分享方式:


設定識別與驗證控制項,以符合具有 Microsoft Entra ID 之 FedRAMP 高影響層級

識別與驗證是達到聯邦風險與授權管理計畫 (FedRAMP) 高影響層級之關鍵。

下列控制項和識別與驗證 (IA) 系列之控制項增強功能,可能需要在 Microsoft Entra 租用戶中進行設定。

控制系列 描述
IA-2 識別與驗證 (組織使用者)
IA-3 裝置識別與驗證
IA-4 識別碼管理
IA-5 驗證器管理
IA-6 驗證器意見反應
IA-7 密碼編譯模組驗證
IA-8 識別與驗證 (非組織使用者)

下表中的每個資料列都提供規範性指導方針,可協助您針對控制項或控制項增強功能開發組織對任何共同責任的回應。

設定

FedRAMP 控制項識別碼與描述 Microsoft Entra 指導與建議
IA-2 使用者識別與驗證
資訊系統以唯一方式識別及驗證組織使用者 (或代替組織使用者處理)。
唯一識別及驗證使用者或使用者進行流程。

Microsoft Entra ID 可唯一直接識別使用者與服務主體物件。 Microsoft Entra ID 提供多個驗證方法,且您可設定符合美國國家標準暨技術研究院 (NIST) 驗證保證等級 (AAL) 3 之方法。

識別碼

  • 使用者:在 Microsoft Graph:ID 屬性中與使用者合作
  • 服務主體:ServicePrincipal 資源類型:識別碼屬性

    驗證與多重要素驗證

  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級
  • IA-2(1)
    資訊系統針對特殊權限帳戶的網路存取實作多重要素驗證。

    IA-2(3)
    資訊系統針對特殊權限帳戶的本機存取實作多重要素驗證。
    所有存取特殊權限帳戶之多重要素驗證。

    設定下列元素,取得完整的解決方案,並確保具有特殊權限帳戶的所有存取皆需要多重要素驗證。

    設定條件式存取原則,要求所有使用者進行多重要素驗證。
    在使用之前,先實作 Microsoft Entra Privileged Identity Management,以要求啟用特殊權限角色指派之多重要素驗證。

    啟用 Privileged Identity Management 需求之後,就無法在沒有網路存取的情況下啟用特殊權限帳戶,因此本機存取絕不會有權限。

    多重要素驗證與 Privileged Identity Management

  • 條件式存取:需要所有使用者的多重要素驗證
  • 在 Privileged Identity Management 中設定 Microsoft Entra 角色設定
  • IA-2(2)
    資訊系統針對非特殊權限帳戶的網路存取實作多重要素驗證。

    IA-2(4)
    資訊系統針對非特殊權限帳戶的本機存取實作多重要素驗證。
    對所有非特殊權限帳戶之存取實行多重要素驗證

    將下列元素設定為整體解決方案,確保對非特殊權限帳戶之所有存取皆需要 MFA。

    設定條件式存取原則,要求所有使用者使用 MFA。
    透過 MDM (如Microsoft Intune)、Microsoft 端點管理員 (MEM) 或群組原則物件 (GPO) 設定裝置管理原則,強制使用特定的驗證方法。
    設定條件式存取原則,以強制裝置合規性。

    Microsoft 建議使用多重要素密碼編譯硬體驗證器 (例如,FIDO2 安全性金鑰、Windows Hello 企業版 (含硬體 TPM) 或智慧卡),以達到 AAL3。 如果您的組織是以雲端為基礎,我們建議使用 FIDO2 安全性金鑰或 Windows Hello 企業版。

    Windows Hello 企業版尚未在所需的 FIPS 140 安全層級進行驗證,因此這類聯邦客戶必須先進行風險評量與評估,才可將其視為 AAL3。 如需有關 Windows Hello 企業版 FIPS 140 驗證的詳細資訊,請參閱 Microsoft NIST AALs

    請參閱以下有關 MDM 原則的指導,根據驗證方法稍有不同。

    智慧卡 / Windows Hello 企業版
    無密碼原則 - 需要 Windows Hello 企業版或智慧卡
    [裝置需要標記為合規]
    條件式存取 - 要求所有使用者使用 MFA

    僅限混合式
    無密碼原則 - 設定使用者帳戶成不允許密碼驗證

    僅限智慧卡
    建立規則傳送驗證方法相容宣告
    使用驗證原則

    FIDO2 安全密钥
    無密碼原則 - 排除密碼認證提供者
    [裝置需要標記為合規]
    條件式存取 - 要求所有使用者使用 MFA

    驗證方法
    Microsoft Entra 無密碼登入 (預覽) | FIDO2 安全性金鑰
    無密碼安全性金鑰登入 Windows - Microsoft Entra ID
    ADFS:使用 Microsoft Entra ID 和 Office 365 進行憑證驗證
    智慧卡登入在 Windows (Windows 10) 中的運作方式
    Windows Hello 企業版總覽 (Windows 10)

