Konfigurera identifierings- och autentiseringskontroller för att uppfylla FedRAMP-nivån med hög påverkan med Microsoft Entra-ID
Identifiering och autentisering är nyckeln till att uppnå en FedRAMP-nivå (Federal Risk and Authorization Management Program ).
Följande lista över kontroller och kontrollförbättringar i IA-serien (identifiering och autentisering) kan kräva konfiguration i din Microsoft Entra-klientorganisation.
Kontrollfamilj | beskrivning |
---|---|
IA-2 | Identifiering och autentisering (organisationsanvändare) |
IA-3 | Enhetsidentifiering och autentisering |
IA-4 | Hantering av identifierare |
IA-5 | Autentiseringshantering |
IA-6 | Feedback om autentisering |
IA-7 | Autentisering av kryptografisk modul |
IA-8 | Identifiering och autentisering (icke-organisatoriska användare) |
Varje rad i följande tabell innehåller vägledning som hjälper dig att utveckla organisationens svar på eventuella delade ansvarsområden för kontrollen eller kontrollförbättringen.
-konfigurationer
FedRAMP-kontroll-ID och beskrivning | Vägledning och rekommendationer för Microsoft Entra |
---|---|
Användaridentifiering och autentisering för IA-2 Informationssystemet identifierar och autentiserar organisationsanvändare (eller processer som agerar på uppdrag av organisationsanvändare). |
Identifiera och autentisera användare eller processer som fungerar för användare unikt. Microsoft Entra-ID identifierar unikt användar- och tjänsthuvudnamnsobjekt direkt. Microsoft Entra ID tillhandahåller flera autentiseringsmetoder och du kan konfigurera metoder som följer NIST-autentiseringsnivån (National Institute of Standards and Technology) 3. Identifierare Autentisering och multifaktorautentisering |
IA-2(1) Informationssystemet implementerar multifaktorautentisering för nätverksåtkomst till privilegierade konton. IA-2(3) Informationssystemet implementerar multifaktorautentisering för lokal åtkomst till privilegierade konton. |
multifaktorautentisering för all åtkomst till privilegierade konton. Konfigurera följande element för en fullständig lösning för att säkerställa att all åtkomst till privilegierade konton kräver multifaktorautentisering. Konfigurera principer för villkorlig åtkomst för att kräva multifaktorautentisering för alla användare. Med aktiveringskrav för privileged Identity Management är aktivering av privilegierade konton inte möjligt utan nätverksåtkomst, så lokal åtkomst är aldrig privilegierad. multifaktorautentisering och privileged Identity Management |
IA-2(2) Informationssystemet implementerar multifaktorautentisering för nätverksåtkomst till icke-privilegierade konton. IA-2(4) Informationssystemet implementerar multifaktorautentisering för lokal åtkomst till konton som inte är privilegierade. |
Implementera multifaktorautentisering för all åtkomst till konton som inte är privilegierade Konfigurera följande element som en övergripande lösning för att säkerställa att all åtkomst till konton som inte är privilegierade kräver MFA. Konfigurera principer för villkorsstyrd åtkomst för att kräva MFA för alla användare. Microsoft rekommenderar att du använder en multifaktorkryptisk maskinvaruautentisering (till exempel FIDO2-säkerhetsnycklar, Windows Hello för företag (med maskinvaru-TPM) eller smartkort) för att uppnå AAL3. Om din organisation är molnbaserad rekommenderar vi att du använder FIDO2-säkerhetsnycklar eller Windows Hello för företag. Windows Hello för företag har inte verifierats på nödvändig FIPS 140-säkerhetsnivå och som sådan skulle federala kunder behöva utföra riskbedömning och utvärdering innan de accepterar den som AAL3. Mer information om Windows Hello för företag FIPS 140-validering finns i Microsoft NIST AALs. Se följande vägledning om MDM-principer skiljer sig något beroende på autentiseringsmetoder. Smartkort/Windows Hello för företag Endast hybrid Endast smartkort FIDO2-säkerhetsnyckel Autentiseringsmetoder Ytterligare resurser: |
