Konfigurera identitetsåtkomstkontroller för att uppfylla FedRAMP-nivån med hög påverkan
Åtkomstkontroll är en viktig del av att uppnå en FedRAMP-nivå (Federal Risk and Authorization Management Program ) med hög påverkan för att fungera.
Följande lista över kontroller och kontrollförbättringar i åtkomstkontrollfamiljen (AC) kan kräva konfiguration i din Microsoft Entra-klientorganisation.
| Kontrollfamilj | beskrivning |
|---|---|
| AC-2 | Kontohantering |
| AC-6 | Minsta privilegium |
| AC-7 | Misslyckade inloggningsförsök |
| AC-8 | Meddelande om systemanvändning |
| AC-10 | Kontroll av samtidiga sessioner |
| AC-11 | Sessionslås |
| AC-12 | Sessionsavslut |
| AC-20 | Användning av externa informationssystem |
Varje rad i följande tabell innehåller vägledning som hjälper dig att utveckla organisationens svar på eventuella delade ansvarsområden för kontrollen eller kontrollförbättringen.
-konfigurationer
| FedRAMP-kontroll-ID och beskrivning | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| AC-2-KONTOHANTERING Organisationen (b.) Tilldelar kontoansvariga för informationssystemkonton; (c.) Upprättar villkor för grupp- och rollmedlemskap. (d.) Anger behöriga användare av informationssystemet, grupp- och rollmedlemskap samt åtkomstauktoriseringar (dvs. behörigheter) och andra attribut (efter behov) för varje konto. (e.) Kräver godkännanden av [Tilldelning: organisationsdefinierad personal eller roller] för begäranden om att skapa informationssystemkonton; (f.) Skapar, aktiverar, ändrar, inaktiverar och tar bort informationssystemkonton i enlighet med [Tilldelning: organisationsdefinierade procedurer eller villkor]; (g.) Övervakar användningen av informationssystemkonton. (h.) Meddelar kontoansvariga: (i.) Auktoriserar åtkomst till informationssystemet baserat på: (j.) Granskar konton för efterlevnad av kontohanteringskrav [FedRAMP-tilldelning: varje månad för privilegierad åtkomst, var sjätte (6) månad för icke-privilegierad åtkomst]; och (k.) Upprättar en process för att utfärda autentiseringsuppgifter för delat/grupp-konto (om det distribueras) när enskilda personer tas bort från gruppen. |
Implementera kontolivscykelhantering för kundkontrollerade konton. Övervaka användningen av konton och meddela kontoansvariga om händelser i kontolivscykeln. Granska konton för efterlevnad av kontohanteringskrav varje månad för privilegierad åtkomst och var sjätte månad för icke-privilegierad åtkomst. Använd Microsoft Entra-ID för att etablera konton från externa HR-system, lokal Active Directory eller direkt i molnet. Alla livscykelåtgärder för konton granskas i Microsoft Entra-granskningsloggarna. Du kan samla in och analysera loggar med hjälp av en SIEM-lösning (Security Information and Event Management), till exempel Microsoft Sentinel. Du kan också använda Azure Event Hubs för att integrera loggar med SIEM-lösningar från tredje part för att aktivera övervakning och meddelanden. Använd Microsoft Entra-berättigandehantering med åtkomstgranskningar för att säkerställa efterlevnadsstatus för konton. Etablera konton Övervaka konton Granska konton Resurser
|
| AC-2(1) Organisationen använder automatiserade mekanismer för att hantera informationssystemkonton. |
Använd automatiserade mekanismer för att hantera kundkontrollerade konton. Konfigurera automatisk etablering av kundkontrollerade konton från externa HR-system eller lokal Active Directory. För program som stöder programetablering konfigurerar du Microsoft Entra-ID för att automatiskt skapa användaridentiteter och roller i saaS-program (molnprogramvara som en lösning) som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras. För att underlätta övervakningen av kontoanvändningen kan du strömma Microsoft Entra ID Protection-loggar som visar riskfyllda användare, riskfyllda inloggningar och riskidentifieringar och granskningsloggar direkt till Microsoft Sentinel eller Event Hubs. Reservera Övervaka och granska |
