识别和身份验证是实现 联邦风险和授权管理计划 (FedRAMP)影响级别的关键。
标识和身份验证(IA)系列中的以下控件和控制增强功能列表可能需要在Microsoft Entra租户中配置。
| 控制家族 | 说明 |
|---|---|
| IA-2 | 标识和身份验证(组织用户) |
| IA-3 | 设备标识和身份验证 |
| IA-4 | 标识符管理 |
| IA-5 | 验证器管理 |
| IA-6 | 验证器反馈 |
| IA-7 | 加密模块身份验证 |
| IA-8 | 标识和身份验证(非组织用户) |
下表中的每一行都提供了规范性指导,以帮助你制定组织对与控制或控制增强功能有关的所有共同责任的响应措施。
配置
| FedRAMP 控件 ID 和说明 | Microsoft Entra指南和建议 |
|---|---|
|
IA-2 用户标识和身份验证 该信息系统唯一识别组织用户并对其进行身份验证(或代表组织用户进行处理)。 |
唯一标识和验证用户或为用户执行的过程。 Microsoft Entra ID直接标识用户和服务主体对象。 Microsoft Entra ID提供了多种身份验证方法,你可以配置符合国家标准与技术研究院(NIST)身份验证保障级别(AAL)3 的方法。 标识符 身份验证和多重身份验证 |
|
IA-2(1) 该信息系统为网络访问特权帐户实施多重身份验证。 IA-2(3) 该信息系统为本地访问特权帐户实施多重身份验证。 |
用于所有对特权帐户的访问的多重身份验证。 为整个解决方案配置以下元素,确保对特权帐户的所有访问都需要执行多重身份验证。 配置条件访问策略,要求对所有用户进行多重身份验证。 由于Privileged Identity Management激活要求,如果没有网络访问,则无法激活特权帐户,因此本地访问永远不会获得特权。 多重身份验证和特权身份管理 |
|
IA-2(2) 该信息系统为网络访问非特权帐户实施多重身份验证。 IA-2(4) 该信息系统为本地访问非特权帐户实施多重身份验证。 |
实现对非特权帐户的所有访问的多重身份验证 为整个解决方案配置以下元素,确保对非特权帐户的所有访问都需要执行 MFA。 配置条件访问策略,要求对所有用户执行 MFA。 Microsoft建议使用多重加密硬件验证器(例如 FIDO2 安全密钥、Windows Hello for Business(使用硬件 TPM)或智能卡来实现 AAL3。 如果你的组织是基于云的,我们建议使用 FIDO2 安全密钥或Windows Hello for Business。 Windows Hello for Business尚未在所需的 FIPS 140 安全级别进行验证,因此联邦机构需在将其接受为 AAL3 之前进行风险评估和鉴定。 有关 FIPS 140 验证 Windows Hello for Business 的详细信息,请参阅 Microsoft NIST AALs。 请参阅以下有关 MDM 策略的指南,这些策略因身份验证方法而略有不同。 智能卡/Windows Hello for Business 仅限混合模式 仅智能卡 FIDO2 安全密钥 身份验证方法 其他资源: |
|
IA-2(5) 组织要求采用组身份验证时,使用个人验证器对个人进行身份验证。 |
当多个用户有权访问共享帐户或组帐户密码时,要求每个用户首先使用单个身份验证器进行身份验证。 每个用户使用一个单独的帐户。 如果需要共享帐户,Microsoft Entra ID允许将多个验证器绑定到帐户,以便每个用户都有单独的验证器。 资源 |
|
IA-2(8) 该信息系统为网络访问特权帐户实施防止重放身份验证机制。 |
实施用于特权账户网络访问的抗重放攻击身份验证机制。 配置条件访问策略,要求对所有用户进行多重身份验证。 在身份验证保证级别 2 和 3 中,所有 Microsoft Entra 身份验证方法要么使用随机数,要么使用质询,并且能够抵御重放攻击。 参考 |
|