    其他資源:
    原則 CSP - Windows 用戶端管理
    使用 Microsoft Entra ID 計劃無密碼驗證部署

    IA-2(5)
    採用群組驗證器時,組織要求人員以個人驗證器進行驗證。
    當多位使用者存取共用或群組帳戶密碼時,要求每位使用者先使用個別驗證器進行驗證。

    每位使用者皆使用個別帳戶。 如果需要共用帳戶,Microsoft Entra ID 可允許將多個驗證器繫結至帳戶,讓每位使用者都有個別的驗證器。

    資源

  • 運作方式:Microsoft Entra 多重要素驗證
  • 管理 Microsoft Entra 多重要素驗證的驗證方法
  • IA-2(8)
    資訊系統針對授權帳戶的網路存取實作防重新執行驗證。
    針對特殊權限與非特殊權限帳戶之網路存取,實作防止重新執行之驗證機制。

    設定條件式存取原則,要求所有使用者進行多重要素驗證。 所有驗證保證層級 2 和 3 的 Microsoft Entra 驗證方法,都使用 nonce 或挑戰,並且能抵抗重新執行攻擊。

    參考資料

  • 條件式存取:需要所有使用者的多重要素驗證
  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級
  • IA-2(11)
    資訊系統針對授權帳戶和非授權帳戶的網路存取實作多重要素驗證,其中一個要素需由不同於取得存取權的裝置提供,且該裝置符合 [FedRAMP 指派:FIPS 140-2、NIAP 認證,或 NSA 核准*]。

    *美國國家資訊安全保障合作組織 (NIAP)
    其他 FedRAMP 需求和指導:
    指指導: PIV = 個別裝置。 請參閱 NIST SP 800-157 衍生個人身分識別驗證 (PIV) 認證的指引。 FIPS 140-2 係指透過密碼模組認證計畫 (CMVP) 進行驗證。
    執行 Microsoft Entra 多重要素驗證,以從遠端存取客戶部署的資源,其中一個因素是由具有存取權系統之不同裝置提供,該裝置符合 FIPS-140-2、NIAP 認證或 NSA 核准。

    請參閱 IA-02 (1-4) 的指導方針。 當 AAL3 滿足個別裝置需求時,應考慮的 Microsoft Entra 驗證方法如下:

    FIDO2 安全性金鑰

  • 具有硬體 TPM 的 Windows Hello 企業版 (TPM 是由 NIST 800-63B 第 5.1.7.1 節,辨識為有效的「您有的項目」因素。)
  • 智慧卡

    參考資料

  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級
  • NIST 800-63B 第5.1.7.1 節
  • **IA-2(12)*
    資訊系統認可並以電子方式驗證個人識別驗證 (PIV) 認證。

    IA-2 (12) 其他 FedRAMP 需求和指導:
    指導:包括通用存取卡 (CAC),也就是 PIV/FIPS 201/HSPD-12 的 DoD 技術實作。
    接受並驗證個人身分識別驗證 (PIV) 之認證。 如果客戶未部署 PIV 認證,則此控制項不適用。

    使用 Active Directory 同盟服務 (AD FS) 設定同盟驗證,以接受 PIV (憑證驗證) 作為主要與多重要素驗證方法,並在使用 PIV 時發佈多重要素驗證 (MultipleAuthN) 宣告。 在 Microsoft Entra ID 中設定同盟網域,並將 federatedIdpMfaBehavior 設定為 enforceMfaByFederatedIdp,或將 SupportsMfa 設定為 $True,以將源於 Microsoft Entra ID 的多重要素驗證要求導向至 Active Directory 同盟服務。 或者,您可以使用 PIV 於 Windows 裝置上登入,並稍後使用整合式 Windows 驗證以及無縫單一登入。 當用於驗證時,會預設驗證 Windows 伺服器與用戶端之憑證。

    資源

  • 何謂 Microsoft Entra ID 的同盟?
  • 設定 AD FS 用於使用者憑證驗證
  • 使用驗證原則
  • 使用 Microsoft Entra 多重要素驗證與 AD FS 保護資源
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect:無縫單一登入
  • IA-3 裝置識別與驗證
    資訊系統先以唯一方式識別並驗證 [指派:組織定義的特定裝置和/或裝置類型],再建立 [選取項目 (一個或多個):本機;遠端;網路] 連線。
    建立連線之前,先實作裝置識別與驗證。

