecurity Maturity Model Certification). För att uppfylla kraven i CMMC V2.0 nivå 2 är det företagets ansvar att arbeta med, och på uppdrag av, US Dept. of Defense (DoD) för att slutföra andra konfigurationer eller processer.
I CMMC-nivå 2 finns det 13 domäner som har en eller flera metoder som rör identitet:
- Åtkomstkontroll (AC)
- Granskning och ansvarsskyldighet (AU)
- Konfigurationshantering (CM)
- Identifiering och autentisering (IA)
- Incidenthantering (IR)
- Underhåll (MA)
- Media Protection (MP)
- Personalsäkerhet (PS)
- Fysiskt skydd (PE)
- Riskbedömning (RA)
- Säkerhetsbedömning (CA)
- System- och kommunikationsskydd (SC)
- System- och informationsintegritet (SI)
Resten av den här artikeln innehåller vägledning för åtkomstkontrolldomänen (AC). Det finns en tabell med länkar till innehåll som ger stegvis vägledning för att utföra övningen.
Åtkomstkontroll (AC)
I följande tabell finns en lista över övningsinstruktioner och mål samt Vägledning och rekommendationer från Microsoft Entra som gör att du kan uppfylla dessa krav med Microsoft Entra-ID.
| CMMC-övningsinstruk ment och mål | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| AC. L2-3.1.3 Övningsinstrukation: Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. Mål: Kontrollera om: [a.] principer för informationsflödeskontroll definieras. [b.] metoder och tillämpningsmekanismer för att kontrollera flödet av CUI definieras. [c.] Utsedda källor och destinationer (till exempel nätverk, individer och enheter) för CUI inom systemet och mellan intercfeetonnected-system identifieras. [d.] auktoriseringar för att kontrollera flödet av CUI definieras. Och [e.] godkända auktoriseringar för att kontrollera flödet av CUI framtvingas. |
Konfigurera principer för villkorlig åtkomst för att styra flödet av CUI från betrodda platser, betrodda enheter, godkända program och kräva appskyddsprincip. För finare detaljerad auktorisering till CUI konfigurerar du apptvingande begränsningar (Exchange/SharePoint Online), appkontroll (med Microsoft Defender för molnet appar), autentiseringskontext. Distribuera Microsoft Entra-programproxy för att skydda åtkomsten till lokala program. Platsvillkor i villkorsstyrd åtkomst i Microsoft Entra Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv att enheten markeras som kompatibel Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv Microsoft Entra-hybridanslutning Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv godkänd klientapp Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv appskyddsprincip Sessionskontroller i princip för villkorsstyrd åtkomst – Begränsningar som tillämpas av programmet Skydda med Microsoft Defender för molnet Apps villkorlig åtkomstappkontroll Molnappar, åtgärder och autentiseringskontext i principen för villkorsstyrd åtkomst Fjärråtkomst till lokala appar med hjälp av Microsoft Entra-programproxy Autentiseringskontext Konfigurera autentiseringskontext och tilldela till princip för villkorsstyrd åtkomst Informationsskydd Känna till och skydda dina data. förhindra dataförlust. Skydda dina känsliga data med Microsoft Purview Villkorlig åtkomst Villkorlig åtkomst för Azure Information Protection (AIP) Programproxy Fjärråtkomst till lokala appar med hjälp av Microsoft Entra-programproxy |
| AC. L2-3.1.4 Övningsinstruktur: Separera individers uppgifter för att minska risken för illvillig aktivitet utan maskopi. Mål: Kontrollera om: [a.] Uppgifter för enskilda personer som kräver separation definieras. [b.] Ansvarsområden för uppgifter som kräver separation tilldelas separata individer; Och [c.] åtkomstbehörigheter som gör det möjligt för enskilda personer att utföra de uppgifter som kräver separation beviljas separata individer. |