IA-2(11) 信息系统为远程访问特权和非特权帐户实现多因子身份验证,其中一个因素由与系统访问无关的独立设备提供,并且设备符合 [FedRAMP 分配:FIPS 140-2、NIAP 认证或 NSA 批准*] 的要求。 *美国国家信息保障合作组织(NIAP) 其他 FedRAMP 要求和指导: 指导: PIV = 单独的设备。 请参阅 NIST SP 800-157 派生个人身份验证 (PIV) 凭据指南。 FIPS 140-2 是指通过加密模块验证计划(CMVP)进行验证。 |
实施Microsoft Entra多因素身份验证,以便远程访问客户部署的资源,其中一个认证因素由与获取访问的系统独立的设备提供,该设备满足 FIPS-140-2、NIAP 认证或 NSA 的批准。 请参阅 IA-02(1-4) 的指南。 Microsoft Entra满足单独设备要求的 AAL3 中要考虑的身份验证方法包括: FIDO2 安全密钥 参考 |
| **IA-2(12)* 该信息系统接受个人身份验证(PIV)凭据并对其进行电子验证。 IA-2 (12) 其他 FedRAMP 要求和指南: 指导: 包括通用访问卡(CAC),即 PIV/FIPS 201/HSPD-12 的 DoD 技术实现。 |
接受并验证个人身份验证 (PIV) 凭据。 如果客户未部署 PIV 凭据,则该控制措施不适用。 使用 Active Directory Federation Services (AD FS) 配置联合身份验证,以接受 PIV(证书身份验证)作为主要身份验证方法和多重身份验证方法,并在使用 PIV 时颁发多重身份验证(MultipleAuthN)声明。 在Microsoft Entra ID中配置联合域,并将federatedIdpMfaBehavior设置为 资源 |
|
IA-3 设备标识和身份验证 信息系统在建立[选择(一个或多个):本地、远程或网络]连接之前,唯一标识和认证[分配:由组织定义的特定和/或设备类型]。 |
在建立连接之前实现设备标识和身份验证。 配置Microsoft Entra ID以识别和认证已注册Microsoft Entra设备、已加入Microsoft Entra的设备,以及Microsoft Entra混合加入的设备。 资源 |
|
IA-04 标识符管理 组织通过以下方式管理用户和设备的信息系统标识符: (a.) 从[至少获得 FedRAMP 分配授权,ISSO(或组织中的类似角色)]以指定个人、团队、角色或设备标识符; (b.) 选择标识单个、组、角色或设备的标识符; (c.) 将标识符分配给预期的个人、组、角色或设备; (d.) 防止标识符[FedRAMP 分配:至少两(2)年]的重复使用;并且 (e.) [FedRAMP 分配:35 天后禁用标识符(请参阅要求和指导)] IA-4e 其他 FedRAMP 要求和指导: 要求: 服务提供商定义设备标识符处于非活动状态的时间段。 指导: 对于 DoD 云,请参阅 DoD 云网站,了解超越 FedRAMP 标准的特定 DoD 要求。 IA-4(4) 组织通过将每个个人唯一标识为[FedRAMP 分配:承包商;外国公民],来管理个人标识符。 |
在处于非活动状态 35 天后禁用帐户标识符,并在两年内避免再次使用它。 通过对每个个体(如承包商和外国公民)进行唯一标识来管理个人标识符。 根据 AC-02 中定义的现有组织策略,在Microsoft Entra ID中分配和管理个人帐户标识符和状态。 按照 AC-02 (3),在非活动状态时间达到 35 天后自动禁用用户和设备帐户。 确保组织策略将所有保持禁用状态的帐户至少保留 2 年。 此后,可以将其删除。 确定非活动状态 |
|
