Vägledning för skydd av åtkomstkontroll
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd (Health Insurance Portability and Accountability Act of 1996). För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen. Du kan behöva ändra andra konfigurationer eller processer.
För att förstå skydd mot användaridentifiering rekommenderar vi att du undersöker och anger mål som gör att du kan:
Se till att ID:na är unika för alla som behöver ansluta till domänen.
Upprätta en Joiner-, Mover- och Leaver-process (JML).
Aktiverare granskning för identitetsspårning.
För Authorized Access Control Safeguard anger du mål så att:
Systemåtkomst är begränsad till behöriga användare.
Behöriga användare identifieras.
Åtkomst till personuppgifter är begränsad till behöriga användare.
För procedur för nödåtkomst:
Säkerställ hög tillgänglighet för kärntjänster.
Eliminera enskilda felpunkter.
Upprätta en haveriberedskapsplan.
Se till att du säkerhetskopierar data med hög risk.
Upprätta och underhålla konton för nödåtkomst.
För skydd mot automatisk utloggning:
Upprätta en procedur som avslutar en elektronisk session efter en förutbestämd tid av inaktivitet.
Konfigurera och implementera en princip för automatisk utloggning.
Unik användaridentifiering
I följande tabell finns åtkomstkontrollskydd från HIPAA-vägledningen för unik användaridentifiering. Hitta Microsoft-rekommendationer för att uppfylla kraven på skyddsimplementering.
HIPAA-skydd – unik användaridentifiering
Assign a unique name and/or number for identifying and tracking user identity.
| Rekommendation | Handling |
|---|---|
| Konfigurera hybrid för att använda Microsoft Entra-ID | Microsoft Entra Connect integrerar lokala kataloger med Microsoft Entra-ID, vilket stöder användning av enskilda identiteter för åtkomst till lokala program och molntjänster som Microsoft 365. Den samordnar synkroniseringen mellan Active Directory (AD) och Microsoft Entra ID. Kom igång med Microsoft Entra Connect genom att granska förutsättningarna genom att anteckna serverkraven och hur du förbereder din Microsoft Entra-klient för hantering. Microsoft Entra Connect-synkronisering är en etableringsagent som hanteras i molnet. Etableringsagenten stöder synkronisering till Microsoft Entra-ID från en AD-miljö med flera skogar. Lightweight-agenter installeras och kan användas med Microsoft Entra Connect. Vi rekommenderar att du använder Synkronisering av lösenordshash för att minska antalet lösenord och skydda mot identifiering av läckta autentiseringsuppgifter. |
| Etablera användarkonton | Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst som tillhandahåller enkel inloggning, multifaktorautentisering och villkorlig åtkomst för att skydda mot säkerhetsattacker. Om du vill skapa ett användarkonto loggar du in på administrationscentret för Microsoft Entra som användaradministratör och skapar ett nytt konto genom att gå till Alla användare på menyn. Microsoft Entra ID ger stöd för automatisk användaretablering för system och program. Funktionerna omfattar att skapa, uppdatera och ta bort ett användarkonto. Automatisk etablering skapar nya konton i rätt system för nya personer när de ansluter till ett team i en organisation, och automatisk avetablering inaktiverar konton när personer lämnar teamet. Konfigurera etablering genom att gå till administrationscentret för Microsoft Entra och välja företagsprogram för att lägga till och hantera appinställningarna. |
| HR-driven etablering | Genom att integrera Microsoft Entra-kontoetablering i ett HR-system (Human Resources) minskar risken för överdriven åtkomst och åtkomst krävs inte längre. HR-systemet blir myndighetsstart för nyligen skapade konton, vilket utökar funktionerna till avetablering av konton. Automation hanterar identitetens livscykel och minskar risken för överetablering. Den här metoden följer bästa praxis för säkerhet för att tillhandahålla åtkomst med minst privilegier. |
