用户支柱的 DoD 零信任策略

DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。

本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。

使用以下各链接,转到指导的各节。

1 用户

本节包含 Microsoft 对用户支柱中 DoD 零信任活动的指南和建议。 若要了解详细信息,请参阅使用零信任保护标识

1.1 用户清单

Microsoft Entra ID 是 Microsoft 云服务所需的标识平台。 Microsoft Entra ID 是一个标识提供者 (IdP) 和治理平台,用于支持多云和混合标识。 可以使用 Microsoft Entra ID 来管理对非 Microsoft 云(如 Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Oracle 云基础结构 (OCI) 等)的访问。 Microsoft Entra ID 使用标准标识协议,使其成为适合软件即服务 (SaaS)、新式 Web 应用程序、桌面和移动应用(也是旧版本地应用程序)的 IdP。

使用 Microsoft Entra ID 验证用户和非人员实体 (NPE),持续授权访问应用和数据、遵循最低特权原则管理标识及其权利,并执行实时 (JIT) 管理。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.1.1 清单用户
DoD 组织根据需要手动建立和更新用户清单,为后续阶段的自动化方法做准备。 标识并列出 IdP/ICAM 和本地系统上集中管理的帐户。 将为将来的审核标识特权帐户,并且标识应用程序和系统本地的标准和特权用户帐户,以便将来进行迁移和/或停用。

结果
- 标识的托管常规用户
- 标识的托管特权用户
- 使用自己的用户帐户管理为非管理和管理帐户标识的应用程序
Microsoft Entra ID
使用 Microsoft Entra 管理中心或 Microsoft Graph API 标识组织中的常规和特权用户。 用户活动在 Microsoft Entra ID 登录和审核日志中捕获,这些日志可与 Microsoft Sentinel 等安全信息事件监视 (SIEM) 系统集成。
- 采用 Microsoft Entra ID
- Microsoft Graph API:列出用户
- Microsoft Entra 活动日志集成

Microsoft Entra 和 Azure 角色
特权用户是分配给 Microsoft Entra ID 角色、Azure 角色或 Microsoft Entra ID 安全组的标识,授予对 Microsoft 365 或其他应用程序的特权访问权限。 建议使用仅限云的用户进行特权访问。
- 内置角色

Microsoft Defender for Cloud Apps
使用 Defender for Cloud Apps 发现未批准的应用(使用自己的标识存储)。
- 发现和管理影子 IT

Microsoft Defender for Identity
部署和配置 Microsoft Defender for Identity 传感器,以便为本地 Active Directory 域服务环境生成标识资产清单。
- Microsoft Defender for Identity 概述
- 部署 Microsoft Defender for Identity
- 调查资产

1.2 条件用户访问

Microsoft Entra ID 可帮助组织实现有条件的动态用户访问。 支持此功能的功能包括 Microsoft Entra 条件访问、Microsoft Entra ID 治理、自定义角色、动态安全组、应用角色和自定义安全属性。

条件访问是 Microsoft Entra ID 中的实时零信任策略引擎。 条件访问策略使用来自用户、设备、应用程序、会话、风险等的安全信号,为受 Microsoft Entra ID 保护的资源应用自适应动态授权。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.2.1 为每个企业实施基于应用的权限
与组织合作的 DoD 企业建立了一组用于身份验证和授权的基本用户属性。 它们与完整的企业标准的“企业标识生命周期管理第 1 部分”活动流程集成。 企业标识、凭据和访问管理 (ICAM) 解决方案已启用自助服务功能,用于在解决方案中添加/更新属性。 剩余的特权访问管理 (PAM) 活动已完全迁移到 PAM 解决方案。

结果
- 用户授权应用程序功能所需的企业角色/属性和/或数据已注册到企业 ICAM
- DoD Enterprise ICAM 具有自助服务属性/角色注册服务,使应用程序所有者能够添加属性或使用现有企业属性
- 特权活动已完全迁移到 PAM
Microsoft Entra Connect
使用 Microsoft Entra Connect 建立混合标识,以便使用当前目录系统中的用户属性数据填充 Microsoft Entra ID 租户。
- Microsoft Entra Connect

Microsoft Entra 应用程序
将应用程序与 Microsoft Entra ID 集成。 使用安全组和应用角色设计应用程序授权和权限模型。 若要委托应用管理,请分配所有者以管理应用配置、注册和分配应用角色。
- 将应用与 Microsoft Entra ID 集成
- 动态安全组
- 应用程序的应用角色

Microsoft Entra ID Governance
在权利管理中配置访问包,以便用户可以请求访问应用程序角色或组。
- 管理对应用的访问权限
- 委托访问包治理

条件访问
配置条件访问策略,以便动态授权到受 Microsoft Entra ID 保护的应用程序和服务。 在条件访问策略中,使用自定义安全属性和应用程序筛选器来限定分配给应用程序对象的安全属性授权的范围,例如敏感度。
- 条件访问
- 自定义安全属性
- 筛选应用

Privileged Identity Management
使用 PIM 发现和见解来标识特权角色和组。 使用 PIM 管理发现的特权,并将用户分配从永久分配转换为符合条件的权限。
- PIM 发现和见解

Target 1.2.2 基于规则的动态访问第 1 部分
DoD 组织利用“定期身份验证”活动中的规则来生成动态启用和禁用特权的基本规则。 高风险用户帐户利用 PAM 解决方案,使用实时访问和恰到好处的管理方法迁移到动态特权访问。