IA-2(5) Organisationen kräver att enskilda användare autentiseras med en enskild autentisering när en gruppautentisering används. |
När flera användare har åtkomst till ett lösenord för delat konto eller gruppkonto måste varje användare först autentisera med hjälp av en enskild autentisering. Använd ett enskilt konto per användare. Om ett delat konto krävs tillåter Microsoft Entra-ID bindning av flera autentiserare till ett konto så att varje användare har en enskild autentisering. Resurser |
IA-2(8) Informationssystemet implementerar omspelsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade konton. |
Implementera omspelsresistenta autentiseringsmekanismer för nätverksåtkomst till privilegierade konton. Konfigurera principer för villkorlig åtkomst för att kräva multifaktorautentisering för alla användare. Alla Microsoft Entra-autentiseringsmetoder på autentiseringssäkerhetsnivå 2 och 3 använder antingen nonce eller utmaningar och är resistenta mot reprisattacker. Referenser |
IA-2(11) Informationssystemet implementerar multifaktorautentisering för fjärråtkomst till privilegierade och icke-privilegierade konton, så att en av faktorerna tillhandahålls av en enhet som är separat från systemet som får åtkomst och enheten uppfyller [FedRAMP-tilldelning: FIPS 140-2, NIAP-certifiering eller NSA-godkännande*]. *Nationellt informationssäkringspartnerskap (NIAP) Ytterligare FedRAMP-krav och vägledning: Vägledning: PIV = separat enhet. Se NIST SP 800-157-riktlinjerna för PIV-autentiseringsuppgifter (Derived Personal Identity Verification). FIPS 140-2 innebär validering av kryptografimodulens valideringsprogram (CMVP). |
Implementera Microsoft Entra multifaktorautentisering för fjärråtkomst till kunddistribuerade resurser så att en av faktorerna tillhandahålls av en enhet som är separat från systemet och får åtkomst där enheten uppfyller FIPS-140-2, NIAP-certifiering eller NSA-godkännande. Se vägledning för IA-02(1-4). Microsoft Entra-autentiseringsmetoder att överväga på AAL3 som uppfyller de separata enhetskraven är: FIDO2-säkerhetsnycklar Referenser |
**IA-2(12)* Informationssystemet godkänner och verifierar autentiseringsuppgifterna för personlig identitetsverifiering (PIV) elektroniskt. IA-2 (12) Ytterligare FedRAMP-krav och vägledning: Vägledning: Inkludera Common Access Card (CAC), dvs. den tekniska implementeringen av PIV/FIPS 201/HSPD-12. |
Acceptera och verifiera autentiseringsuppgifter för personlig identitetsverifiering (PIV). Den här kontrollen gäller inte om kunden inte distribuerar PIV-autentiseringsuppgifter. Konfigurera federerad autentisering med hjälp av Active Directory Federation Services (AD FS) (AD FS) för att acceptera PIV (certifikatautentisering) som både primära och multifaktorautentiseringsmetoder och utfärda multifaktorautentiseringsanspråket (MultipleAuthN) när PIV används. Konfigurera den federerade domänen i Microsoft Entra ID med inställningen federatedIdpMfaBehavior till Resurser |
IA-3 Enhetsidentifiering och autentisering Informationssystemet identifierar och autentiserar unikt [Tilldelning: organisationsdefinierade specifika och/eller typer av enheter] innan du upprättar en [markering (en eller flera): lokal, fjärransluten; nätverk] anslutning. |
Implementera enhetsidentifiering och autentisering innan du upprättar en anslutning. Konfigurera Microsoft Entra-ID för att identifiera och autentisera Microsoft Entra-registrerade, Microsoft Entra-anslutna och Microsoft Entra Hybrid-anslutna enheter. Resurser |