IA-5 验证器管理 组织通过以下方式管理信息系统验证器: (a.) 在初次分发验证器时验证接收验证器的个人、群体、角色或设备的身份; (b.) 为组织定义的验证器建立初始验证器内容; (c.) 确保验证器有足够的机制强度供其预期使用: (d.) 为初始验证器分发、丢失/泄露或损坏的验证器以及撤销验证器建立和实施管理程序; (e.) 在信息系统安装之前更改验证器的默认内容; (f.) 为验证器建立最小和最长的生存期限制和重用条件; (g.) 更改/刷新验证器 [分配:按验证器类型划分的组织定义的时间段]。 (h.) 保护验证器内容免受未经授权的披露和修改; (i.) 要求个人采取并让设备实施特定的安全保护措施来保护验证器;和 (j.) 当组/角色帐户的成员身份发生变化时,更改这些帐户的身份验证器。 IA-5 其他 FedRAMP 要求和指南: 要求: 验证器必须符合 NIST SP 800-63-3 数字标识准则 IAL、AAL、FAL 级别 3。 链接 https://pages.nist.gov/800-63-3 |
配置和管理信息系统验证器。 Microsoft Entra ID支持各种身份验证方法。 你可以使用现有的组织策略进行管理。 请参阅 IA-02 (1-4) 中有关验证器选择的指南。 使用户能够同时注册 SSPR 和Microsoft Entra多重身份验证,并要求用户至少注册两种可接受的多重身份验证方法,以方便自我修正。 你可以使用身份验证方法 API 随时撤销用户配置的验证器。 验证器强度/保护验证器内容 身份验证方法和合并注册 验证器撤销 |
|
IA-5(1) 信息系统,用于基于密码的身份验证: (a.) 实施最低密码复杂性要求,包括赋值:组织定义的对大小写敏感的要求、字符数量,以及大写字母、小写字母、数字和特殊字符的组合中的每种类型的最低要求。 (b.) 创建新密码时,至少强制实施以下更改字符数:[FedRAMP 分配:至少百分之五十(50%)]; (c.) 仅存储和传输受加密保护的密码; (d.)强制实施密码生存期的最小值和最大值限制,具体为 [分配:组织定义的生存期最小值、生存期最大值]; (e.)** 禁止对 [FedRAMP 赋值:24 (24)] 代代使用密码:和 (f.) 允许使用临时密码进行系统登录,并立即更改永久密码。 IA-5 (1) a 和 d 额外的 FedRAMP 要求和指导: 指导: 如果密码策略符合 NIST SP 800-63B 记住的机密(第 5.1.1 节)指导,则控件可能被视为合规。 |
实现基于密码的身份验证要求。 根据 NIST SP 800-63B 部分 5.1.1:维护常用、应使用或已泄露密码的列表。 使用Microsoft Entra密码保护,默认的全局禁止密码列表会自动应用于Microsoft Entra租户中的所有用户。 为了满足业务和安全需求,你可以在自定义的禁止密码列表中定义条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 强烈建议采用无密码策略。 此控件仅适用于密码验证器,因此,删除作为可用的身份验证器的密码将导致此控件不适用。 NIST 参考文档 资源 |
|
IA-5(2) 信息系统,用于基于 PKI 的身份验证: (a.) 通过构造和验证已接受信任定位点的认证路径(包括检查证书状态信息)来验证认证; (b.) 强制授予对相应私钥的授权访问权限; (c.) 将已认证的身份映射到个人或组的帐户,并且 (d.) 实现吊销数据的本地缓存,以支持在无法通过网络访问吊销信息期间的路径发现和验证。 |
实现基于 PKI 的身份验证要求。 通过 AD FS 联合Microsoft Entra ID以实现基于 PKI 的身份验证。 默认情况下,AD FS 会验证证书、本地缓存吊销数据,并将用户映射到Active Directory中经过身份验证的标识。 资源 |
|
IA-5(4) 组织使用自动化工具来确定密码验证器是否足够强大,以满足 [FedRAMP 赋值:IA-5(1) 控制增强功能(H)第 A 部分中标识的复杂性]。 IA-5(4) FedRAMP 其他要求和指导: 指导: 如果未使用在创建时强制实施密码验证器强度的自动机制,则必须使用自动机制来审核创建的密码验证器强度。 |
