設定 Microsoft Entra ID 以符合 FedRAMP High 影響等級

聯邦風險與授權管理計畫 (FedRAMP) 是針對雲端服務提供者 (CSP) 的評定與授權流程。 具體而言，此流程適用於建立雲端解決方案供應項目 (CSO) 提供給聯邦機關搭配使用的雲端解決方案提供者 (CSP)。 Azure 和 Azure Government 已從聯合授權委員會得到高等影響力層級臨時授權操作 (P-ATO) 的許可，此為 FedRAMP 認證的最高標準。

Azure 提供滿足所有控制需求的功能，以幫助您的雲端解決方案供應項目 (CSO) 得到 FedRAMP 或聯邦機構的高評等。 您的組織必須負責完成額外的設定或流程，才能達到規範標準。 為 CSO 尋求 FedRAMP 高層授權的 CSP 以及尋求授權操作 (ATO) 許可的聯邦機關都需要負起此項責任。

Microsoft 與 FedRAMP

Microsoft Azure 支援的 FedRAMP 高等影響力層級服務多於其他任何 CSP 的服務。 雖然 Azure 公用雲端中的此高等影響力層級符合許多美國政府客戶的需求，但具有較嚴格需求的機關可能會依賴 Azure Government 雲端服務。 Azure Government 可提供額外的保護措施，例如加強人員的篩選。

Microsoft 每年都被要求必須重新認證其雲端服務，才能維持其授權狀態。 為了維持授權，Microsoft 會持續監視並評估其安全性控制措施，並示範其服務的安全性仍然符合規範。 如需詳細資訊，請參閱 microsoft 雲端服務 FedRAMP 授權和 Microsoft FedRAMP 稽核報告。 若要接收其他 FedRAMP 報告，請傳送電子郵件給 Azure 聯邦文件。

有許多路徑可協助您取得 FedRAMP 授權。 您可以重複使用現有的 Azure 授權套件和此處的指引，以大幅減少取得 ATO 或 P-ATO 所需的時間和精力。

本指南的涵蓋範圍

FedRAMP 高基準是由 421 控制項和來自 NIST 800-53 安全性控制目錄修訂 4 的控制項增強功能所組成。 在適用的情況下，我們隨附了來自 800-53 修訂 5 的資訊。 本文集和涵蓋了這些控制項的子集，其與身分識別有關聯，也需要您進行設定。

我們會提供規範性指導方針，以協助您以合規方式在 Microsoft Entra ID 中處理您負責設定的控制項。 若要完全符合某些身分識別控制方面的需求，您可能需要使用其他系統。 其他系統可能會包含安全性資訊和事件管理工具，例如 Microsoft Sentinel。 如果您使用 Microsoft Entra ID 以外的 Azure 服務，則會有其他您需要考慮的控制項，而且您可以使用 Azure 已有的功能來符合控制項需求。

以下是列出 FedRAMP 資源的清單：

• 聯邦風險與授權管理計畫

• FedRAMP 安全性評量框架

• 關於 FedRAMP 授權的機構指南

• 在 Microsoft 中管理雲端的合規性

• Microsoft Government 雲端服務

• Azure 合規性供應項目

• FedRAMP High Azure 原則內建計畫定義

• Microsoft Purview 合規性入口網站

• Microsoft Purview 合規性管理員

下一步

設定存取控制

設定身分識別和驗證控制

設定其他控制項