IA-04 Identifierarhantering Organisationen hanterar informationssystemidentifierare för användare och enheter genom att: (a.) Ta emot auktorisering från [FedRAMP-tilldelning som minst ISSO (eller liknande roll inom organisationen)] för att tilldela en individ, grupp, roll eller enhetsidentifierare; (b.) Välja en identifierare som identifierar en individ, grupp, roll eller enhet. (c.) Tilldela identifieraren till den avsedda individen, gruppen, rollen eller enheten. (d.) Förhindra återanvändning av identifierare för [FedRAMP-tilldelning: minst två (2) år] och (e.) Inaktivera identifieraren efter [FedRAMP-tilldelning: trettiofem (35) dagar (se krav och vägledning)] IA-4e Ytterligare FedRAMP-krav och vägledning: Krav: Tjänstleverantören definierar tidsperioden för inaktivitet för enhetsidentifierare. Vägledning: För DoD-moln, se DoD-molnwebbplatsen för specifika DoD-krav som går utöver FedRAMP. IA-4(4) Organisationen hanterar enskilda identifierare genom att unikt identifiera varje individ som [FedRAMP Assignment: contractors; foreign nationals]. |
Inaktivera kontoidentifierare efter 35 dagars inaktivitet och förhindra återanvändning i två år. Hantera enskilda identifierare genom att unikt identifiera varje individ (till exempel entreprenörer och utländska medborgare). Tilldela och hantera enskilda kontoidentifierare och status i Microsoft Entra-ID i enlighet med befintliga organisationsprinciper som definierats i AC-02. Följ AC-02(3) för att automatiskt inaktivera användar- och enhetskonton efter 35 dagars inaktivitet. Se till att organisationsprincipen underhåller alla konton som är i inaktiverat tillstånd i minst två år. Efter den här tiden kan du ta bort dem. Fastställa inaktivitet |
IA-5 Authenticator Management Organisationen hanterar autentisering av informationssystem genom att: (a.) Verifiera identiteten för den person, grupp, roll eller enhet som tar emot autentiseringen som en del av den första autentiseringsdistributionen. (b.) Upprätta inledande autentiseringsinnehåll för autentiserare som definierats av organisationen. (c.) Se till att autentiserare har tillräcklig mekanism för avsedd användning. (d.) Upprätta och genomföra administrativa förfaranden för inledande autentiseringsdistribution, för förlorade/komprometterade eller skadade autentiseringsutentiserare och för återkallande av autentiserare. (e.) Ändra standardinnehållet för autentiserare före installationen av informationssystemet. (f.) Fastställa begränsningar för minsta och högsta livslängd och återanvändningsvillkor för autentiserare. (g.) Ändra/uppdatera autentiserare [Tilldelning: organisationsdefinierad tidsperiod efter autentiseringstyp]. (h.) Skydda autentiseringsinnehåll från obehörigt avslöjande och ändring; (i.) Kräva att enskilda personer vidtar och har enheter implementerade specifika säkerhetsskydd för att skydda autentiserare. och (j.) Ändra autentiserare för grupp-/rollkonton när medlemskap i dessa konton ändras. IA-5 Ytterligare FedRAMP-krav och vägledning: Krav: Autentiserare måste vara kompatibla med NIST SP 800-63-3 Riktlinjer för digital identitet IAL, AAL, FAL nivå 3. Länk https://pages.nist.gov/800-63-3 |
Konfigurera och hantera autentisering av informationssystem. Microsoft Entra ID stöder olika autentiseringsmetoder. Du kan använda dina befintliga organisationsprinciper för hantering. Se vägledning för autentiseringsval i IA-02(1-4). Aktivera användare i kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering och kräva att användarna registrerar minst två godkända multifaktorautentiseringsmetoder för att underlätta självreparation. Du kan återkalla användarkonfigurerade autentiserare när som helst med API:et för autentiseringsmetoder. Autentiseringsstyrka/skydda autentiseringsinnehåll Autentiseringsmetoder och kombinerad registrering Authenticator återkallar |
IA-5(1) Informationssystemet för lösenordsbaserad autentisering: (a.) Framtvingar minsta lösenordskomplexitet för [Tilldelning: organisationsdefinierade krav för skiftlägeskänslighet, antal tecken, blandning av versaler, gemener, siffror och specialtecken, inklusive minimikrav för varje typ]; (b.) Framtvingar minst följande antal ändrade tecken när nya lösenord skapas: [FedRAMP-tilldelning: minst femtio procent (50 %); (c.) Lagrar och överför endast kryptografiskt skyddade lösenord. (d.) Tillämpar begränsningar för minsta och högsta livslängd för lösenord för [Tilldelning: organisationsdefinierade nummer för minsta livslängd, maximal livslängd]; (e.)** Förbjuder återanvändning av lösenord för [FedRAMP-tilldelning: tjugofyra (24)] generationer, och (f.) Tillåter användning av ett tillfälligt lösenord för systeminloggning med en omedelbar ändring av ett permanent lösenord. IA-5 (1) a och d Ytterligare FedRAMP-krav och vägledning: Vägledning: Om lösenordsprinciper är kompatibla med NIST SP 800-63B Memorized Secret (avsnitt 5.1.1) Vägledning, kan kontrollen anses vara kompatibel. |