结果
- 访问应用程序/服务的函数和/或数据仅限于具有适当企业属性的用户
- 所有可能的应用程序都对管理用户使用 JIT/JEA 权限
Microsoft Entra ID
使用 Microsoft Entra ID 授权和治理功能根据用户属性、角色分配、风险和会话详细信息限制应用程序访问。

请参阅 1.2.1 中的 Microsoft 指南。

Privileged Identity Management
将 PIM 用于 Microsoft Entra 和 Azure 角色。 使用适用于祖的 PIM 将 PIM 扩展到其他 Microsoft Entra ID 应用程序。
- 适用于 Microsoft Entra 角色的 PIM
- 适用于 Azure 角色的 PIM
- 适用于组的 PIM

Advanced 1.2.3 基于规则的动态访问第 2 部分
DoD 组织扩展了动态访问决策规则的开发,以考虑风险。 用于动态访问的解决方案与跨支柱机器学习和人工智能功能集成,可实现自动化规则管理。

结果
- 组件和服务充分利用规则来实现对应用程序和服务的动态访问
- 用于基于规则的动态访问的技术支持与 AI/ML 工具的集成
Microsoft Entra ID Protection
Microsoft Entra ID Protection 使用机器学习 (ML) 算法来检测用户和登录风险。 根据风险级别,在条件访问策略中使用风险条件进行动态访问。
- Microsoft Entra ID Protection
- 风险检测
- 基于风险的访问策略

Microsoft Defender XDR
Microsoft Defender XDR 是扩展的检测和响应 (XDR) 解决方案。 部署 Microsoft Defender for Endpoint 和 Microsoft Defender for Cloud Apps,并配置集成。
- 将 Defender for Endpoint 与 Defender for Cloud Apps 集成

Advanced 1.2.4 企业治理角色和权限第 1 部分
DoD 组织根据企业标识、凭据和访问管理 (ICAM) 解决方案联合剩余的用户和组属性。 更新的属性集用于创建可供组织使用的通用角色。 标识提供者 (IdP) 和标识、凭据和访问管理 (ICAM) 解决方案的核心功能将迁移到云服务和/或环境,从而提高复原能力和性能。

结果
- 与企业 ICAM 联合的组件属性和角色数据存储库
- 云和本地应用程序可以使用基于云的企业 IdP
- 创建并符合属性的标准化角色和权限集
Microsoft Entra ID
Microsoft Entra ID 是一种多云集中托管的标识、凭据和访问管理 (ICAM) 平台和标识提供者 (IdP)。 使用 Microsoft Entra Connect 建立混合标识,以填充目录中的用户数据。
- Microsoft Entra ID
- 混合标识

Microsoft Entra 应用程序
将应用程序与 Microsoft Entra ID 集成并使用动态安全组、应用程序角色和自定义安全属性,用于控制对应用程序的访问。
- 管理应用
- 管理应用访问

Microsoft Entra 应用程序代理
若要对使用旧式身份验证协议的应用使用 Microsoft Entra ID,部署和配置应用程序代理或集成安全混合访问 (SHA) 合作伙伴解决方案。
- SHA:保护旧版应用

Advanced 1.2.5 企业治理角色和权限第 2 部分
DoD 组织将标识提供者 (IdP) 和标识、凭据和访问管理 (ICAM) 解决方案的所有可能功能迁移到云环境。 Enclave/DDIL 环境本地功能支持断开连接的功能,但最终由集中式标识、凭据和访问管理 (ICAM) 解决方案管理。 更新的角色现在强制使用,并遵循基于风险的方法审查异常。

结果
- 大多数组件在评估属性时使用云 IdP 功能(如果可能,本地 IdP 已解除授权)
- 评估属性时强制使用权限和角色
Microsoft Entra 应用程序
将新式应用程序从 Active Directory 联合身份验证服务 (AD FS) 迁移到 Microsoft Entra ID,然后停用 AD FS 基础结构。
- 将应用身份验证从 AD FS 迁移到 Microsoft Entra ID

Microsoft Entra 应用预配
将剩余的 ICAM 和应用程序预配过程从本地标识管理系统迁移到 Microsoft Entra ID。
- API 驱动的入站预配
- 应用预配

1.3 多重身份验证

Microsoft Entra ID 支持基于证书的身份验证 (CBA),包括 DoD 通用访问卡 (CAC) 和个人身份验证 (PIV),而无需与其他 IdP 联合,适用于云和混合(已同步)用户。 Microsoft Entra ID 支持多种行业标准多重防钓鱼无密码身份验证方法,包括 CBA、Windows Hello 企业版、FIDO2 安全密钥和密码。

可以创建条件访问策略,以强制实施身份验证强度,并根据用户、设备和环境条件(包括风险级别)动态授权访问。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.3.1 组织 MFA/IDP
DoD 组织采购并实施集中式标识提供者 (IdP) 解决方案和多重身份验证 (MFA) 解决方案。 IdP 和 MFA 解决方案可以在单个应用程序中组合,也可以根据需要进行分隔,前提是这两种解决方案都支持自动集成。 IdP 和 MFA 都支持与企业 PKI 功能的集成,并允许受信任的根证书颁发机构签名密钥对。 任务关键型应用程序和服务正在利用 IdP 和 MFA 解决方案来管理用户和组。