Säkerställa lämplig uppdelning av uppgifter genom att omfångsanpassa lämplig åtkomst. Konfigurera åtkomstpaket för berättigandehantering för att styra åtkomsten till program, grupper, Teams och SharePoint-webbplatser. Konfigurera separation av tullkontroller i åtkomstpaket för att undvika att en användare får överdriven åtkomst. I Microsoft Entra-berättigandehantering kan du konfigurera flera principer med olika inställningar för varje användarcommunity som behöver åtkomst via ett åtkomstpaket. Den här konfigurationen innehåller begränsningar som att en användare av en viss grupp, eller som redan har tilldelats ett annat åtkomstpaket, inte tilldelas andra åtkomstpaket av principen. Konfigurera administrativa enheter i Microsoft Entra-ID för att begränsa administratörsbehörigheten så att administratörer med privilegierade roller begränsas till att endast ha dessa behörigheter för begränsad uppsättning katalogobjekt (användare, grupper, enheter). Vad är berättigandehantering? Vad är åtkomstpaket och vilka resurser kan jag hantera med dem? Konfigurera uppdelning av uppgifter för ett åtkomstpaket i Microsoft Entra-berättigandehantering Administrativa enheter i Microsoft Entra-ID |
| AC. L2-3.1.5 Övningsuttryck: Använd principen om lägsta behörighet, inklusive specifika säkerhetsfunktioner och privilegierade konton. Mål: Kontrollera om: [a.] privilegierade konton identifieras. [b.] åtkomst till privilegierade konton är auktoriserat i enlighet med principen om minsta behörighet; [c.] säkerhetsfunktioner identifieras. Och [d.] åtkomst till säkerhetsfunktioner är auktoriserad i enlighet med principen om minsta behörighet. |
Du ansvarar för att implementera och framtvinga regeln med minsta möjliga behörighet. Den här åtgärden kan utföras med Privileged Identity Management för att konfigurera tillämpning, övervakning och aviseringar. Ange krav och villkor för rollmedlemskap. När privilegierade konton har identifierats och hanterats använder du livscykelhantering och åtkomstgranskningar för att ange, underhålla och granska lämplig åtkomst. Använd MS Graph API för att identifiera och övervaka katalogroller. Tilldela roller Tilldela Microsoft Entra-roller i PIM Tilldela Azure-resursroller i Privileged Identity Management Tilldela berättigade ägare och medlemmar för PIM för grupper Ange rollinställningar Konfigurera Microsoft Entra-rollinställningar i PIM Konfigurera Azure-resursrollinställningar i PIM Konfigurera PIM för gruppinställningar i PIM Konfigurera aviseringar Säkerhetsaviseringar för Microsoft Entra-roller i PIM Konfigurera säkerhetsaviseringar för Azure-resursroller i Privileged Identity Management |
| AC. L2-3.1.6 Övningsuttryck: Använd icke-privilegierade konton eller roller vid åtkomst till icke-säkerhetsfunktioner. Mål: Kontrollera om: [a.] icke-säkerhetsfunktioner identifieras. Och [b.] användare måste använda icke-privilegierade konton eller roller vid åtkomst till icke-säkerhetsfunktioner. AC. L2-3.1.7 Övningsuttryck: Förhindra att icke-privilegierade användare kör privilegierade funktioner och avbildar körningen av sådana funktioner i granskningsloggar. Mål: Kontrollera om: [a.] privilegierade funktioner definieras. [b.] icke-privilegierade användare definieras. [c.] icke-privilegierade användare hindras från att köra privilegierade funktioner. Och [d.] körningen av privilegierade funktioner samlas in i granskningsloggar. |
