Microsoft Entra ID 有助于满足每个网络安全成熟度模型认证 (CMMC) 级别中的标识相关实践要求。 完成其他配置或流程以符合 CMMC V2.0 级别 2 要求,是与美国国防部 (DoD) 合作以及代表美国国防部开展工作的公司的责任。
CMMC 级别 2 有 13 个域,这些域具有一个或多个与标识相关的实践。 这些领域是:
- 访问控制 (AC)
- 审核和责任 (AU)
- 配置管理 (CM)
- 标识和身份验证 (IA)
- 事件响应 (IR)
- 维护 (MA)
- 媒体保护 (MP)
- 人员安全 (PS)
- 物理保护 (PE)
- 风险评估 (RA)
- 安全评估 (CA)
- 系统和通信保护 (SC)
- 系统和信息完整性 (SI)
本文的其余部分提供有关标识和授权 (IA) 域的指南。 有一个包含内容链接的表,这些内容链接提供完成实践的分步指导。
标识和身份验证
下表提供了实践声明和目标的列表,以及 Microsoft Entra 的指导和建议,帮助你通过 Microsoft Entra ID 满足这些要求。
| CMMC 实践声明和目标 | Microsoft Entra 指南和建议 |
|---|---|
| IA.L2-3.5.3 实行声明:使用多重身份验证对特权帐户进行本地访问和网络访问,并对非特权帐户进行网络访问。 目标: 确定是否具有以下情况: [a.] 特权帐户已被标识。 [b.] 为对特权帐户的本地访问实现多重身份验证; [c.] 为对特权帐户的网络访问实现多重身份验证;以及 [d.] 为对非特权帐户的网络访问实现多重身份验证。 |
以下项是用于此控制区域的术语的定义: 上述要求可分解为以下意思: 你负责将条件访问配置为要求多重身份验证。 启用满足 AAL2 及更高版本要求的 Microsoft Entra 身份验证方法。 条件访问策略中的授权控制 使用 Microsoft Entra ID 实现 NIST 验证器保证级别 身份验证方法和功能 |
| IA.L2-3.5.4 实践声明:使用抗重放的身份验证机制,保护特权和非特权帐户的网络访问。 目标: 确定是否具有以下情况: [a.] 为对特权和非特权帐户的网络访问实现抗重放的身份验证机制。 |
满足 AAL2 及更高要求的所有 Microsoft Entra 身份验证方法都可抵御重放攻击。 使用 Microsoft Entra ID 实现 NIST 验证器保证级别 |
| IA.L2-3.5.5 实行声明:防止在定义时间段内重复使用标识符。 目标: 确定是否具有以下情况: [a.] 定义了不能重复使用标识符的时间段;以及 [b.] 防止在定义的时间段内重复使用标识符。 |
所有用户、组、设备对象全局唯一标识符 (GUID) 保证在 Microsoft Entra 租户的生存期内是唯一且不可重复使用的。 用户资源类型 - Microsoft Graph v1.0 组资源类型 - Microsoft Graph v1.0 设备资源类型 - Microsoft Graph v1.0 |
| IA.L2-3.5.6 实践声明:在超过预定义的不活动时间后,禁用标识符。 目标: 确定是否具有以下情况: [a.] 定义了一个时间段,处于不活动状态的时间超过该时间段后将禁用标识符;以及 [b.] 超过定义的非活动期后,标识符将被禁用。 |
使用 Microsoft Graph 和 Microsoft Graph PowerShell SDK 实现帐户管理自动化。 使用 Microsoft Graph 监视登录活动,使用 Microsoft Graph PowerShell SDK 在所需的时间范围内对帐户执行操作。 确定非活动状态 管理 Microsoft Entra ID 中的非活动用户帐户 在 Microsoft Entra ID 中管理陈旧的设备 删除或禁用帐户 在 Microsoft Graph 中与用户交互 获取用户 更新用户 删除用户 使用 Microsoft Graph 中的设备 获取设备 更新设备 删除设备 使用 Microsoft Graph PowerShell SDK Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice |
| IA.L2-3.5.7 操作声明: 目标:在创建新密码时强制要求最低密码复杂性和字符更改。 确定是否具有以下情况: [a.] 定义了密码复杂性要求; [b.] 定义了密码字符更改要求; [c.] 创建新密码时,强制执行定义的最低密码复杂性要求;以及 [d.] 创建新密码时,强制执行定义的最低密码字符更改要求。 IA.L2-3.5.8 实行声明:禁止密码在指定的若干代中重复使用。 目标: 确定是否具有以下情况: [a.] 规定了密码在若干代中不可重用的次数。 [b.] 禁止在指定代数内重复使用密码。 |
强烈建议采用无密码策略。 此控件仅适用于密码验证器,因此,删除作为可用的身份验证器的密码将导致此控件不适用。 根据 NIST SP 800-63 B 第 5.1.1 节:维护常用、预期或被盗用的密码列表。 使用 Microsoft Entra 密码保护时,默认的全局受禁密码列表会自动应用于 Microsoft Entra 租户中的所有用户。 为了满足业务和安全需求,你可以在自定义的禁止密码列表中定义条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 对于需要严格的密码字符更改、密码重用和复杂性要求的客户,请使用配置有密码哈希同步的混合帐户。此操作可确保同步到 Microsoft Entra ID 的密码继承 Active Directory 密码策略中配置的限制。 通过为 Active Directory 域服务配置本地 Microsoft Entra 密码保护,进一步保护本地密码。 NIST 特别出版物 800-63 B NIST 特别出版物 800-53 修订版 5 (IA-5 - 控制增强 (1) 使用 Microsoft Entra 密码保护来消除错误密码 什么是与 Microsoft Entra ID 的密码哈希同步? |
| IA.L2-3.5.9 执行声明:允许使用临时密码登录系统,但必须立即更改为永久密码。 目标: 确定是否具有以下情况: [a.] 使用临时密码登录系统时,需要立即更改永久密码。 |
Microsoft Entra 用户初始密码是一种临时的一次性密码,成功使用后,需要立即更改为永久密码。 Microsoft 强烈建议采用无密码身份验证方法。 用户可使用临时访问密码 (TAP) 启动无密码身份验证方法。 TAP 是由管理员颁发的满足强身份验证要求的有时限和使用限制的密码。 使用无密码身份验证以及有时限和使用限制的 TAP,无需再使用密码(及其重用)。 添加或删除用户 在 Microsoft Entra ID 中配置临时访问密码,以注册无密码身份验证方法 无密码身份验证 |
| IA.L2-3.5.10 实行声明:仅存储和传输受加密保护的密码。 目标: 确定是否具有以下情况: [a.] 密码在存储中受加密保护;以及 [b.] 密码在传输中受加密保护。 |
静态机密加密: 除了磁盘级加密外,在静态情况下,目录中存储的机密将使用分布式密钥管理器 (DKM) 进行加密。 加密密钥存储在 Microsoft Entra 核心存储中,并且使用缩放单元密钥进行加密。 密钥存储在由目录 ACL 保护的容器中,适用于最高特权用户和特定服务。 对称密钥通常每六个月轮换一次。 通过操作控制和物理安全性进一步保护对环境的访问。 传输中加密: 为确保数据安全,Microsoft Entra ID 中的目录数据在缩放单元内的数据中心之间传输时会进行签名和加密。 数据由 Microsoft Entra ID 核心存储层加密和解密,该层位于关联的 Microsoft 数据中心内部的安全服务器托管区域内。 面向客户的 Web 服务使用传输层安全性 (TLS) 协议进行保护。 有关详细信息,请下载数据保护注意事项 - 数据安全。 第 15 页提供了更多详细信息。 揭秘密码哈希同步 (microsoft.com) Microsoft Entra 数据安全注意事项 |
| IA.L2-3.5.11 实行声明:身份验证信息的模糊化反馈。 目标: 确定是否具有以下情况: [a.] 在身份验证期间隐藏身份验证信息。 |
默认情况下,Microsoft Entra ID 会遮盖所有验证器反馈。 |