结果
- 组件为关键应用程序/服务使用具有 MFA 的 IdP
- 组件提供启用了 DoD PKI 多重身份验证的标识提供者 (IdP)
- 用于关键服务的组织标准化 PKI
Microsoft Entra 身份验证方法
使用 DoD PKI 配置 Microsoft Entra CBA。 将全局保护级别设置为单因素身份验证。 为每个 DoD 颁发 CA 或策略 OID 创建规则,将 DoD PKI 标识为多重身份验证保护级别。 配置后,用户使用 DoD CAC 登录到 Microsoft Entra。
- 在 Microsoft Entra ID 中身份验证
- Microsoft Entra CBA
- 配置 CBA

分阶段推出
使用分阶段推出从本地联合身份验证迁移用户身份验证服务到 Microsoft Entra CBA。

请参阅 1.2.4 中的 Microsoft 指南。

Microsoft Entra 身份验证强度
创建名为 DoD CAC 的新身份验证强度。 基于证书的身份验证(多重)。 配置高级选项并选择 DoD PKI 的证书颁发者。
- 身份验证强度
- 自定义身份验证强度

Microsoft Intune
Microsoft Entra 支持在移动设备上使用证书的两种方法:派生凭据(设备证书)和硬件安全密钥。 若要在托管移动设备上使用 DoD PKI 派生凭据,请使用 Intune 部署 DISA Purebred。
- 派生凭据
- iOS 设备上的 CBA
- Android 设备上的 CBA

Advanced 1.3.2 备用灵活 MFA 第 1 部分
DoD 组织的标识提供者 (IdP) 支持多重身份验证的替代方法,符合网络安全要求(例如 FIPS 140-2、FIPS 197 等)。 备用令牌可用于基于应用程序的身份验证。 多重选项支持生物识别功能,可以使用自助服务方法进行管理。 如果可能,多重提供商会移动到云服务,而不是在本地托管。

结果
- IdP 提供用户自助服务替代令牌
- IdP 为每个策略的已批准应用程序提供替代令牌 MFA
Microsoft Entra 身份验证方法
配置 Microsoft Entra 身份验证方法,以便用户注册密码(FIDO2 安全密钥)。 使用可选设置为符合 FIPS 140-2 的密钥配置密钥限制策略。
- 无密码安全密钥登录
- 身份验证方法

临时访问传递
配置临时访问传递 (TAP),以便用户注册不使用 CAC 的备用无密码验证器。
- 配置 TAP

条件访问
创建条件访问策略以要求身份验证强度:DoD CAC 进行安全信息注册。 该策略要求 CAC 注册其他身份验证器,例如 FIDO2 安全密钥。
- 安全信息注册

请参阅 1.3.1 中的 Microsoft 指南。 Windows Hello 企业版


将 Windows Hello 企业版与 Windows 登录的 PIN 或生物识别手势配合使用。 对企业提供的 Windows 设备使用 Windows Hello 企业版注册的设备管理策略。
- Windows Hello 企业版

Advanced 1.3.3 备用灵活 MFA 第 2 部分
替代令牌利用跨支柱活动(例如“用户活动监视 (UAM) 和用户和实体行为分析 (UEBA)”等)中的用户活动模式(例如,在模式偏差发生时不授予访问权限)。 此功能也进一步扩展到启用了生物识别的替代令牌上。

结果
- 实现的用户活动模式
Microsoft Entra ID Protection
Microsoft Entra ID Protection 使用机器学习 (ML) 和威胁情报来检测有风险的用户和登录事件。 使用登录和用户风险条件将条件访问策略定向到风险级别。 首先,需要 MFA 进行风险登录的基线保护。
- Microsoft Entra ID 保护
- 部署标识保护

条件访问
创建一组基于风险的条件访问策略,这些策略使用授予和会话控制要求在风险增加时进行更严格的保护。
- 配置和启用风险策略
- 条件访问:会话
- 条件访问:授权

基于风险的条件访问策略示例:

中登录风险
- 需要身份验证强度:防钓鱼 MFA
- 需要合规设备
- 登录频率:1 小时

高登录风险
- 需要身份验证强度:防钓鱼 MFA
- 需要合规设备
- 登录频率:每次

高用户风险
- 需要身份验证强度:防钓鱼 MFA
- 需要合规设备
- 登录频率:每次

Microsoft Sentinel
配置 Sentinel 分析规则和 playbook,以便在用户风险较高时为 Entra ID Protection 警报创建事件。
- 适用于 Sentinel 的 Microsoft Entra ID Protection 连接器
revokeSignInSessions- User:revokeSignInSessions

1.4 特权访问管理

Microsoft Entra ID Governance 支持 PAM 功能,包括实时 (JIT) 管理、权利管理和定期访问评审。 Microsoft Entra Privileged Identity Management (PIM) 可帮助了解在组织中分配角色的方式。 使用 PIM 转换永久角色分配 JIT、自定义角色分配和激活要求,还可以计划访问评审。

条件访问强制实施身份验证强度、风险级别和合规的特权访问工作站 (PAW) 设备进行特权访问。 Microsoft Entra ID 中的管理操作记录在 Microsoft Entra 审核日志中。

DoD 活动说明和结果 Microsoft 指导和建议
Target1.4.1 实现系统和迁移特权用户第 1 部分
DoD 组织采购并实施 Privileged Access Management (PAM) 解决方案,以支持所有关键特权用例。 确定应用程序/服务集成点,以确定对 PAM 解决方案的支持状态。 与 PAM 解决方案轻松集成的应用程序/服务将转换到使用对静态和直接特权权限的解决方案。