Krav i AC. L2-3.1.6 och AC. L2-3.1.7 kompletterar varandra. Kräv separata konton för privilegier och icke-privilegierad användning. Konfigurera Privileged Identity Management (PIM) för att ge just-in-time(JIT) privilegierad åtkomst och ta bort stående åtkomst. Konfigurera rollbaserade principer för villkorsstyrd åtkomst för att begränsa åtkomsten till produktivitetsprogrammet för privilegierade användare. För högprivilegierade användare, säkra enheter som en del av den privilegierade åtkomstartikeln. Alla privilegierade åtgärder registreras i Microsoft Entra-granskningsloggarna. Översikt över att skydda privilegierad åtkomst Konfigurera Microsoft Entra-rollinställningar i PIM Användare och grupper i principen för villkorsstyrd åtkomst Varför är privilegierade åtkomstenheter viktiga |
| AC. L2-3.1.8 Övningsinstruktor: Begränsa misslyckade inloggningsförsök. Mål: Kontrollera om: [a.] Metoder för att begränsa misslyckade inloggningsförsök definieras. Och [b.] det definierade sättet att begränsa misslyckade inloggningsförsök implementeras. |
Aktivera anpassade inställningar för smart utelåsning. Konfigurera tröskelvärde för utelåsning och utelåsning på några sekunder för att implementera dessa krav. Skydda användarkonton från angrep med Microsoft Entra smart utelåsning Hantera microsoft entra-smart utelåsningsvärden |
| AC. L2-3.1.9 Övningsuttryck: Ange sekretess- och säkerhetsmeddelanden som är förenliga med tillämpliga CUI-regler. Mål: Kontrollera om: [a.] sekretess- och säkerhetsmeddelanden som krävs enligt CUI-angivna regler identifieras, är konsekventa och associerade med den specifika CUI-kategorin. Och [b.] sekretess- och säkerhetsmeddelanden visas. |
Med Microsoft Entra-ID kan du leverera meddelanden eller banderollsmeddelanden för alla appar som kräver och registrerar bekräftelse innan du beviljar åtkomst. Du kan rikta dessa användningsprinciper till specifika användare (medlem eller gäst). Du kan också anpassa dem per program via principer för villkorsstyrd åtkomst. Villkorlig åtkomst Vad är villkorlig åtkomst i Microsoft Entra-ID? Användningsvillkor Användningsvillkor för Microsoft Entra Visa rapport över vem som har accepterat och avböjt |
| AC. L2-3.1.10 Övningsinstrukation: Använd sessionslås med mönstergömningsskärmar för att förhindra åtkomst och visning av data efter en period av inaktivitet. Mål: Kontrollera om: [a.] Den period av inaktivitet efter vilken systemet initierar ett sessionslås har definierats. [b.] åtkomst till systemet och visning av data förhindras genom att ett sessionslås initieras efter den definierade perioden av inaktivitet. Och [c.] tidigare synlig information döljs via en mönstergömd visning efter den definierade perioden av inaktivitet. |
Implementera enhetslås med hjälp av en princip för villkorsstyrd åtkomst för att begränsa åtkomsten till kompatibla eller Hybrid-anslutna Microsoft Entra-enheter. Konfigurera principinställningar på enheten för att framtvinga enhetslås på OS-nivå med MDM-lösningar som Intune. Microsoft Intune, Configuration Manager eller grupprincipobjekt kan också beaktas i hybriddistributioner. För ohanterade enheter konfigurerar du inställningen Inloggningsfrekvens för att tvinga användare att autentisera igen. Kräv att enheten är markerad som kompatibel Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv Microsoft Entra-hybridanslutning Användarinloggningsfrekvens Konfigurera enheter för maximalt antal minuter av inaktivitet tills skärmen låse (Android, iOS, Windows 10). |
| AC. L2-3.1.11 Övningsuttryck: Avsluta (automatiskt) en användarsession efter ett definierat villkor. Mål: Kontrollera om: [a.] villkor som kräver att en användarsession avslutas definieras. Och [b.] en användarsession avslutas automatiskt när något av de definierade villkoren har inträffat. |