| AC-2(2) Informationssystemet automatiskt [FedRAMP Selection: inaktiverar] tillfälliga konton och nödkonton efter [FedRAMP-tilldelning: 24 timmar från senaste användning]. AC-02(3) AC-2 (3) Ytterligare FedRAMP-krav och vägledning: |
Använd automatiserade mekanismer för att automatiskt ta bort eller inaktivera tillfälliga konton och nödsituationskonton efter 24 timmar från senaste användning och alla kundkontrollerade konton efter 35 dagars inaktivitet. Implementera kontohanteringsautomatisering med Microsoft Graph och Microsoft Graph PowerShell. Använd Microsoft Graph för att övervaka inloggningsaktiviteten och Microsoft Graph PowerShell för att vidta åtgärder på konton inom den tidsram som krävs. Fastställa inaktivitet Ta bort eller inaktivera konton Arbeta med enheter i Microsoft Graph |
| AC-2(4) Informationssystemet granskar automatiskt åtgärder för att skapa, ändra, aktivera, inaktivera och ta bort konton och meddelar [FedRAMP-tilldelning: organisations- och/eller tjänstleverantörssystemägare]. |
Implementera ett automatiserat gransknings- och meddelandesystem för livscykeln för hantering av kundkontrollerade konton. Alla åtgärder för kontolivscykel, till exempel kontoskapande, ändring, aktivering, inaktivering och borttagning, granskas i Azure-granskningsloggarna. Du kan strömma loggarna direkt till Microsoft Sentinel eller Event Hubs för att få hjälp med meddelanden. Audit Meddelande |
| AC-2(5) Organisationen kräver att användarna loggar ut när [FedRAMP-tilldelning: inaktivitet förväntas överstiga femton (15) minuter]. AC-2 (5) Ytterligare FedRAMP-krav och vägledning: |
Implementera enhetsloggning efter en inaktivitetsperiod på 15 minuter. Implementera enhetslås med hjälp av en princip för villkorlig åtkomst som begränsar åtkomsten till kompatibla enheter. Konfigurera principinställningar på enheten för att framtvinga enhetslås på OS-nivå med lösningar för hantering av mobila enheter (MDM), till exempel Intune. Slutpunktshanteraren eller grupprincipobjekt kan också beaktas i hybriddistributioner. För ohanterade enheter konfigurerar du inställningen Inloggningsfrekvens för att tvinga användare att autentisera igen. Villkorlig åtkomst MDM-princip |
| AC-2(7) Organisationen: |
Administrera och övervaka privilegierade rolltilldelningar genom att följa ett rollbaserat åtkomstschema för kundkontrollerade konton. Inaktivera eller återkalla behörighetsåtkomst för konton när det inte längre är lämpligt. Implementera Microsoft Entra Privileged Identity Management med åtkomstgranskningar för privilegierade roller i Microsoft Entra-ID för att övervaka rolltilldelningar och ta bort rolltilldelningar när de inte längre är lämpliga. Du kan strömma granskningsloggar direkt till Microsoft Sentinel eller Event Hubs för att hjälpa till med övervakning. Administrera Monitor |
| AC-2(11) Informationssystemet tillämpar [Tilldelning: organisationsdefinierade omständigheter och/eller användningsvillkor] för [Tilldelning: organisationsdefinierade informationssystemkonton]. |
Framtvinga användning av kundkontrollerade konton för att uppfylla kunddefinierade villkor eller omständigheter. Skapa principer för villkorlig åtkomst för att framtvinga beslut om åtkomstkontroll mellan användare och enheter. Villkorlig åtkomst |
| AC-2(12) Organisationen: AC-2 (12) (a) och AC-2 (12) (b) Ytterligare FedRAMP-krav och vägledning: |
Övervaka och rapportera kundkontrollerade konton med privilegierad åtkomst för atypisk användning. Om du vill ha hjälp med övervakning av atypisk användning kan du strömma Microsoft Entra ID Protection-loggar, som visar riskfyllda användare, riskfyllda inloggningar och riskidentifieringar och granskningsloggar, som hjälper till med korrelation med behörighetstilldelning, direkt till en SIEM-lösning som Microsoft Sentinel. Du kan också använda Event Hubs för att integrera loggar med SIEM-lösningar från tredje part. ID-skydd Övervaka konton |