| Skapa livscykelarbetsflöden | Livscykelarbetsflöden ger identitetsstyrning för att automatisera JML-livscykeln (joiner/mover/leaver). Livscykelarbetsflöden centraliserar arbetsflödesprocessen genom att antingen använda de inbyggda mallarna eller skapa egna anpassade arbetsflöden. Den här metoden hjälper till att minska eller potentiellt ta bort manuella uppgifter för organisationens JML-strategikrav. I Azure Portal går du till Identitetsstyrning på Microsoft Entra-menyn för att granska eller konfigurera uppgifter som passar organisationens krav. |
| Hantera privilegierade identiteter | Microsoft Entra Privileged Identity Management (PIM) möjliggör hantering, kontroll och möjlighet att övervaka åtkomst. Du ger åtkomst när det behövs, på en tidsbaserad och godkännandebaserad rollaktivering. Den här metoden begränsar risken för överdrivna, onödiga eller missbrukade åtkomstbehörigheter. |
| Övervakning och aviseringar | Microsoft Entra ID Protection ger en samlad vy över riskhändelser och potentiella sårbarheter som kan påverka en organisations identiteter. Aktivering av skyddet tillämpar de befintliga funktionerna för avvikelseidentifiering i Microsoft Entra och introducerar riskhändelsetyper som identifierar avvikelser i realtid. Via administrationscentret för Microsoft Entra kan du logga in, granska och granska etableringsloggar. Loggarna kan laddas ned, arkiveras och strömmas till ditt SIEM-verktyg (säkerhetsinformation och händelsehantering). Microsoft Entra-loggar kan finnas i övervakningsavsnittet på Microsoft Entra-menyn. Loggarna kan också skickas till Azure Monitor med hjälp av en Azure Log Analytics-arbetsyta där du kan konfigurera aviseringar för anslutna data. Microsoft Entra ID identifierar användare unikt via ID-egenskapen för respektive katalogobjekt. Med den här metoden kan du filtrera efter specifika identiteter i loggfilerna. |
Auktoriserad åtkomstkontroll
I följande tabell finns HIPAA-vägledning för åtkomstkontrollskydd för auktoriserad åtkomstkontroll. Hitta Microsoft-rekommendationer för att uppfylla kraven på skyddsimplementering.
HIPAA-skydd – auktoriserad åtkomstkontroll
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Rekommendation | Handling |
|---|---|
| Aktivera multifaktorautentisering (MFA) | MFA i Microsoft Entra ID skyddar identiteter genom att lägga till ytterligare ett säkerhetslager. Autentisering med extra lager är effektivt för att förhindra obehörig åtkomst. Med en MFA-metod kan du kräva mer validering av inloggningsuppgifter under autentiseringsprocessen. Exempel är att konfigurera Authenticator-appen för verifiering med ett klick eller aktivera lösenordslös autentisering. |
| Aktivera principer för villkorsstyrd åtkomst | Principer för villkorlig åtkomst hjälper organisationer att begränsa åtkomsten till godkända program. Microsoft Entra analyserar signaler från antingen användaren, enheten eller platsen för att automatisera beslut och framtvinga organisationsprinciper för åtkomst till resurser och data. |
| Aktivera rollbaserad åtkomstkontroll (RBAC) | RBAC ger säkerhet på företagsnivå med begreppet ansvarsfördelning. Med RBAC kan du justera och granska behörigheter för att skydda sekretess, sekretess och åtkomsthantering för resurser och känsliga data tillsammans med systemen. Microsoft Entra-ID ger stöd för inbyggda roller, vilket är en fast uppsättning behörigheter som inte kan ändras. Du kan också skapa egna anpassade roller där du kan lägga till en förinställd lista. |
| Aktivera attributbaserad åtkomstkontroll (ABAC) | ABAC definierar åtkomst baserat på attribut som är associerade med säkerhetsprinciper, resurser och miljö. Det ger detaljerad åtkomstkontroll och minskar antalet rolltilldelningar. Användningen av ABAC kan begränsas till innehållet i den dedikerade Azure-lagringen. |
| Konfigurera åtkomst för användargrupper i SharePoint | SharePoint-grupper är en samling användare. Behörigheterna är begränsade till webbplatssamlingsnivån för åtkomst till innehållet. Tillämpningen av den här begränsningen kan begränsas till tjänstkonton som kräver dataflödesåtkomst mellan program. |
Procedur för nödåtkomst
I följande tabell finns HIPAA-vägledningens åtkomstkontrollskydd för förfaranden för åtkomst till nödsituationer. Hitta Microsoft-rekommendationer för att uppfylla kraven på skyddsimplementering.