Aktivera kontinuerlig åtkomstutvärdering (CAE) för alla program som stöds. För program som inte stöder CAE, eller för villkor som inte gäller för CAE, implementerar du principer i Microsoft Defender för molnet Appar för att automatiskt avsluta sessioner när villkor inträffar. Konfigurera dessutom Microsoft Entra ID Protection för att utvärdera användar- och inloggningsrisk. Använd villkorsstyrd åtkomst med identitetsskydd för att tillåta användare att automatiskt åtgärda risker. Utvärdering av kontinuerlig åtkomst i Microsoft Entra-ID Kontrollera användningen av molnappar genom att skapa principer Vad är Microsoft Entra ID-skydd? |
| AC. L2-3.1.12 Övningsuttryck: Övervaka och kontrollera fjärråtkomstsessioner. Mål: Kontrollera om: [a.] fjärråtkomstsessioner tillåts. [b.] Vilka typer av tillåten fjärråtkomst som tillåts identifieras. [c.] fjärråtkomstsessioner styrs. Och [d.] fjärråtkomstsessioner övervakas. |
I dagens värld får användarna åtkomst till molnbaserade program nästan uteslutande via fjärranslutning från okända eller ej betrodda nätverk. Det är viktigt att skydda det här mönstret för åtkomst för att införa noll förtroendeobjekt. För att uppfylla dessa kontrollkrav i en modern molnvärld måste vi verifiera varje åtkomstbegäran explicit, implementera minsta möjliga behörighet och anta intrång. Konfigurera namngivna platser för att avgränsa interna eller externa nätverk. Konfigurera appkontroll för villkorsstyrd åtkomst för att dirigera åtkomst via Microsoft Defender för molnet-appar. Konfigurera Defender för molnet Appar för att styra och övervaka alla sessioner. Nolltillit distributionsguide för Microsoft Entra-ID Platsvillkor i villkorsstyrd åtkomst i Microsoft Entra Distribuera cloud app security villkorlig åtkomst appkontroll för Microsoft Entra-appar Vad är Microsoft Defender för molnet Appar? Övervaka aviseringar som genereras i Microsoft Defender för molnet Apps |
| AC. L2-3.1.13 Övningsinstruktor: Använd kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner. Mål: Kontrollera om: [a.] kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner identifieras. Och [b.] kryptografiska mekanismer för att skydda sekretessen för fjärråtkomstsessioner implementeras. |
Alla Microsoft Entra-kundriktade webbtjänster skyddas med TLS-protokollet (Transport Layer Security) och implementeras med FIPS-validerad kryptografi. Microsoft Entra-datasäkerhetsöverväganden (microsoft.com) |
| AC. L2-3.1.14 Övningsuttryck: Dirigera fjärråtkomst via hanterade åtkomstkontrollpunkter. Mål: Kontrollera om: [a.] hanterade åtkomstkontrollpunkter identifieras och implementeras. Och [b.] fjärråtkomst dirigeras via hanterade åtkomstkontrollpunkter för nätverk. |
Konfigurera namngivna platser för att avgränsa interna eller externa nätverk. Konfigurera appkontroll för villkorsstyrd åtkomst för att dirigera åtkomst via Microsoft Defender för molnet-appar. Konfigurera Defender för molnet Appar för att styra och övervaka alla sessioner. Säkra enheter som används av privilegierade konton som en del av den privilegierade åtkomstartikeln. Platsvillkor i villkorsstyrd åtkomst i Microsoft Entra Sessionskontroller i princip för villkorsstyrd åtkomst Översikt över att skydda privilegierad åtkomst |
| AC. L2-3.1.15 Övningsuttryck: Auktorisera fjärrkörning av privilegierade kommandon och fjärråtkomst till säkerhetsrelevent information. Mål: Kontrollera om: [a.] privilegierade kommandon som är auktoriserade för fjärrkörning identifieras. [b.] säkerhetsrelevent information som har behörighet att nås via fjärranslutning identifieras. [c.] Körningen av identifierade privilegierade kommandon via fjärråtkomst är auktoriserad. Och [d.] åtkomst till identifierad säkerhetsrelevent information via fjärråtkomst är auktoriserad. |