结果
- 实现了特权访问管理 (PAM) 工具
- 支持和不支持标识的 PAM 工具的应用程序和设备
- 支持 PAM 的应用程序,现在使用 PAM 控制紧急/内置帐户
Privileged Identity Management
部署 PIM 以保护 Microsoft Entra ID 和 Azure 角色。 使用 PIM 发现和见解识别特权角色和组。 使用 PIM 管理发现的特权,并将用户分配从永久分配转换为符合条件的权限。
- PIM 概述
- 角色的发现和见解
- Azure 资源

Microsoft Intune
为 Microsoft Entra、Microsoft 365 和 Azure 管理部署 Intune 托管的 PAW。
- 特权访问策略

条件访问
使用要求合规设备的条件访问策略。 若要强制实施 PAW,请使用符合条件访问的设备授权控制中的设备筛选器。
- 设备筛选器

Target 1.4.2 实现系统和迁移特权用户第 2 部分
DoD 组织利用受支持和不支持的应用程序/服务清单来与特权访问管理 (PAM) 解决方案集成,以扩展集成。 PAM 与更具挑战性的应用程序/服务集成,以最大化 PAM 解决方案覆盖范围。 异常是在基于风险的方法中管理的,目的是迁移和/或停用不支持 PAM 解决方案的应用程序/服务。

结果
- 特权活动迁移到 PAM 并完全管理访问权限
Privileged Identity Management
使用特权访问组和适用于组的 PIM 来扩展 Microsoft Entra ID 和 Azure 以外的实时 (JIT) 访问权限。 使用 Microsoft 365、Microsoft Defender XDR 中的安全组,或映射到与 Microsoft Entra ID 集成的非 Microsoft 应用程序的特权角色声明。
- 角色可分配的组
- 将组引入 PIM
- 用户和组向应用分配

条件访问
当管理员在 Microsoft Entra ID 中执行需要高特权权限的操作时,使用受保护的操作来添加另一层保护。 例如,管理条件访问策略和跨租户访问设置。
- 受保护的操作

为具有活动 Microsoft Entra 角色成员身份的用户创建条件访问策略。 需要身份验证强度:防钓鱼 MFA 和合规设备。 使用设备筛选器需要合规的 PAW。
- 要求对管理员执行 MFA
- 设备筛选器

Advanced 1.4.3 实时审批和 JIT/JEA Analytics 第 1 部分
识别必要的属性(用户、组等)是自动化的,并集成到 Privileged Access Management (PAM) 解决方案中。 特权访问请求会迁移到 PAM 解决方案,以便自动批准和拒绝。

结果
- 识别的帐户、应用程序、设备和关注数据(DoD 任务面临最大风险)
- 使用 PAM 工具对高风险帐户应用了 JIT/JEA 访问权限
- 根据情况自动执行特权访问请求
Privileged Identity Mangement
识别环境中的高风险角色,例如 Microsoft Entra 角色、Azure 角色(如所有者和用户访问管理员)以及特权安全组。
- 池的最佳做法
- 特权角色

配置 PIM 角色设置以要求审批。
- Azure 资源角色设置
- Microsoft Entra 角色设置
- 适用于组的 PIM 设置

Microsoft Entra ID 治理
使用访问包管理安全组以符合角色资格。 此机制管理符合条件的管理员;它添加了角色资格的自助服务请求、审批和访问评审。
- 权利管理

为特权角色创建可分配角色组,以配置资格请求和审批。 创建名为“特权角色合格管理员”的目录。 将可分配角色的组添加为资源。
- 角色可分配的组
- 创建和管理资源目录

在“特权角色合格管理员”目录中为可分配角色的组创建访问包。 当用户在权利管理中请求资格、在 PIM 中激活时需要批准或同时要求两项时,可以要求审批。
- 访问包

Advanced 1.4.4 实时审批和 JIT/JEA Analytics 第 2 部分
DoD 组织将用户和实体行为分析 (UEBA) 和用户活动监视 (UAM) 解决方案与 Privileged Access Management (PAM) 解决方案集成,为决策提供用户模式分析。

结果
- UEBA 或类似的分析系统与 PAM 工具集成,用于 JIT/JEA 帐户审批
条件访问
定义用于特权访问的身份验证上下文。 创建一个或多个面向特权访问身份验证上下文的条件访问策略。 在策略中使用风险条件,并应用特权访问的授予和会话控制。 建议要求身份验证强度:防钓鱼 MFA、合规的特权访问工作站。
- 配置身份验证上下文

请参阅 1.4.1 中的 Microsoft 指南。

若要在登录风险较高时阻止特权访问,请创建更多的条件访问策略,以特权访问身份验证上下文为目标,并有高登录风险的条件。 对高用户风险的策略重复此步骤。
- 策略部署

Privileged Identity Management
配置 PIM 角色设置以要求身份验证上下文。 此设置在角色激活时强制实施所选身份验证上下文的条件访问策略。
- 要求身份验证上下文

1.5 联合身份验证和用户身凭证

Microsoft Entra ID 在标识生命周期管理 (ILM) 中起着关键作用。 Microsoft Entra 租户是超大规模云目录服务、标识、凭据和访问管理 (ICAM) 解决方案以及标识提供者 (IdP)。 它支持通过目录间预配和应用预配来管理 Microsoft Entra ID 和其他应用中内部用户的生命周期。