| AC-2(13) Organisationen inaktiverar konton för användare som utgör en betydande risk i [FedRAMP-tilldelning: en (1) timme] av identifiering av risken. |
Inaktivera kundkontrollerade konton för användare som utgör en betydande risk på en timme. I Microsoft Entra ID Protection konfigurerar och aktiverar du en användarriskprincip med tröskelvärdet inställt på Hög. Skapa principer för villkorlig åtkomst för att blockera åtkomst för riskfyllda användare och riskfyllda inloggningar. Konfigurera riskprinciper för att tillåta användare att självreparera och avblockera efterföljande inloggningsförsök. ID-skydd Villkorlig åtkomst |
| AC-6(7) Organisationen: |
Granska och verifiera alla användare med privilegierad åtkomst varje år. Se till att behörigheter omtilldelas (eller tas bort om det behövs) så att de överensstämmer med organisationens uppdrags- och affärskrav. Använd Microsoft Entra-berättigandehantering med åtkomstgranskningar för privilegierade användare för att kontrollera om privilegierad åtkomst krävs. Åtkomstgranskningar |
| AC-7 misslyckade inloggningsförsök Organisationen: |
Framtvinga en gräns på högst tre misslyckade inloggningsförsök i följd för kunddistribuerade resurser inom en 15-minutersperiod. Lås kontot i minst tre timmar eller tills det har låsts upp av en administratör. Aktivera anpassade inställningar för smart utelåsning. Konfigurera tröskelvärde för utelåsning och varaktighet för utelåsning i sekunder för att implementera dessa krav. Smart utlåsning |
| Ac-8-meddelande om systemanvändning Informationssystemet: (b.) Behåller meddelandemeddelandet eller banderollen på skärmen tills användarna bekräftar användningsvillkoren och vidtar explicita åtgärder för att logga in på eller ytterligare komma åt informationssystemet. och (c.) För offentligt tillgängliga system: AC-8 Ytterligare FedRAMP-krav och vägledning: |
Visa och kräva användarbekräftelse av sekretess- och säkerhetsmeddelanden innan du beviljar åtkomst till informationssystem. Med Microsoft Entra-ID kan du leverera meddelanden eller banderollsmeddelanden för alla appar som kräver och registrerar bekräftelse innan du beviljar åtkomst. Du kan rikta dessa användningsprinciper till specifika användare (medlem eller gäst). Du kan också anpassa dem per program via principer för villkorsstyrd åtkomst. Användningsvillkor |
| AC-10 Samtidig sessionskontroll Informationssystemet begränsar antalet samtidiga sessioner för varje [Tilldelning: organisationsdefinierat konto och/eller kontotyp] till [FedRAMP-tilldelning: tre (3) sessioner för privilegierad åtkomst och två (2) sessioner för icke-privilegierad åtkomst]. |
Begränsa samtidiga sessioner till tre sessioner för privilegierad åtkomst och två för icke-privilegierad åtkomst. För närvarande ansluter användare från flera enheter, ibland samtidigt. Att begränsa samtidiga sessioner leder till en försämrad användarupplevelse och ger ett begränsat säkerhetsvärde. En bättre metod för att hantera avsikten bakom den här kontrollen är att införa en säkerhetsstatus utan förtroende. Villkor verifieras uttryckligen innan en session skapas och valideras kontinuerligt under hela sessionen. Använd dessutom följande kompenserande kontroller. Använd principer för villkorsstyrd åtkomst för att begränsa åtkomsten till kompatibla enheter. Konfigurera principinställningar på enheten för att framtvinga användarinloggningsbegränsningar på OS-nivå med MDM-lösningar som Intune. Slutpunktshanteraren eller grupprincipobjekt kan också beaktas i hybriddistributioner. Använd Privileged Identity Management för att ytterligare begränsa och kontrollera privilegierade konton. Konfigurera smart kontoutelåsning för ogiltiga inloggningsförsök. Implementeringsvägledning Noll förtroende Villkorlig åtkomst Enhetsprinciper Resurser Mer vägledning om omvärdering och riskreducering finns i AC-12. |