Implementera lösenordsbaserade autentiseringskrav. Per NIST SP 800-63B Avsnitt 5.1.1: Underhålla en lista över vanliga, förväntade eller komprometterade lösenord. Med Microsoft Entra-lösenordsskydd tillämpas standardlistor med globala förbjudna lösenord automatiskt på alla användare i en Microsoft Entra-klientorganisation. För att stödja dina affärs- och säkerhetsbehov kan du definiera poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord. Vi rekommenderar starkt lösenordslösa strategier. Den här kontrollen gäller endast för lösenordsautentisering, så om du tar bort lösenord som en tillgänglig autentisering blir kontrollen inte tillämplig. NIST-referensdokument Resurs |
IA-5(2) Informationssystemet för PKI-baserad autentisering: (a.) Validerar certifieringar genom att konstruera och verifiera en certifieringssökväg till en godkänd förtroendeankare, inklusive kontroll av information om certifikatstatus. (b.) Framtvingar auktoriserad åtkomst till motsvarande privata nyckel; (c.) Mappar den autentiserade identiteten till individens eller gruppens konto. och (d.) Implementerar en lokal cache med återkallningsdata för att stödja sökvägsidentifiering och validering under oförmåga att komma åt återkallningsinformation via nätverket. |
Implementera PKI-baserade autentiseringskrav. Federera Microsoft Entra-ID via AD FS för att implementera PKI-baserad autentisering. Som standard verifierar AD FS certifikat, cachelagrar lokalt återkallningsdata och mappar användare till den autentiserade identiteten i Active Directory. Resurser |
IA-5(4) Organisationen använder automatiserade verktyg för att avgöra om lösenordsautentisering är tillräckligt starka för att uppfylla [FedRAMP-tilldelning: komplexitet som identifieras i IA-5 (1) Kontrollförbättring (H) Del A]. IA-5(4) Ytterligare FedRAMP-krav och vägledning: Vägledning: Om automatiserade mekanismer som framtvingar lösenordsautentiseringsstyrkan vid skapande inte används, måste automatiserade mekanismer användas för att granska styrkan hos skapade lösenordsautentisering. |
Använd automatiserade verktyg för att verifiera krav på lösenordsstyrka. Microsoft Entra ID implementerar automatiserade mekanismer som framtvingar lösenordsautentiseringsstyrkan vid skapandet. Den här automatiserade mekanismen kan också utökas för att framtvinga lösenordsautentiseringsstyrka för lokal Active Directory. Revision 5 av NIST 800-53 har dragit tillbaka IA-04(4) och införlivat kravet i IA-5(1). Resurser |
IA-5(6) Organisationen skyddar autentiserare som motsvarar säkerhetskategorin för den information som användningen av autentiseringsutenten tillåter åtkomst till. |
Skydda autentiserare enligt definitionen i FedRAMP-nivån för hög påverkan. Mer information om hur Microsoft Entra ID skyddar autentiserare finns i Microsoft Entra-datasäkerhetsöverväganden. |
IA-05(7) Organisationen ser till att okrypterade statiska autentiseringsprogram inte är inbäddade i program eller åtkomstskript eller lagras på funktionsnycklar. |
Se till att okrypterade statiska autentiserare (till exempel ett lösenord) inte är inbäddade i program eller åtkomstskript eller lagras på funktionsnycklar. Implementera hanterade identiteter eller objekt för tjänstens huvudnamn (konfigurerade med endast ett certifikat). Resurser |
IA-5(8) Organisationen implementerar [FedRAMP-tilldelning: olika autentiserare i olika system] för att hantera risken för kompromettering på grund av att personer har konton i flera informationssystem. |