Microsoft Entra ID 治理功能可帮助管理应用、Microsoft Teams 和安全组成员身份等权利的访问生命周期。 权限管理还可用于加入和治理外部来宾。 当来宾用户对象的最后一个访问包被删除时,你可以阻止访问并删除来宾用户对象。 若要了解如何将 ILM 函数迁移到 Microsoft Entra ID,请参阅云之路

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.5.1 组织标识生命周期管理
DoD 组织为特权用户和标准用户建立生命周期管理过程。 利用组织标识提供者 (IdP),将实施该过程,然后是最大用户数。 任何不属于标准流程的用户都通过基于风险的异常获得批准,以便定期评估解除授权。

结果
- 标准化标识生命周期过程
Microsoft Entra ID
标准化标识的帐户生命周期,包括用户、管理员、外部用户和应用程序标识(服务主体)。
- 标识生命周期管理
- 标识和访问管理操作

Microsoft Entra ID Governance
为租户中的特权用户和应用程序建立定期访问评审。
- 访问评审

Target 1.5.2 企业标识生命周期管理第 1 部分
DoD Enterprise 与组织合作,审查和对齐现有标识生命周期流程、策略和标准。 DoD 组织制定并遵循最终商定的策略和支持过程。 DoD 组织使用集中式或联合标识提供者 (IdP) 和标识与访问管理 (IdAM) 解决方案,实现企业生命周期管理过程,以达到标识、组和权限的最大数量。 使用基于风险的方法管理策略的例外。

结果
- 自动化标识生命周期流程
- 与企业 ICAM 流程和工具集成
Microsoft Entra ID
如果你的组织使用 Active Directory,请将用户与 Microsoft Entra Connect Sync 或 Microsoft Entra Connect Cloud Sync 同步到 Microsoft Entra ID。注意:不要将特权 Active Directory 帐户同步或将特权云角色分配到同步的帐户。
- Connect 同步
- 云同步
- 保护 Microsoft 365 免受本地攻击
- 减少攻击外围应用

Privileged Identity Management
使用 PIM 管理访问权限。 为特权 Microsoft Entra 和 Azure 角色建立访问评审节奏。
- 特权帐户

Microsoft Entra 身份验证方法
使用基于云的防网络钓鱼 MFA 方法。 使用 DoD 通用访问卡 (CAC) 设置基于证书的 Microsoft Entra 身份验证 (CBA),以注册其他无密码凭据。

请参阅 1.3.2 中的 Microsoft 指南。

Advanced 1.5.3 企业标识生命周期管理第 2 部分
DoD 组织进一步集成标识提供者 (IdP) 和标识、凭据和访问管理 (ICAM) 解决方案的关键自动化功能,并遵循企业生命周期管理过程启用企业自动化和分析。 标识生命周期管理主要流程集成到基于云的企业 ICAM 解决方案中。

结果
- 集成关键 IDM/IDP 函数
- 主要 ILM 函数基于云
Microsoft Entra ID Governance
使用权利管理和访问评审来管理组织的用户访问生命周期和外部来宾标识生命周期。
- 权利管理
- 外部用户访问治理

托管标识
使用 Azure 资源和工作负荷 ID 联合的托管标识,以减少管理应用程序凭据的风险。
- 托管标识
- 工作负载标识联合

应用程序管理策略
配置应用管理策略来控制添加到租户中的应用程序的凭据类型。 使用 passwordAddition 限制来要求应用程序的证书凭据。
- 应用方法 API
- 应用身份验证证书凭据

Advanced 1.5.4 企业标识生命周期管理第 3 部分
DoD 组织将剩余的标识生命周期管理过程与企业标识、凭据和访问管理解决方案集成。 Enclave/DDIL 环境,但仍有权使用本地连接器与企业 ICAM 集成,以连接到云环境。

结果
- 视情况而定,所有 ILM 函数移动到云
- 与所有 IDM/IDP 函数集成

Microsoft Entra 应用预配
使用 Microsoft Entra 应用预配将标识同步到 SCIM、SQL、LDAP、PowerShell 和 Web 服务应用程序。 使用 API 驱动的应用将用户预配到不同的 Active Directory 实例中。
- 预配应用
- 本地应用预配
- 配置 API 驱动的预配应用

1.6 行为、上下文 ID 和生物识别

Microsoft Entra ID 防护可帮助你使用机器学习 (ML) 和威胁情报检测、修正和防止标识威胁。 此功能在用户登录期间检测实时风险,并检测随时间推移计算的脱机风险。 风险包括令牌异常、异常登录属性、不可能旅行、可疑用户行为等。

标识保护与 Microsoft Defender XDR 集成,以显示 Microsoft Defender 产品系列中的其他组件检测到的标识风险。

若要了解详细信息,请参阅:什么是风险检测?