    設定 Microsoft Entra ID 以識別和驗證 Microsoft Entra 註冊、Microsoft Entra 加入和 Microsoft Entra 混合式加入裝置。

    資源

  • 什麼是裝置身分識別?
  • 規劃 Microsoft Entra 裝置部署
  • 透過條件式存取要求必須從受控裝置存取雲端應用程式
  • IA-04 識別碼管理
    組織會依下列方式管理使用者和裝置的資訊系統識別碼:
    (a.)從 [FedRAMP 指派至少,ISSO (或組織內的類似角色)] 接收授權,以指派個人、群組、角色或裝置識別碼;
    (b.)選取識別個人、群組、角色或裝置的識別碼;
    (c.)將識別碼指派給預定的個人、群組、角色或裝置;
    (d.)防止在 [FedRAMP 指派:至少兩 (2) 年] 內重複使用識別碼;以及
    (e.)在 [FedRAMP 指派:三十五 (35) 天 (請參閱需求和指南)] 後停用識別碼
    IA-4e 其他 FedRAMP 需求和指導:
    需求:服務提供者會定義裝置識別碼非使用狀態的時間週期。
    指導:針對 DoD 雲端,請參閱 DoD 雲端網站,以了解超出 FedRAMP 的特定 DoD 需求。

    IA-4(4)
    該組織透過將單獨個人標識為 [FedRAMP 指派:約聘人員;外國公民] 來管理個別識別碼。
    若非使用狀態持續 35 天,將停用帳戶識別碼,且之後兩年皆無法使用。 藉由唯一識別每位單獨個人(例如,約聘人員與外國公民) 管理個別識別碼。

    根據 AC-02 中定義之現有組織原則,在 Microsoft Entra ID 中指派及管理個別帳戶識別碼與狀態。 遵循 AC-02 (3) 之指導方針,於 35 天非使用狀態後,自動停用使用者與裝置帳戶。 確保組織原則會將所有停用狀態之帳戶維持該狀態至少兩年之時間。 在這段時間之後,您可以將之移除。

    判斷是否閒置

  • 管理 Microsoft Entra ID 中的非使用中使用者帳戶
  • 在 Microsoft Entra ID 中管理過時的裝置
  • 請參閱 AC-02 指導方針
  • IA-5 驗證器管理
    組織會透過下列方式管理資訊系統驗證器:
    (a.)藉由在初始驗證器發佈時,驗證接收驗證器的個人、群組、角色或裝置的識別;
    (b.)為組織定義的驗證器建立初始驗證器內容;
    (c.)確保驗證器有足夠的機制強度供其預定使用;
    (d.)建立並實作初始驗證器發佈、驗證器遺失/遭竊或損毀,以及撤銷驗證器的管理程序;
    (e.)在資訊系統安裝之前變更驗證器的預設內容;
    (f.)建立驗證器的最低和最大存留期限制和重複使用條件;
    (g.)變更/重新整理驗證器 [指派:依驗證器類型的組織定義時間週期]。
    (h.)防範未經授權揭露和修改驗證器內容;
    (i.)要求人員採取特定的安全性預防措施 (和採取裝置手段) 來保護驗證器證器;和
    (j.)當群組/角色帳戶的成員資格發生變化時,請變更這些帳戶的驗證器。

    IA-5 其他 FedRAMP 需求和指導:
    需求:驗證器必須符合 NIST SP 800-63-3 數位身分識別指引 IAL、AAL、FAL 層級 3 的規範。 連結 https://pages.nist.gov/800-63-3
    設定並管理資訊系統驗證器。

    Microsoft Entra ID 支援各種驗證方法。 您可以使用現有的組織原則進行管理。 請參閱 IA-02 (1-4) 中驗證器選取範圍之指導方針。 讓使用者合併註冊,以進行 SSPR 與 Microsoft Entra 多重要素驗證,並要求使用者至少註冊兩個可接受之多重要素驗證方法,以輔助自我補救。 您可以透過驗證方法 API,隨時撤銷使用者設定之驗證器。