Implementera säkerhetsskydd när enskilda användare har konton i flera informationssystem. Implementera enkel inloggning genom att ansluta alla program till Microsoft Entra-ID, i stället för att ha enskilda konton i flera informationssystem. |
IA-5(11) Informationssystemet använder mekanismer för maskinvarutokenbaserad autentisering som uppfyller [Tilldelning: krav på organisationsdefinierad tokenkvalitet]. |
Kräv kvalitetskrav för maskinvarutoken som krävs av FedRAMP-nivån för hög påverkan. Kräv användning av maskinvarutoken som uppfyller AAL3. Uppnå NIST-autentiseringsnivåer med Microsofts identitetsplattform |
IA-5(13) Informationssystemet förbjuder användning av cachelagrade autentiseringar efter [Tilldelning: organisationsdefinierad tidsperiod]. |
Framtvinga förfallotiden för cachelagrade autentiserare. Cachelagrade autentiserare används för att autentisera till den lokala datorn när nätverket inte är tillgängligt. Om du vill begränsa användningen av cachelagrade autentiserare konfigurerar du Windows-enheter för att inaktivera deras användning. Om den här åtgärden inte är möjlig eller praktisk använder du följande kompenserande kontroller: Konfigurera sessionskontroller för villkorsstyrd åtkomst med hjälp av programtillämpningsbegränsningar för Office-appen likeringar. Resurser |
IA-6 Authenticator Feedback Informationssystemet döljer feedback om autentiseringsinformation under autentiseringsprocessen för att skydda informationen från eventuellt utnyttjande/användning av obehöriga personer. |
Dölj feedbackinformation om autentisering under autentiseringsprocessen. Som standard döljer Microsoft Entra-ID all autentiseringsfeedback. |
IA-7 Kryptografisk modulautentisering Informationssystemet implementerar mekanismer för autentisering till en kryptografisk modul för krav i tillämpliga federala lagar, verkställande order, direktiv, principer, förordningar, standarder och vägledning för sådan autentisering. |
Implementera mekanismer för autentisering till en kryptografisk modul som uppfyller tillämpliga federala lagar. FedRAMP-nivån för hög påverkan kräver AAL3-autentisering. Alla autentiserare som stöds av Microsoft Entra ID på AAL3 tillhandahåller mekanismer för att autentisera operatörsåtkomst till modulen efter behov. I en Windows Hello för företag distribution med TPM för maskinvara kan du till exempel konfigurera nivån för TPM-ägarauktorisering. Resurser |
IA-8-identifiering och autentisering (icke-organisatoriska användare) Informationssystemet identifierar och autentiserar icke-organisatoriska användare (eller processer som agerar på uppdrag av icke-organisationsanvändare). |
Informationssystemet identifierar och autentiserar oorganiseringsanvändare (eller processer som fungerar för icke-organisatoriska användare). Microsoft Entra ID identifierar och autentiserar unikt icke-organisationsanvändare som finns i organisationens klientorganisation eller i externa kataloger med hjälp av FICAM-godkända protokoll (Federal Identity, Credential, and Access Management). Resurser |
IA-8(1) Informationssystemet accepterar och verifierar elektroniskt PIV-autentiseringsuppgifter (Personal Identity Verification) från andra federala myndigheter. IA-8(4) Informationssystemet överensstämmer med FICAM-utfärdade profiler. |
Acceptera och verifiera PIV-autentiseringsuppgifter som utfärdats av andra federala myndigheter. Anpassa dig till de profiler som utfärdats av FICAM. Konfigurera Microsoft Entra-ID för att acceptera PIV-autentiseringsuppgifter via federation (OIDC, SAML) eller lokalt via integrerad Windows-autentisering. Resurser |
IA-8(2) Informationssystemet accepterar endast FICAM-godkända autentiseringsuppgifter från tredje part. |
Acceptera endast FICAM-godkända autentiseringsuppgifter. Microsoft Entra ID stöder autentisering på NIST AALs 1, 2 och 3. Begränsa användningen av autentiserare som motsvarar säkerhetskategorin för systemet som används. Microsoft Entra ID stöder en mängd olika autentiseringsmetoder. Resurser |