使用自动化工具验证密码强度要求。 Microsoft Entra ID实现自动机制,用于在创建时强制实施密码验证器强度。 可以将此自动机制扩展到本地部署的 Active Directory,以强制实施密码验证器的强度。 NIST 800-53 的修订版 5 已撤消 IA-04 (4),并将此要求合并到 IA-5 (1)。 资源 |
|
IA-5(6) 组织依据信息的安全类别,保护与之相应的验证器,以确保使用验证器时的访问安全。 |
根据 FedRAMP 高影响级别规定,保护认证器。 有关如何Microsoft Entra ID保护验证器的详细信息,请参阅 Microsoft Entra 数据安全注意事项。 |
|
IA-05(7) 组织确保未加密的静态验证器未嵌入到应用程序或访问脚本中,或未存储到功能键上。 |
确保未加密的静态验证器(例如密码)未嵌入应用程序或访问脚本或存储在函数密钥上。 实现托管标识或服务主体对象(仅使用证书进行配置)。 资源 |
|
IA-5(8) 组织实施[FedRAMP 分配:不同系统上的不同验证器],以管理由于个人在多个信息系统上拥有帐户而泄露的风险。 |
当个人在多个信息系统上拥有帐户时,实施安全措施。 通过将所有应用程序连接到Microsoft Entra ID来实现单一登录,而不是在多个信息系统上拥有单个帐户。 |
|
IA-5(11) 信息系统用于基于硬件令牌的身份验证,采用满足[分配:组织定义的令牌质量要求]的机制。 |
需要符合 FedRAMP 高影响级别的硬件令牌质量。 要求使用符合 AAL3 的硬件令牌。 |
|
IA-5(13) 信息系统禁止在[赋值:组织定义的时间段]之后使用缓存的验证器。 |
实施缓存验证器的过期策略。 当网络不可用时,系统使用缓存的验证器对本地计算机进行身份验证。 若要限制缓存验证器的使用,请将Windows设备配置为禁用其使用。 如果此操作不可行或不切实际,请使用以下补偿控件: 使用应用程序强制限制来配置 Office 应用程序的条件访问会话控件。 资源 |
|
IA-6 验证器反馈 该信息系统在身份验证过程中模糊了身份验证信息的反馈,从而防止未经授权的个人可能利用/使用该信息。 |
在身份验证过程中隐藏身份验证反馈信息。 默认情况下,Microsoft Entra ID掩盖所有验证器反馈。 |
|
IA-7 加密模块身份验证 根据此类身份验证适用的联邦法律、行政命令、指令、政策、法规、标准和指南的要求,该信息系统实施对加密模块进行身份验证的机制。 |
实现对符合适用联邦法律的加密模块进行身份验证的机制。 FedRAMP 高影响级别要求使用 AAL3 身份验证器。 AAL3 中 Microsoft Entra ID 支持的所有验证器都提供了对操作人员访问模块进行身份验证的机制。 例如,在具有硬件 TPM 的Windows Hello for Business部署中,配置 TPM 所有者授权级别。 资源 |
|
IA-8 标识和身份验证(非组织用户) 信息系统唯一地标识非组织用户(或代表非组织用户进行处理的进程)并进行身份验证。 |
信息系统唯一标识和验证非组织用户(或为非组织用户执行的进程)。 Microsoft Entra ID 使用联邦身份、凭据和访问管理(FICAM)批准的协议,对驻留在组织租户或外部目录中的非组织用户进行唯一的识别和认证。 资源 |
|
IA-8(1) 该信息系统接受来自其他联邦机构的个人身份验证(PIV)凭据并对其进行电子验证。 IA-8(4) 该信息系统符合 FICAM 颁发的配置文件。 |
接受并验证由其他联邦机构颁发的 PIV 凭据。 遵循 FICAM 发布的规范。 将 Microsoft Entra ID 配置为通过联合身份验证(OIDC、SAML)或者通过集成 Windows 身份验证在本地接受 PIV 凭据。 资源 |
|
IA-8(2) 该信息系统仅接受 FICAM 批准的第三方凭据。 |
仅接受 FICAM 批准的凭据。 Microsoft Entra ID支持 NIST ACL 1、2 和 3 的验证器。 限制使用与所访问系统的安全类别相对应的身份验证器。 Microsoft Entra ID支持各种身份验证方法。 资源 |