| AC-11-sessionslås Informationssystemet: (a) Förhindrar ytterligare åtkomst till systemet genom att initiera ett sessionslås efter [FedRAMP-tilldelning: femton (15) minuter] av inaktivitet eller efter att ha fått en begäran från en användare; (b) Behåller sessionslåset tills användaren återupprättar åtkomsten med hjälp av etablerade procedurer för identifiering och autentisering. AC-11(1) |
Implementera ett sessionslås efter en inaktivitetsperiod på 15 minuter eller när du tar emot en begäran från en användare. Behåll sessionslåset tills användaren autentiserar igen. Dölj tidigare synlig information när ett sessionslås initieras. Implementera enhetslås med hjälp av en princip för villkorlig åtkomst för att begränsa åtkomsten till kompatibla enheter. Konfigurera principinställningar på enheten för att framtvinga enhetslås på OS-nivå med MDM-lösningar som Intune. Slutpunktshanteraren eller grupprincipobjekt kan också beaktas i hybriddistributioner. För ohanterade enheter konfigurerar du inställningen Inloggningsfrekvens för att tvinga användare att autentisera igen. Villkorlig åtkomst MDM-princip |
| Avslutning av AC-12-session Informationssystemet avslutar automatiskt en användarsession efter [Tilldelning: organisationsdefinierade villkor eller utlösarhändelser som kräver sessionsfrånkoppling]. |
Avsluta användarsessioner automatiskt när organisationsdefinierade villkor eller utlösarhändelser inträffar. Implementera automatisk omvärdering av användarsessioner med Microsoft Entra-funktioner, till exempel riskbaserad villkorlig åtkomst och utvärdering av kontinuerlig åtkomst. Du kan implementera inaktivitetsvillkor på enhetsnivå enligt beskrivningen i AC-11. Resurser |
| AC-12(1) Informationssystemet: (a.) Tillhandahåller en utloggningsfunktion för användarinitierade kommunikationssessioner när autentisering används för att få åtkomst till [Tilldelning: organisationsdefinierade informationsresurser]; och (b.) Visar ett explicit utloggningsmeddelande till användare som anger tillförlitlig avslutning av autentiserade kommunikationssessioner. AC-8 Ytterligare FedRAMP-krav och vägledning: |
Ange en utloggningsfunktion för alla sessioner och visa ett explicit utloggningsmeddelande. Alla Microsoft Entra ID-webbgränssnitt som visas ger en utloggningsfunktion för användarinitierade kommunikationssessioner. När SAML-program är integrerade med Microsoft Entra-ID implementerar du enkel inloggning. Utloggningsfunktion Visa meddelande
Resurser |
| AC-20 Användning av externa informationssystem Organisationen upprättar villkor som överensstämmer med eventuella förtroenderelationer som upprättats med andra organisationer som äger, driver och/eller underhåller externa informationssystem, vilket gör att behöriga personer kan: (a.) Få åtkomst till informationssystemet från externa informationssystem. och (b.) Bearbeta, lagra eller överföra organisationskontrollerad information med hjälp av externa informationssystem. AC-20(1) |
Upprätta villkor som gör det möjligt för behöriga personer att komma åt de kunddistribuerade resurserna från externa informationssystem, till exempel ohanterade enheter och externa nätverk. Kräv godkännande av användningsvillkor för behöriga användare som har åtkomst till resurser från externa system. Implementera principer för villkorlig åtkomst för att begränsa åtkomsten från externa system. Principer för villkorlig åtkomst kan integreras med Defender för molnet-appar för att tillhandahålla kontroller för molnbaserade och lokala program från externa system. Hantering av mobilprogram i Intune kan skydda organisationsdata på programnivå, inklusive anpassade appar och store-appar, från hanterade enheter som interagerar med externa system. Ett exempel skulle vara åtkomst till molntjänster. Du kan använda apphantering på organisationsägda enheter och personliga enheter. Allmänna villkor Villkorlig åtkomst MDM Resurs |