    驗證器強度/保護驗證器內容

  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級

    驗證方法與合併註冊

  • Microsoft Entra ID 中有哪些可用的驗證和驗證方法?
  • SSPR 與 Microsoft Entra 多重要素驗證之合併註冊

    驗證器撤銷

  • Microsoft Entra 驗證方法 API 概觀
  • IA-5(1)
    資訊系統針對密碼型驗證:
    (a.)強制執行 [指派:組織定義的大小寫區分、字元數、混合使用大寫字母、小寫字母、數字和特殊字元需求,包括每一類型最低需求] 的最低密碼複雜性;
    (b.)建立新密碼時,至少強制執行下列變更字元數目:[FedRAMP 指派:至少百分之五十 (50%)];
    (c.)僅儲存和傳輸使用密碼編譯保護的密碼;
    (d.)強制執行 [指派:組織定義的最少和最多存留期數字] 的密碼最少和最多存留期限制;
    (e.)** 禁止對 [FedRAMP 指派:二十四 (24)] 世代重複使用密碼;和
    (f.)允許暫時密碼登入系統的使用,並立即變更永久密碼。

    IA-5 (1) a 和 b 其他 FedRAMP 需求和指導:
    指導:如果密碼原則符合 NIST SP 800-63B 記憶祕密 (第 5.1.1 節)的指導,則會將控制項視為符合規範。
    實作以密碼為基礎之驗證需求。

    每個 NIST SP 800-63B 第5.1.1 節:維護常用、預期或遭盜用之密碼清單。

    使用 Microsoft Entra 密碼保護時,會自動將預設全域禁用密碼清單,套用至 Microsoft Entra 租用戶中的所有使用者。 為支援您的商務與安全性需求,您可以在自訂禁用密碼清單中定義項目。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,並強制使用增強式密碼。

    我們強烈鼓勵採用無密碼策略。 此控制項僅適用於密碼驗證器,因此若將密碼視為可用驗證器並將之移除,會讓此控制項變為不適用。

    NIST 參考文件

  • NIST 特殊發行集 800-63B
  • NIST 特殊發行集800-53 修訂版 5 -IA-5-控制項增強功能 (1)

    資源

  • 使用 Microsoft Entra 密碼保護來消除不正確的密碼
  • IA-5(2)
    資訊系統針對 PKI 型驗證:
    (a.)建構和驗證憑證路徑到認可的信賴起點 (包括檢查憑證狀態資訊) 以驗證憑證;
    (b.)強制執行對應私密金鑰的授權存取權;
    (c.)將已驗證的身分識別對應至個人或群組的帳戶;和
    (d.)實作本機快取撤銷資料,以在無法透過網路存取撤銷資訊時支援路徑探索和驗證。
    實作以 PKI 為基礎之驗證需求。

    透過 AD FS 同盟 Microsoft Entra ID,並實作以 PKI 為基礎之驗證。 依預設,AD FS 會驗證憑證、在本機快取撤銷資料,並將使用者對應至 Active Directory 中的已驗證身分識別。

    資源

  • 何謂 Microsoft Entra ID 的同盟?
  • 設定 AD FS 用於使用者憑證驗證
  • IA-5(4)
    組織使用自動化工具,判斷密碼驗證器強度是否足以滿足 [FedRAMP 指派:IA-5 (1) 控制項增強 (H) A 部分中識別的複雜性]。

    IA-5(4) 其他 FedRAMP 需求和指導:
    指導:如果未使用在建立時強制執行密碼驗證器強度的自動化機制,則必須使用自動化機制來稽核建立的密碼驗證器的強度。
    採用自動化工具驗證密碼強度需求。

    Microsoft Entra ID 實作自動化機制,以在建立時強制執行密碼驗證器強度。 此自動化機制也可擴充,以強制執行內部部署 Active Directory 之密碼驗證器強度。 NIST 800-53 之修訂 5 已撤銷 IA-04(4),並將需求併入 IA-5(1)。

    資源

  • 使用 Microsoft Entra 密碼保護來消除不正確的密碼
  • 針對 Active Directory Domain Services 強制執行 Microsoft Entra 密碼保護
  • NIST 特殊發行集800-53 修訂版 5 - IA-5 - 控制項增強功能 (4)
  • IA-5(6)
    組織保護驗證器,使其對應於使用驗證器允許存取的資訊安全性類別。
    依據 FedRAMP 高影響層級中的定義,保護驗證器。

    如需 Microsoft Entra ID 如何保護驗證器之詳細資訊,請參閱 Microsoft Entra 資料安全性考量

    IA-05(7)
    組織確保未加密的靜態驗證器未內嵌在應用程式或存取指令碼中,或儲存在功能鍵。
    請確定未加密之靜態驗證器 (如密碼) 不會內嵌在應用程式中,也不會存取指令碼或儲存於函式金鑰上。

    實作受控身分識別或服務主體物件 (僅以憑證設定)。

    資源

  • 什麼是 Azure 資源受控識別?
  • 在入口網站中建立 Microsoft Entra 應用程式和服務主體
  • IA-5(8)
    組織實作 [FedRAMP 指派:不同系統上的不同驗證器] 以管理因擁有多個資訊系統帳戶的人員而洩漏資訊的風險。
    當個人擁有多個資訊系統之帳戶時,請實作安全性保護措施。

    若要實作單一登入,請將所有應用程式連接至 Microsoft Entra ID,而非在多個資訊系統上擁有個別帳戶。

    什麼是Azure 單一登入?