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.6.1 实现用户和实体行为分析
(UEBA) 和用户活动监视 (UAM) 工具 DoD 组织采购和实施用户和实体行为分析 (UEBA) 和用户活动监视 (UAM) 解决方案。 完成与企业 IdP 的初始集成点,可在决策中启用将来的使用。

结果
- 为企业 IDP 实现UEBA 和 UAM 功能
Microsoft Entra ID Protection
部署 Microsoft Entra ID Protection,以获取用户和登录事件的实时和脱机风险扣留。 使用 Microsoft Entra 工作负荷 ID、工作负荷标识高级版将标识风险检测扩展到应用程序标识(服务主体)。
- 安全工作负荷标识
- 基于风险的工作负荷标识策略

请参阅 1.3.3 中的 Microsoft 指南。

Microsoft Defender for Cloud 应用程序
部署 Defender for Cloud 应用程序,并配置与 Microsoft Defender for Endpoint 和外部解决方案的集成。 在 Defender for Cloud 应用程序中配置异常检测策略。
- 将 Defender for Endpoint 与 Defender for Cloud 应用程序集成
- 外部解决方案集成
- 检测可疑用户活动与 UEBA

Microsoft Defender for Endpoint
将终结点加入 Defender for Endpoint。 配置 Defender for Endpoint 与 Microsoft Intune 之间的集成。
- Defender for Endpoint 和其他解决方案

Microsoft Intune
配置与 Defender for Endpoint 的集成,并在设备符合性策略中使用 Defender for Endpoint 计算机风险评分。
- Defender for Endpoint 规则

条件访问
创建条件访问策略以要求合规设备。 在授予访问权限之前,该控件要求在 Microsoft Intune 中标记为合规的设备。 Defender for Endpoint 与 Intune 之间的集成根据符合性状态提供设备运行状况和风险级别的总体情况。
- 符合性策略,为 Inune 托管设备设定策略

Microsoft Sentinel
将数据源连接到 Sentinel,并为审核日志、登录日志、Azure 活动和安全事件启用 UEBA 设置规则。
- 启用 UEBA
- 具有 UEBA 的高级威胁

Advanced 1.6.2 用户活动监视第 1 部分
DoD 组织将用户和实体行为分析 (UEBA) 和用户活动监视 (UAM) 解决方案与组织标识提供者 (IdP) 集成,以便根据需要扩展可见性。 UEBA 和 UAM 为关键应用程序和服务生成的分析和数据与实时和恰好的访问权限解决方案集成,从而进一步改进决策。

结果
- UEBA 视情况与组织 IDP 集成
- UEBA 与关键服务的 JIT/JEA 集成
Privileged Identity Management
部署 PIM 和载入特权角色。 定义用于特权访问的身份验证上下文。 在身份验证上下文中使用风险条件,并配置 PIM 角色设置,以在激活时要求身份验证上下文。

请参阅 1.4.4 中的 Microsoft 指南。

Microsoft Sentinel
将数据源连接到 Sentinel,并为审核日志、登录日志、Azure 活动和安全事件启用 UEBA。
- 启用 UEBA
- 具有 UEBA 的高级威胁

Microsoft Defender for Cloud 应用程序
使用 Defender for Cloud 应用程序监视和控制云应用程序的会话。
- 使用应用控制保护应用
- 会话策略
- 调查有风险的用户

Advanced 1.6.3 用户活动监视第 2 部分
DoD 组织在实时和恰好的访问权限解决方案中做出决策时,通过使用所有受监视应用程序和服务的生成数据,继续使用用户和实体行为分析 (UEBA) 和用户活动监视 (UAM) 解决方案的分析使用情况。

结果
- UEBA/实体监视与所有服务的 JIT/JEA 集成
Privileged Identity Management
使用适用于组的 PIM 扩展对使用应用角色的应用程序的实时 (JIT) 访问权限。 将 PIM 管理的组分配给特权应用角色。
- 适用于组的 PIM
- 向应用添加应用角色

1.7 最小特权访问

默认情况下,使用 Microsoft Entra ID 访问应用程序是拒绝的。 Microsoft Entra ID 治理功能(如权利管理和访问评审)可确保访问具有时间限制,符合最低特权原则,并强制控制职责分离。

使用 Microsoft Entra 内置角色按任务分配最低特权权限。 管理单元允许为 Microsoft Entra ID 用户和设备限定基于资源的权限。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.7.1 默认拒绝用户策略
DoD 组织审核内部用户和组权限使用情况,并尽可能撤销权限。 此活动包括吊销和/或解除对基于应用程序/服务的标识和组的过度权限和访问权限。 在可能的情况下,将停用静态特权用户,或减少为将来基于规则/动态的访问准备的权限。

结果
- 默认情况下更新为拒绝的函数/数据,需要特定角色/属性访问
- 实现减少的默认权限级别
- 应用程序/服务已评审/审核所有特权用户,并删除那些不需要该级别的访问的用户
Microsoft Entra ID
查看和限制 Microsoft Entra ID 中的默认用户和来宾权限。 限制用户对应用程序的同意,并查看组织中的当前同意。
- 默认用户权限
- 限制用户同意权限

Microsoft Entra 应用程序
访问 Microsoft Entra 应用时,默认被拒绝。 Microsoft Entra ID 验证权利并应用条件访问策略来授权资源访问。
- 集成应用
- 应用集成

Microsoft Entra ID 治理
使用权利管理标识治理功能来管理标识和访问生命周期。 查找自动访问请求工作流、访问分配、评审和过期。
- 权利管理
- 访问评审

自定义角色
使用 Microsoft Entra ID 内置角色进行资源管理。 但是,如果角色不符合组织需求,或者为了最大程度地减少管理用户的权限,请创建自定义角色。 授予自定义角色精细权限,以管理用户、组、设备、应用程序等。
- 自定义角色