HIPAA-skydd – procedur för nödåtkomst
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Rekommendation | Handling |
|---|---|
| Använda Azure Recovery Services | Azure Backups ger det stöd som krävs för att säkerhetskopiera viktiga och känsliga data. Täckningen omfattar lagring/databaser och molninfrastruktur, tillsammans med lokala Windows-enheter till molnet. Upprätta säkerhetskopieringsprinciper för att hantera risker för säkerhetskopiering och återställningsprocess. Se till att data lagras på ett säkert sätt och kan hämtas med minimal stilleståndstid. Azure Site Recovery tillhandahåller nästan konstant datareplikering för att säkerställa att kopior av är synkroniserade. De första stegen innan du konfigurerar tjänsten är att fastställa mål för återställningspunkt (RPO) och återställningstid (RTO) för att stödja organisationens krav. |
| Säkerställa återhämtning | Återhämtning hjälper till att upprätthålla servicenivåer när det uppstår avbrott i verksamheten och kärntjänster inom IT. Funktionen omfattar tjänster, data, Microsoft Entra ID och Active Directory. Fastställa en strategisk återhämtningsplan för att inkludera vilka system och data som är beroende av Microsoft Entra och hybridmiljöer. Microsoft 365-återhämtning täcker kärntjänsterna, som omfattar Exchange, SharePoint och OneDrive för att skydda mot dataskada och tillämpa återhämtningsdatapunkter för att skydda ePHI-innehåll. |
| Skapa break glass-konton | Genom att upprätta ett nöd- eller brytglaskonto säkerställs att system och tjänster fortfarande kan nås under oförutsedda omständigheter, till exempel nätverksfel eller andra orsaker till förlust av administrativ åtkomst. Vi rekommenderar att du inte associerar det här kontot med en enskild användare eller ett enskilt konto. |
Säkerhet för arbetsstationer – automatisk utloggning
I följande tabell finns HIPAA-vägledning om det automatiska utloggningsskyddet. Hitta Microsoft-rekommendationer för att uppfylla kraven på skyddsimplementering.
HIPAA-skydd – automatisk utloggning
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Rekommendation | Handling |
|---|---|
| Skapa grupprincip | Stöd för enheter som inte migreras till Microsoft Entra-ID och hanteras av Intune kan grupprincip (GPO) framtvinga utloggning eller låsa skärmtid för enheter på AD eller i hybridmiljöer. |
| Utvärdera kraven för enhetshantering | Microsoft Intune tillhandahåller hantering av mobila enheter (MDM) och hantering av mobilprogram (MAM). Det ger kontroll över företagets och personliga enheter. Du kan hantera enhetsanvändning och tillämpa principer för att styra mobila program. |
| Princip för villkorlig åtkomst för enhet | Implementera enhetslås med hjälp av en princip för villkorsstyrd åtkomst för att begränsa åtkomsten till kompatibla eller Hybrid-anslutna Microsoft Entra-enheter. Konfigurera principinställningar. För ohanterade enheter konfigurerar du inställningen Inloggningsfrekvens för att tvinga användare att autentisera igen. |
| Konfigurera tidsgränsen för sessionen för Microsoft 365 | Granska tidsgränserna för sessioner för Microsoft 365-program och -tjänster för att ändra eventuella långa tidsgränser. |
| Konfigurera tidsgränsen för sessionen för Azure Portal | Granska tidsgränserna för sessionen för Azure Portal session genom att implementera en tidsgräns på grund av inaktivitet som hjälper till att skydda resurser från obehörig åtkomst. |
| Granska programåtkomstsessioner | Utvärderingsprinciper för kontinuerlig åtkomst kan neka eller bevilja åtkomst till program. Om inloggningen lyckas får användaren en åtkomsttoken som är giltig i en (1) timme. När åtkomsttoken upphör att gälla dirigeras klienten tillbaka till Microsoft Entra-ID, villkoren omvärderas och token uppdateras i ytterligare en timme. |