Villkorlig åtkomst är det Nolltillit kontrollplanet till målprinciper för åtkomst till dina appar i kombination med autentiseringskontext. Du kan använda olika principer i dessa appar. Säkra enheter som används av privilegierade konton som en del av den privilegierade åtkomstartikeln. Konfigurera principer för villkorsstyrd åtkomst för att kräva att dessa skyddade enheter används av privilegierade användare när de utför privilegierade kommandon. Molnappar, åtgärder och autentiseringskontext i principen för villkorsstyrd åtkomst Översikt över att skydda privilegierad åtkomst Filtrera efter enheter som ett villkor i principen för villkorsstyrd åtkomst |
| AC. L2-3.1.18 Övningsinstruktor: Kontrollera anslutningen av mobila enheter. Mål: Kontrollera om: [a.] mobila enheter som bearbetar, lagrar eller överför CUI identifieras; [b.] mobila enhetsanslutningar är auktoriserade. Och [c.] mobila enhetsanslutningar övervakas och loggas. |
Konfigurera enhetshanteringsprinciper via MDM (till exempel Microsoft Intune), Configuration Manager eller grupprincipobjekt (GPO) för att framtvinga konfiguration och anslutningsprofil för mobila enheter. Konfigurera principer för villkorlig åtkomst för att framtvinga enhetsefterlevnad. Villkorlig åtkomst Kräv att enheten är markerad som kompatibel Kräv microsoft entra-hybridanslutningsenhet Intune Efterlevnadsprinciper för enheter i Microsoft Intune Vad är apphantering i Microsoft Intune? |
| AC. L2-3.1.19 Övningsuttryck: Kryptera CUI på mobila enheter och plattformar för mobil databehandling. Mål: Kontrollera om: [a.] mobila enheter och mobila databehandlingsplattformar som bearbetar, lagrar eller överför CUI identifieras; Och [b.] kryptering används för att skydda CUI på identifierade mobila enheter och mobila databehandlingsplattformar. |
Hanterad enhet Konfigurera principer för villkorsstyrd åtkomst för att framtvinga kompatibla eller Microsoft Entra-hybridanslutna enheter och för att säkerställa att hanterade enheter konfigureras korrekt via enhetshanteringslösningen för att kryptera CUI. Ohanterad enhet Konfigurera principer för villkorlig åtkomst för att kräva appskyddsprinciper. Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv att enheten markeras som kompatibel Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv Microsoft Entra-hybridanslutning Bevilja kontroller i principen för villkorsstyrd åtkomst – Kräv appskyddsprincip |
| AC. L2-3.1.21 Övningsuttryck: Begränsa användningen av bärbara lagringsenheter på externa system. Mål: Kontrollera om: [a.] Användningen av bärbara lagringsenheter som innehåller CUI på externa system identifieras och dokumenteras. [b.] Begränsningar för användningen av bärbara lagringsenheter som innehåller CUI på externa system definieras. Och [c.] användningen av bärbara lagringsenheter som innehåller CUI på externa system är begränsad enligt definitionen. |
Konfigurera enhetshanteringsprinciper via MDM (till exempel Microsoft Intune), Configuration Manager eller grupprincipobjekt (GPO) för att styra användningen av bärbara lagringsenheter på system. Konfigurera principinställningar på Windows-enheten för att helt förbjuda eller begränsa användningen av bärbar lagring på OS-nivå. För alla andra enheter där du kanske inte kan kontrollera åtkomsten till portabla lagringsblock helt och hållet med Microsoft Defender för molnet Apps. Konfigurera principer för villkorlig åtkomst för att framtvinga enhetsefterlevnad. Villkorlig åtkomst Kräv att enheten är markerad som kompatibel Kräv microsoft entra-hybridanslutningsenhet Konfigurera autentiseringssessionshantering Intune Efterlevnadsprinciper för enheter i Microsoft Intune Begränsa USB-enheter med administrativa mallar i Microsoft Intune Microsoft Defender för molnet-appar Skapa sessionsprinciper i Defender för molnet-appar |