設定 CMMC 等級 1 控制
Microsoft Entra ID 符合每個網路安全成熟度模型認證 (CMMC) 層級中的身分識別相關實務需求。 為了符合 CMMC 中的需求,由公司負責執行工作,並代表美國國防部 (DoD) 完成其他設定或流程。 在 CMMC 層級 1 中,有三個網域具有一或多個與身分識別相關的做法:
- 存取控制 (AC)
- 識別與驗證 (IA)
- 系統與資訊完整性 (SI)
深入了解:
- DoD CMMC 網站 - 國防部採購及維護次長辦公室資安成熟度模型認證
- Microsoft 下載中心 - 適用於 CMMC 第 3 級的 Microsoft Product Placemat (預覽)
此內容的其餘部分是依網域和相關聯的做法編排。 對於每個網域,都有一個包含內容連結的資料表,可提供完成實作的逐步指引。
存取控制網域
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| AC.L1-3.1.1 實務聲明:限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 目標: 判斷是否: [a.] 已識別授權的使用者; [b.] 識別代表授權使用者處理的程序; [c.] 識別獲授權連接到系統的裝置 (和其他系統); [d.] 系統存取僅限於授權的使用者; [e.] 系統存取僅限於代表授權使用者處理的程序;以及 [f.] 系統存取僅限於授權的裝置 (包括其他系統)。 |
您必須負責設定 Microsoft Entra 帳戶,此帳戶是從外部 HR 系統、內部部署 Active Directory 或直接在雲端設定。 您可以設定條件式存取,只授與已知 (已註冊/受控) 裝置的存取權。 此外,在授與應用程式授權時,採取最低授權的概念。 盡可能使用委派授權。 設定使用者 設定裝置 設定應用程式 條件式存取 |
| AC.L1-3.1.2 實務聲明:限制資訊系統存取允許授權使用者執行的交易類型和功能。 目標: 判斷是否: [a.] 定義授權使用者允許執行的交易和函式類型;以及 [b.] 系統存取僅限於已定義的交易類型和授權使用者函數。 |
您必須負責設定存取控制,例如具有內建或自定義角色的角色型存取控制 (RBAC)。 使用可指派角色的群組管理對於需要相同存取權的多個使用者所進行的角色指派。 使用預設或自訂安全性屬性,設定屬性型存取控制 (ABAC)。 目標是以 Microsoft Entra ID 細微控制受保護資源的存取。 設定 RBAC 設定 ABAC 設定角色指派的群組 |
| AC.L1-3.1.20 實務聲明:驗證及控制/限制外部資訊系統的連接和使用。 目標: 判斷是否: [a.] 識別與外部系統進行的連線; [b.] 識別外部系統的使用; [c.] 驗證與外部系統進行的連線; [d.] 驗證外部系統的使用; [e.] 與外部系統進行的連線受到控制或限制;以及 [f.] 外部系統的使用受到控制或限制。 |
您必須負責使用裝置控制和/或網路位置來設定條件式存取原則,以控制和限制外部系統的連線和使用。 針對記錄的使用者確認使用外部系統進行存取時,設定使用規定 (TOU)。 將條件式存取設定為必要 使用條件式存取封鎖存取 設定使用規定 |
| AC.L1-3.1.22 實務聲明:在可公開存取的資訊系統上張貼或處理的控制項資訊。 目標: 判斷是否: [a.] 已識別獲授權在可公開存取的系統張貼或處理資訊的個人; [b.] 確保不會在可公開存取的系統上張貼或處理 FCI 的程序; [c.] 檢閱程序在將任何內容張貼到可公開存取的系統之前就已準備就緒;以及 [d.] 檢閱可公開存取的系統上的內容,以確保其中不包含聯邦合約資訊 (FCI)。 |
您必須負責設定 Privileged Identity Management (PIM) 管理可公開存取張貼資訊的系統所需的存取權。 在 PIM 中指派角色之前,需要依據理由核准。 針對張貼可公開存取資訊的系統設定使用規定 (TOU),以記錄對於張貼可公開存取資訊的條款及條件進行的認可。 規劃 PIM 部署 設定使用規定 |
識別與驗證 (IA) 網域
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| IA.L1-3.5.1 實務聲明:識別資訊系統使用者、代表使用者或裝置執行的程序。 目標: 判斷是否: [a.] 已識別系統使用者; [b.] 識別代表使用者處理的程序;以及 [c.] 識別存取系統的裝置。 |
Microsoft Entra ID 可透過個別目錄物件上的 ID 屬性唯一識別使用者、程序 (服務主體/工作負載身分識別)和 裝置。 您可以使用下列連結來篩選記錄檔,以協助評估。 使用下列參考來符合評估目標。 依使用者屬性篩選記錄 依服務屬性篩選記錄 依裝置屬性篩選記錄 |
| IA.L1-3.5.2 實務聲明:驗證或確認這些使用者、流程或裝置的身分識別,做為允許存取組織性資訊系統的必要條件。 目標: 判斷是否: [a.] 每個使用者的身分識別已經過驗證或確認,做為系統存取的必要條件; [b.] 代表使用者執行的每個程序所用的身分識別會經過驗證或確認,做為系統存取的必要條件;以及 [c.] 每個存取或連線到系統的裝置身分識別都會經過驗證或確認,做為系統存取的必要條件。 |
Microsoft Entra ID 會唯一驗證或確認每個使用者、代表使用者處理或裝置,做為系統存取的必要條件。 使用下列參考來符合評估目標。 設定使用者帳戶 設定 Microsoft Entra ID 以符合 NIST 驗證器保證等級 設定服務主體帳戶 設定裝置帳戶 |
系統與資訊完整性 (SI) 網域
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明 | Microsoft Entra 指導和建議 |
|---|---|
| SI.L1-3.14.1:及時識別、報告及修正資訊和資訊系統缺陷。 SI.L1-3.14.2:在組織資訊系統適當的位置提供保護,防止惡意程式碼。 SI.L1-3.14.4:在提供新版本時,立即更新惡意程式碼保護機制。 SI.L1-3.14.5:在下載、開啟或執行檔案時,定期掃描資訊系統,並即時掃描來自外部來源的檔案。 |
舊版受控裝置的合併指導 設定條件式存取,要求 Microsoft Entra 混合式加入裝置。 對於已加入內部部署 AD 的裝置,假設已使用管理解決方案 (例如 Configuration Manager 或群組原則 (GP)) 強制控制這些裝置。 因為 Microsoft Entra ID 沒有任何方法可判斷裝置是否已套用任何方法,所以需要已加入混合式 Microsoft Entra 的裝置是需要受控裝置的相對較弱機制。 如果這類裝置也是已加入混合式 Microsoft Entra 的裝置,則由系統管理員判斷已加入網域的內部部署裝置所套用的方法是否足以造就受控裝置。 雲端受控 (共同管理) 裝置的合併指導 設定條件式存取,要求裝置標記為符合規範,這是要求受控裝置的最強形式。 此選項需要具有 Microsoft Entra ID 的裝置註冊,並指出 Intune 或透過 Microsoft Entra 整合管理 Windows 10 裝置的第三方行動裝置管理 (MDM) 系統相容。 |