管理单元
管理单元是一个 Microsoft Entra 资源,其中包含其他 Microsoft Entra 资源,例如用户、组或设备。 使用管理单元根据组织结构将权限委托给部分管理员。
- 管理单元
- 受限管理单元
- 创建或删除管理单元

特权身份管理
使用 PIM 发现和见解来管理特权和减少管理员数。 在 PIM 外部分配特权角色时配置 PIM 警报。
- 混合和云的特权访问
- 适用于 Microsoft Entra 角色的安全警报
- Azure 角色的安全警报

Microsoft Defender for Cloud 应用程序
评审权限已授予应用程序。 调查 Defender for Cloud 应用程序中有风险的 OAuth 应用程序。
- 查看授予应用的权限
- 调查有风险的 OAuth 应用

Microsoft Sentinel
使用 PIM 分配 Azure 角色以进行 Sentinel 访问,并定期审核查询和活动。
- 审核查询和活动

1.8 持续身份验证

Microsoft Entra ID 使用短生存期和长生存期令牌定期对 Microsoft Entra 保护的应用程序和服务的用户进行身份验证。 Microsoft Entra ID 具有持续访问评估 (CAE) 机制来改进标准协议。 策略引擎以近乎实时的方式响应环境变化,并强制实施自适应访问策略。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.8.1 单一身份验证
DoD 组织使用基本身份验证过程对每个会话的用户和 NPE 至少进行身份验证一次(例如登录)。 重要的是,通过组织标识提供者 (IdP) 与使用基于应用程序/服务的标识和组的并行活动“组织 MFA/IDP”,管理正在进行身份验证的用户。

结果
- 每个会话跨应用程序实现的身份验证
Microsoft Entra ID
Microsoft Entra ID 是一种集中式标识提供者 (IdP),可促进 Microsoft 云应用程序和组织使用的应用程序之间的单一登录 (SSO)。
- Microsoft Entra ID

单一登录
单一登录 (SSO) 身份验证方法允许用户使用其 Microsoft Entra ID 凭据对应用程序和服务进行身份验证。 这些应用可以是 SaaS、自定义业务线应用程序或本地应用程序。 使用 Microsoft Entra 身份验证和零信任功能实现对应用程序的安全和轻松访问。
- 什么是 SSO?
- Microsoft Entra 与身份验证协议的集成

Microsoft Entra 应用预配
Microsoft Entra 应用预配创建、更新和删除 SaaS 应用程序中的用户、角色和组,以及自定义或本地应用程序。 使用 Microsoft Entra ID 作为应用的集中式标识源。 最大程度地减少应用程序或服务标识和用户。
- 自动预配
- 应用预配

Microsoft Entra ID 工作负荷
服务主体和托管标识是 Microsoft Entra 中的非人实体 (NPE) 标识。 使用服务主体自动(非交互式)访问受 Microsoft Entra 保护的 API。
- 工作负荷标识
- 在 Microsoft Entra ID 中的服务主体

Target 1.8.2 定期身份验证
DoD 组织启用应用程序和服务的周期身份验证要求。 传统上,这些基于持续时间和/或持续时间超时,但其他基于时间段的分析可用于强制重新身份验证用户会话。

结果
- 基于安全属性为每个会话实现多次身份验证
Microsoft Entra 应用程序
Microsoft Entra 应用程序无需用户交互即可自动管理会话刷新。

请参阅 1.8.1 中的 Microsoft 指南。

条件访问
在条件访问中配置登录频率会话控制,以重新验证用户会话。 登录有风险时使用此功能,或者用户设备不受管理或不符合。
- 配置身份验证会话管理
- 在 Defender for Cloud 应用程序中的访问策略
Advanced 1.8.3 持续身份验证第 1 部分
DoD 组织的应用程序/服务基于安全属性和请求的访问利用多个会话身份验证。 特权更改和关联事务请求需要额外的身份验证级别,例如多重身份验证 (MFA) 推送给用户。

结果
- 基于安全属性为每个会话实现事务身份验证
持续访问评估
CAE 基于 OpenID 标准,该标准可改进基于时间的令牌过期和刷新机制,以实现对策略冲突的超时响应。 CAE 需要新的访问令牌来响应关键事件,例如用户从受信任的网络位置移动到不受信任的网络位置。 使用客户端应用程序和后端服务 API 实现 CAE。
- 持续访问评估
- 关键事件评估

使用 Microsoft Graph API、Outlook Online API 和 SharePoint Online API 的 Microsoft Office 应用程序支持 CAE。 使用最新的 Microsoft 身份验证库(MSAL)开发应用程序,以访问已启用 CAE 的 API。
- CAE for Microsoft 365
- 应用程序中 CAE 启用的 API

条件访问
定义和使用条件访问身份验证上下文来保护敏感 SharePoint 网站、Microsoft Teams、Microsoft Defender for Cloud Apps 保护的应用程序、PIM 角色激活和自定义应用程序。
- 身份验证上下文
- SharePoint 站点和 OneDrive 的策略
- Defender for Cloud 应用程序中的会话策略
- 需要 PIM 角色的身份验证上下文
- 身份验证上下文指南

当管理员执行需要 Microsoft Entra ID 中高特权权限的操作(例如管理条件访问策略和跨租户访问设置)时,请使用受保护的操作来添加另一层保护。 保护用户操作,例如注册安全信息和加入设备。
- 受保护的操作
- 目标资源