    IA-5(11)
    資訊系統針對硬體權杖型驗證採用滿足 [指派:組織定義的權杖品質需求] 的機制。
    需要 FedRAMP 高影響層級所需之硬體權杖品質需求。

    需要使用符合 AAL3 之硬體權杖。

    使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級

    IA-5(13)
    資訊系統在 [指派:組織定義的時間週期] 後禁止使用快取驗證器。
    快取驗證器強制到期。

    當網路無法使用時,會透過快取的驗證器驗證本機電腦。 若要限制使用快取之驗證器,請設定 Windows 裝置並將之停用。 若此動作不可行或不切實際,請使用下列補償控制項:

    使用 Office 應用程式之強制應用程式限制,以設定條件式存取工作階段控制項。
    為其他應用程式使用應用程式控制項,以設定條件式存取。

    資源

  • 先前登入快取之互動式登入編號
  • 條件式存取原則中的工作階段控制項:應用程式強制執行之限制
  • 條件式存取原則中的工作階段控制項:條件式存取應用程式控制項
  • IA-6 驗證器意見反應
    資訊系統會遮蔽驗證過程中驗證資訊的意見回應,以避免可能遭到未經授權者利用。
    在驗證過程中,混淆驗證意見反應資訊。

    依預設,Microsoft Entra ID 會遮蔽所有驗證者的意見反應。

    IA-7 密碼編譯模組驗證
    資訊系統會實作密碼編譯模組驗證機制,其符合這類驗證適用之聯邦法律、行政命令、指令、原則、規定、標準和指導方針需求。
    針對符合適用聯邦法律之密碼編譯模組,實作驗證機制。

    FedRAMP 高影響層級需要 AAL3 驗證器。 在 AAL3 Microsoft Entra ID 所支援的所有驗證器都會視需要,為要驗證模組之操作員存取提供機制。 例如,在使用硬體 TPM 的Windows Hello 企業版部署中,設定 TPM 擁有者授權之層級。

    資源

  • 如需詳細資訊,請參閱 IA-02 (2 和 4)。
  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級
  • TPM 群組原則設定
  • IA-8 識別與驗證 (非組織使用者)
    資訊系統以唯一方式識別及驗證非組織使用者 (或代替非組織使用者處理)。
    資訊系統以唯一方式識別並驗證非組織使用者 (或為非組織使用者處理行動)。

    Microsoft Entra ID 使用聯邦身分識別、認證與存取管理 (FICAM) 核准之通訊協定,唯一識別並驗證位於組織租用戶或外部目錄中的非組織使用者。

    資源

  • Microsoft Entra ID 中的 B2B 共同作業是什麼?
  • 直接與 B2B 識別提供者同盟
  • B2B 來賓使用者之屬性
  • IA-8(1)
    資訊系統認可並以電子方式驗證來自其他聯邦機構的個人識別驗證 (PIV) 認證。

    IA-8(4)
    資訊系統符合 FICAM 發行的設定檔。
    接受並確認其他聯邦機關所發出之 PIV 認證。 符合 FICAM 所發出之設定檔。

    將 Microsoft Entra ID 設定為透過同盟 (OIDC、SAML),或透過整合式 Windows 驗證於本機接受 PIV 認證。

    資源

  • 何謂 Microsoft Entra ID 的同盟?
  • 設定 AD FS 用於使用者憑證驗證
  • Microsoft Entra ID 中的 B2B 共同作業是什麼?
  • 直接與 B2B 識別提供者同盟
  • IA-8(2)
    資訊系統只認可 FICAM 核准的協力廠商認證。
    僅接受 FICAM 核准之認證。

    Microsoft Entra ID 支援 NIST AALs 1、2 和 3 之驗證器。 限制使用與被存取系統之安全性類別接近之驗證器。

    Microsoft Entra ID 支援各種不同之驗證方法。

    資源

  • Microsoft Entra ID 中有哪些可用的驗證和驗證方法?
  • Microsoft Entra 驗證方法原則 API 概觀
  • 使用 Microsoft 身分識別平台,實現 NIST 驗證器保證等級                                     
  • 下一步