Privileged Identity Management
需要 PIM 角色激活的身份验证上下文。

请参阅 1.4.4 中的 Microsoft 指南。

Advanced1.8.4 持续身份验证第 2 部分
DoD 组织继续使用基于事务的身份验证,以包括集成(如用户模式)。

结果
- 基于安全属性(包括用户模式)为每个会话实现事务身份验证
Microsoft Entra ID Protection
当 Microsoft Entra ID Protection 检测到异常、可疑或有风险的行为时,用户风险级别就会增加。 使用风险条件创建条件访问策略,提高风险级别的保护。
- 风险检测

请参阅 1.3.3 中的 Microsoft 指南 1.3.3。

持续访问评估
风险级别增加是一个关键 CAE 事件。 实现 CAE 的服务(例如 Exchange Online API)需要客户端 (Outlook) 重新对下一个事务进行身份验证。 在 Microsoft Entra ID 颁发 Exchange Online 访问的新访问令牌之前,满足风险级别增加的条件访问策略。
- 关键事件评估

1.9 集成 ICAM 平台

Microsoft Entra ID 支持使用外部公钥基础结构 (PKI) 颁发的证书对用户和非用户实体 (NPE) 颁发的证书进行身份验证。 Microsoft Entra ID 中的 NPE 是应用程序和设备标识。 Microsoft Entra 外部 ID 跨租户访问设置可帮助多租户组织(如 DoD)跨租户无缝协作。

DoD 活动说明和结果 Microsoft 指导和建议
Target 1.9.1 企业 PKI/IDP 第 1 部分
DoD Enterprise 与组织合作,以集中和/或联合的方式实施企业公钥基础结构 (PKI) 和标识提供者 (IdP) 解决方案。 企业 PKI 解决方案利用单个或一组企业级根证书颁发机构 (CA),然后组织可以信任该颁发机构来生成中间 CA。 标识提供者解决方案可以是单个解决方案,也可以是一组联合的组织 IdP,具有跨组织的标准访问级别和标准化的属性集。 组织的 IdP 和 PKI 证书颁发机构与企业 IdP 和 PKI 解决方案集成。

结果
- 组件对所有应用程序/服务使用 IdP 和 MFA
- 与企业 MFA/PKI 集成的组织 MFA/PKI
- 所有服务的组织标准化 PKI
Microsoft Entra ID 身份验证方法
使用 Microsoft Entra ID 中的身份验证方法策略来控制用户身份验证方法。
- Microsoft Entra CBA

请参阅 1.3.1 中的 Microsoft 指南。

身份验证强度
使用身份验证强度来控制用户对资源的访问。
- 身份验证强度

Microsoft Entra 外部 ID
为 DoD Microsoft Entra ID 租户配置跨租户访问。 使用信任设置接受来自受信任 DoD 租户的外部标识的 MFA 和合规设备声明。
- 跨租户访问

应用程序管理策略
租户应用管理策略是实现租户中应用程序的安全最佳做法的框架。 使用策略将应用程序凭据限制为受信任的 PKI 颁发的证书。

若要创建证书信任链,请将新的证书颁发机构 (CA) 集合添加到企业 PKI 的中间 CA 证书和根 CA 证书。
- certificateBasedApplicationConfiguration 资源类型

若要创建应用程序管理策略以要求受信任的 CA 颁发的证书,请配置限制以禁止 passwordAddition,并要求 trustedCertificateauthority。 指定创建的受信任 CA 集合 ID。
- 应用身份验证方法 API

Microsoft Intune
Intune 支持私钥和公钥加密标准 (PKCS) 证书。
- PKCS 证书
Advanced 1.9.2 企业 PKI/IDP 第 2 部分
DoD 组织可根据需要在标识提供者 (IdP) 中为任务关键型应用程序和服务启用生物识别支持。 生物识别功能从组织解决方案迁移到企业。 组织多重身份验证 (MFA) 和公钥基础结构 (PKI) 会根据需要停用并迁移到企业。

结果
- 关键组织服务与生物识别集成
- 根据需要停用组织 MFA/PKI,而不是企业 MFA/PKI
- 实现的企业生物识别功能
Microsoft Entra ID
Microsoft 支持与 Microsoft Entra ID 身份验证兼容的多个组件中的生物识别。

身份验证方法
Microsoft Entra ID 支持使用状态或指纹的硬件密码(FIDO2 安全密钥)。
- FIDO 安全密钥

FIDO 安全密钥
Windows Hello 企业版使用指纹和人脸扫描等生物识别手势。
- 标识保护配置文件设置

MacOS
MacOS 设备具有生物识别功能(如 Touch ID),以使用设备绑定凭据登录。
- 适用于 Apple 设备的 SSO 插件

Microsoft Authenticator
移动设备和验证器使用触摸和人脸进行无密码身份验证。 密码支持是 Authenticator 中另一种防钓鱼身份验证方法。
- Authenticator
- 无密码登录
- 增强型网络钓鱼身份验证

Advanced 1.9.3 企业 PKI/IDP 第 3 部分
DoD 组织将剩余的应用程序/服务与生物识别功能集成。 可以使用备用多重 (MFA) 令牌。

结果
- 所有组织服务都集成 w/ 生物识别

Microsoft Entra 验证 ID
使用已验证 ID 的分散式标识方案可能需要在凭据演示时进行人脸验证。
- 验证 ID
- 人脸检查

后续步骤

为 DoD 零信任策略配置 Microsoft 云服务: