設定身分識別存取控制以符合 FedRAMP High 影響層級

存取控制是實現聯邦風險與授權管理計畫 (FedRAMP) 高影響層級以運作的主要部分。

下列控制項清單和存取控制 (AC) 系列中的控制項增強功能可能需要在 Microsoft Entra 租用戶中進行設定。

控制系列	描述
AC-2	帳戶管理
AC-6	最低權限
AC-7	不成功的登入嘗試
AC-8	系統使用通知
AC-10	並行工作階段控制項
AC-11	工作階段鎖定
AC-12	工作階段終止
AC-20	使用外部資訊系統

下表中的每個資料列都提供規範性指導方針，可協助您針對控制項或控制項增強功能開發組織對任何共同責任的回應。

設定

FedRAMP 控制項識別碼與描述	Microsoft Entra 指導和建議
AC-2 帳戶管理 組織 (a.)找出並選取下列類型的資訊系統帳戶，以支援組織的任務/商務函式：[指派：組織定義的資訊系統帳戶類型]； (b.)指派資訊系統帳戶的帳戶管理員； (c.)建立群組和角色成員資格的條件； (d.)針對每個帳戶指定資訊系統的授權使用者、群組與角色成員資格和存取授權 (也就是權限) 和其他屬性 (視需要)； (e.)需要 [指派：組織定義的人員或角色] 的核准，才能要求建立資訊系統帳戶； (f.)按照 [指派：組織定義的程序或條件] 來建立、啟用、修改、停用並移除資訊系統帳戶； (g.)監視資訊系統帳戶的使用； (h.)通知帳戶管理員： (1.)不再需要帳戶時； (2.)當使用者終止或轉移時；以及 (3.)當個別資訊系統使用方式或必要知悉變更時； (i.)根據下列項目授權存取資訊系統： (1.)有效的存取授權； (2.)預定的系統使用方式；以及 (3.)組織或相關任務/商務功能所需的其他屬性； (j.)檢閱帳戶是否符合帳戶管理需求 [FedRAMP 指派：若為特殊權限存取，每個月檢閱一次；若為非特殊權限存取，每六 (6) 個月檢閱一次]；和 (k.)當個人從群組中移除時，建立程序來重新發出共用/群組帳戶認證 (如有部署)。	針對客戶控制的帳戶實作帳戶生命週期管理。 監視帳戶的使用，並將帳戶生命週期事件通知帳戶管理員。 檢閱帳戶是否符合帳戶管理需求 (若為特殊權限存取，每個月檢閱一次；若為非特殊權限存取，每六個月檢閱一次)。 使用 Microsoft Entra ID 從外部 HR 系統、內部部署 Active Directory 或直接在雲端中佈建帳戶。 所有帳戶生命週期作業都會在 Microsoft Entra 稽核記錄中進行稽核。 您可以使用安全性資訊與事件管理 (SIEM) 解決方案 (例如 Microsoft Sentinel) 來收集和分析記錄。 或者，您可以使用 Azure 事件中樞來整合記錄與協力廠商 SIEM 解決方案，以啟用監視和通知。 使用 Microsoft Entra 權利管理搭配存取權檢閱，以確保帳戶的合規性狀態。 佈建帳戶 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 Microsoft Entra Connect 同步：了解和自訂同步處理 使用 Microsoft Entra ID 新增或刪除使用者 監視帳戶 Microsoft Entra 系統管理中心中的稽核活動報告 將 Microsoft Entra 資料連線至 Microsoft Sentinel 教學課程：將記錄串流到 Azure 事件中樞 檢閱帳戶 什麼是 Microsoft Entra 權利管理？ 在 Microsoft entra 權利管理中建立存取套件的存取權檢閱 在 Microsoft Entra 權利管理中檢閱存取套件的存取權 資源 Microsoft Entra ID 中的系統管理員角色權限 Microsoft Entra ID 中的動態群組
AC-2(1) 組織會使用自動化機制來支援管理資訊系統帳戶。	採用自動化機制來支援客戶受控帳戶的管理。 從外部 HR 系統或內部部署 Active Directory 設定客戶受控帳戶的自動佈建。 針對支援應用程式佈建的應用程式，請設定 Microsoft Entra ID，以在使用者需要存取的雲端軟體即解決方案 (SaaS) 應用程式中自動建立使用者身分識別和角色。 除了建立使用者識別之外，自動佈建還包括在狀態或角色變更時，維護及移除使用者識別。 若要輕鬆監視帳戶使用情形，您可以將 Microsoft Entra ID Protection 記錄 (其中顯示有風險的使用者、有風險的登入和風險偵測) 和稽核記錄直接串流至 Microsoft Sentinel 或事件中樞。 佈建 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 Microsoft Entra Connect 同步：了解和自訂同步處理 什麼是 Microsoft Entra ID 中的自動化 SaaS 應用程式使用者佈建？ 與 Microsoft Entra ID 搭配使用的 SaaS 應用程式整合教學課程 監視與稽核 調查風險 Microsoft Entra 系統管理中心中的稽核活動報告 什麼是 Microsoft Sentinel？ Microsoft Sentinel：從 Microsoft Entra ID 與資料連線 教學課程：將 Microsoft Entra 記錄串流到 Azure 事件中樞
AC-2(2) 在 [FedRAMP 指派：自上次使用後 24 小時] 後，資訊系統會自動 [FedRAMP 選擇：停用] 臨時和緊急帳戶。 AC-02(3) 資訊系統會在 [FedRAMP 指派：使用者帳戶的 35 天] 之後自動停用非使用中的帳戶。 AC-2 (3) 其他 FedRAMP 需求和指導： 需求： 服務提供者會定義非使用者帳戶 (例如，與裝置相關聯的帳戶) 的時間週期。 JAB/AO 會核准並接受時段。 使用者管理是服務的一項功能，應提供消費者使用者活動報告。	採用自動化機制，以支援在上次使用 24 小時後，自動移除或停用暫時和緊急帳戶，以及在閒置 35 天後自動移除或停用所有客戶受控帳戶。 使用 Microsoft Graph 和 Microsoft Graph PowerShell 來實作帳戶管理自動化。 使用 Microsoft Graph 來監視登入活動，以及使用 Microsoft Graph PowerShell 在所需的時間範圍內對帳戶採取動作。 判斷是否閒置 管理 Microsoft Entra ID 中的非使用中使用者帳戶 在 Microsoft Entra ID 中管理過時的裝置 移除或停用帳戶 使用 Microsoft Graph 中的使用者 取得使用者 更新使用者 刪除使用者 使用 Microsoft Graph 中的裝置 取得裝置 更新裝置 刪除裝置 請參閱 Microsoft Graph PowerShell 文件 Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) 資訊系統會自動稽核帳戶建立、修改、啟用、停用及移除動作和通知 [FedRAMP 指派：組織和/或服務提供者系統擁有者]。	針對管理客戶受控帳戶的生命週期，實作自動化稽核和通知系統。 所有帳戶生命週期作業 (例如帳戶建立、修改、啟用、停用和移除動作) 都會在 Azure 稽核記錄內進行稽核。 您可以將記錄直接串流至 Microsoft Sentinel 或事件中樞，以協助通知。 Audit Microsoft Entra 系統管理中心中的稽核活動報告 Microsoft Sentinel：從 Microsoft Entra ID 與資料連線 通知 什麼是 Microsoft Sentinel？ 教學課程：將 Microsoft Entra 記錄串流到 Azure 事件中樞
AC-2(5) 該組織要求使用者在 [FedRAMP 指派：非活動預計超過十五 (15) 分鐘] 時登出。 AC-2 (5) 其他 FedRAMP 需求和指導： 指引：應該使用比 AC-12 短的時間範圍	在閒置 15 分鐘後實作裝置登出。 透過使用限制存取符合規範裝置的條件式存取原則，以實作裝置鎖定。 在裝置上設定原則設定，以利用行動裝置管理 (MDM) 解決方案 (例如 Intune)，在作業系統層級強制執行裝置鎖定。 也可以在混合式部署中考慮端點管理員或群組原則物件。 若為非受控裝置，請設定 [登入頻率] 設定，以強制使用者重新驗證。 條件式存取 [裝置需要標記為合規] 使用者登入頻率 MDM 原則 設定裝置最多閒置幾分鐘後鎖定螢幕，並需要密碼來解除鎖定 (Android、iOS、Windows 10)。
AC-2(7) 組織： (a.)依據將允許的資訊系統存取權和權限組織到角色的角色型存取配置，來建立並管理具特殊權限的使用者帳戶； (b) 監測特殊權限角色指派；以及 (c) 當特殊權限角色指派不再適用時，接受 [FedRAMP 指派：在組織指定的時間範圍內停用/撤銷存取權]。	針對客戶受控帳戶遵循角色型存取配置，來管理和監視特殊權限角色指派。 不再適用時，請停用或撤銷帳戶的權限存取。 使用 Microsoft Entra 中特殊權限角色的存取權檢閱來實作 Microsoft Entra Privileged Identity Management，以監視角色指派，並在不再適用時移除角色指派。 您可以將稽核記錄直接串流至 Microsoft Sentinel 或事件中樞，以協助監視。 管理 Microsoft Entra Privileged Identity Management 是什麼？ (部分機器翻譯) 啟用持續時間上限 監視器 在 Privileged Identity Management 中建立 Microsoft Entra 角色的存取權檢閱 在 Privileged Identity Management 中檢視 Microsoft Entra 角色的稽核記錄 Microsoft Entra 系統管理中心中的稽核活動報告 什麼是 Microsoft Sentinel？ 從 Microsoft Entra ID 連接資料 教學課程：將 Microsoft Entra 記錄串流到 Azure 事件中樞
AC-2(11) 資訊系統會強制 [指派：組織定義情況及/或使用條件] 用於 [指派：組織定義的資訊系統帳戶]。	強制使用客戶受控帳戶，以符合客戶定義的條件或情況。 建立條件式存取原則，以在使用者和裝置之間強制執行存取控制決策。 條件式存取 建立條件式存取原則 何謂條件式存取？
AC-2(12) 組織： (a) 會監視 [指派：組織定義的非典型使用方式] 的資訊系統帳戶；和 (b) 報告資訊系統帳戶的異常使用情況給 [FedRAMP 指派：至少應由組織內的 ISSO 或類似角色負責]。 AC-2 (12) (a) 和 AC-2 (12) (b) 其他 FedRAMP 需求和指導： 特殊權限帳戶的必要項目。	針對非典型使用方式，監視和報告具有特殊權限存取的客戶受控帳戶。 如需協助監視非典型使用方式，您可以將 Identity Protection 記錄 (其中顯示有風險的使用者、有風險的登入和風險偵測) 和稽核記錄 (其會協助與權限指派相互關聯) 直接串流至 SIEM 解決方案 (例如 Microsoft Sentinel)。 您也可以使用事件中樞，將記錄與協力廠商 SIEM 解決方案整合。 身分識別保護 什麼是 Microsoft Entra ID Protection？ 調查風險 Microsoft Entra ID Protection 通知 監視帳戶 什麼是 Microsoft Sentinel？ Microsoft Entra 系統管理中心中的稽核活動報告 將 Microsoft Entra 資料連線至 Microsoft Sentinel 教學課程：將記錄串流到 Azure 事件中樞
AC-2(13) 組織會在發現風險後 [FedRAMP 指派：一 (1) 小時] 內停用有重大風險的使用者帳戶。	停用一小時內造成重大風險的使用者客戶控制帳戶。 在 Microsoft Entra ID Protection 中，設定並啟用使用者風險原則，並將閾值設定為 [高]。 建立條件式存取原則，以封鎖有風險的使用者和有風險的登入存取。設定風險原則，讓使用者能夠自我修復並解除封鎖後續的登入嘗試。 身分識別保護 什麼是 Microsoft Entra ID Protection？ 條件式存取 何謂條件式存取？ 建立條件式存取原則 條件式存取：使用者風險型條件式存取 條件式存取：登入風險型條件式存取 使用風險原則進行自我補救
AC-6(7) 組織： (a.)檢閱 [FedRAMP 指派：至少每年] 指派給 [FedRAMP 指派：具有權限的所有使用者] 的權限，以驗證這類權限的需求；以及 (b.)重新指派或移除權限 (如果有必要)，以正確反映組織的任務/商務需求。	每年檢閱並驗證具有特殊權限存取的所有使用者。 確定已重新指派權限 (或必要時將其移除)，以符合組織任務和商務需求。 使用 Microsoft Entra 權利管理搭配存取權檢閱，特殊權限使用者驗證是否需要特殊權限存取。 存取權檢閱 什麼是 Microsoft Entra 權利管理？ 在 Privileged Identity Management 中建立 Microsoft Entra 角色的存取權檢閱 在 Microsoft Entra 權利管理中檢閱存取套件的存取權
AC-7 失敗的登入嘗試 組織： (a.)強制限制使用者在 [FedRAMP 指派：十五 (15) 分鐘] 期間連續嘗試 [FedRAMP 指派：不超過三 (3)] 次無效登入；和 (b.)自動 [選擇：鎖定帳戶/節點 [FedRAMP 指派：至少三 (3) 小時或直到管理員解鎖]；當超過最大失敗嘗試次數時，根據 [指派：組織定義的延遲演算法]] 延遲下一次登入提示。	在 15 分鐘期間內，針對客戶部署的資源強制執行不超過三次連續失敗登入嘗試的限制。 至少將帳戶鎖定三小時，或直到管理員將其解除鎖定為止。 啟用自訂智慧型鎖定設定。 設定鎖定閾值和鎖定持續時間 (以秒為單位)，以實作這些需求。 智慧鎖定 使用 Microsoft Entra 智慧鎖定防止使用者帳戶遭受攻擊 管理 Microsoft Entra 智慧鎖定值
AC-8 系統使用通知 資訊系統： (a.)在授予使用者存取系統之前顯示 [指派：組織定義的系統使用通知訊息或橫幅 (FedRAMP 指派：請參閱其他需求和指引)]，該系統提供符合適用聯邦法律、行政命令、指令、原則的隱私權和安全性通知、法規、標準和指南，並指出： (1.)使用者正在存取美國政府資訊系統； (2.)資訊系統使用方式可以受到監視、記錄，並受限於稽核； (3.)禁止未經授權使用資訊系統，否則受到刑事和民事處罰；和 (4.)使用資訊系統表示同意監視和錄製； (b.)保留通知訊息或螢幕上的橫幅，直到使用者確認使用狀況，並採取明確動作登入或進一步存取資訊系統；和 (c.)針對可公開存取的系統： (1.)顯示系統使用資訊 [指派：組織定義的條件 (FedRAMP 指派：請參閱其他需求和指引)]，再授與進一步存取權； (2.)顯示對監視、記錄或稽核的參考 (如果有)，這些參考與通常禁止這些活動之系統隱私權調整一致；和 (3.)包含系統授權用途的描述。 AC-8 其他 FedRAMP 需求和指導： 需求： 服務提供者應決定需要系統使用通知控制項的雲端環境元素。 JAB/AO 已核准並接受需要系統使用通知的雲端環境元素。 需求： 服務提供者應決定系統使用通知的驗證方式，並提供適當的檢查週期性。 JAB/AO 已核准並接受系統使用通知驗證和週期性。 指引： 如果作為設定基準檢查的一部分執行，則可以提供所檢查的需要設定的項目百分比，以及通過 (或未通過) 檢查的百分比。 需求： 如果未作為設定基準檢查的一部分執行，則必須記載如何提供驗證結果，以及服務提供者驗證的必要週期性的文件協定。 JAB/AO 已核准並接受有關如何提供結果驗證的文件協定。	在授與資訊系統的存取權之前，顯示並要求使用者確認隱私權和安全性注意事項。 使用 Microsoft Entra ID，您可以在授與存取權之前，為需要和記錄確認的所有應用程式提供通知或橫幅訊息。 您可以更精確地將這些使用規定原則的目標設定為特定使用者 (成員或來賓)。 您也可以透過條件式存取原則，根據每個應用程式進行自訂。 使用條款 Microsoft Entra 使用規定 檢視已接受和已拒絕的人員報告
AC-10 並行工作階段控制項 資訊系統會將每個 [指派：組織定義的帳戶和/或帳戶類型] 的並行工作階段數目限制為 [FedRAMP 指派：三 (3) 個特殊權限存取的工作階段，以及兩 (2) 個非特殊權限存取的工作階段]。	將並行工作階段限制為三個工作階段 (若為特殊權限存取)，以及限制為兩個 (若為非特殊權限存取)。 目前，使用者可從多個裝置連線，有時會同時連線。 限制並行工作階段會導致使用者體驗降級，並提供有限的安全性值。 處理此控制項背後意圖的更好方法是採用「零信任」安全性態勢。 系統會先明確驗證條件，然後再建立工作階段，並在工作階段的整個存留期持續驗證。 此外，請使用下列補償控制項。 使用條件式存取原則來限制存取符合規範的裝置。 在裝置上設定原則設定，以利用 MDM 解決方案 (例如 Intune)，在作業系統層級強制執行使用者登入限制。 也可以在混合式部署中考慮端點管理員或群組原則物件。 使用 Privileged Identity Management 進一步限制及控制特殊權限帳戶。 針對無效的登入嘗試設定智慧型帳戶鎖定。 實作指引 零信任 使用零信任保護身分識別 Microsoft Entra ID 中的持續性存取評估 條件式存取 什麼是 Microsoft Entra ID 中的條件式存取？ [裝置需要標記為合規] 使用者登入頻率 裝置原則 其他智慧卡群組原則設定和登錄機碼 Microsoft 端點管理員概觀 資源 Microsoft Entra Privileged Identity Management 是什麼？ (部分機器翻譯) 使用 Microsoft Entra 智慧鎖定防止使用者帳戶遭受攻擊 如需更多的工作階段重新評估和風險降低指引，請參閱 AC-12。
AC-11 工作階段鎖定 資訊系統： (a) 在 [FedRAMP 指派：十五 (15) 分鐘] 非使用中後或收到使用者要求後啟動工作階段鎖定，以防止進一步存取系統；和 (b) 會保留工作階段鎖定，直到使用者使用識別與驗證程序重新建立存取為止。 AC-11(1) 資訊系統會透過工作階段鎖定，將先前在可公開檢視影像上顯示的資訊隱藏。	在閒置 15 分鐘後或從使用者收到要求時，會實作工作階段鎖定。 保留工作階段鎖定，直到使用者重新驗證為止。 在起始工作階段鎖定時，隱藏先前可見的資訊。 透過使用條件式存取原則實作裝置鎖定，以限制存取符合規範的裝置。 在裝置上設定原則設定，以利用 MDM 解決方案 (例如 Intune)，在作業系統層級強制執行裝置鎖定。 也可以在混合式部署中考慮端點管理員或群組原則物件。 若為非受控裝置，請設定 [登入頻率] 設定，以強制使用者重新驗證。 條件式存取 [裝置需要標記為合規] 使用者登入頻率 MDM 原則 設定裝置最多閒置幾分鐘後鎖定螢幕 (Android、iOS、Windows 10)。
AC-12 工作階段終止 資訊系統在 [指派：組織定義的需要工作階段中斷連線之條件或觸發事件] 之後，會自動終止使用者工作階段。	當組織定義的條件或觸發事件發生時，自動終止使用者工作階段。 使用 Microsoft Entra 功能 (例如風險型條件式存取和連續存取評估) 來實作自動使用者工作階段重新評估。 您可以在裝置層級實作閒置條件，如 AC-11 中所述。 資源 登入風險型條件式存取 使用者風險型條件式存取 持續性存取評估
AC-12(1) 資訊系統： (a.)每當使用驗證來取得 [指派：組織定義的資訊資源] 之存取權時，針對使用者起始的通訊工作階段提供登出功能；以及 (b.)顯示明確登出訊息給使用者，指出可靠終止已驗證的通訊工作階段。 AC-8 其他 FedRAMP 需求和指導： 指引：測試登出功能 (OTG-SESS-006) 測試登出功能	提供所有工作階段的登出功能，並顯示明確的登出訊息。 所有 Microsoft Entra ID 呈現的 Web 介面都會為使用者起始的通訊工作階段提供登出功能。 當 SAML 應用程式與 Microsoft Entra ID 整合時，請實作單一登出。 登出功能 當使用者選取隨處登出時，就會撤銷所有目前發出的權杖。 顯示訊息 Microsoft Entra ID 會在使用者起始的登出之後自動顯示訊息。 資源 從 [我的登入] 頁面檢視並搜尋您最近的登入活動 單一登出 SAML 通訊協定
AC-20 使用外部資訊系統 組織會建立條款與條件，符合與其他組織擁有、作業、和/或維護外部資訊系統所建立之任何信任關係，可讓授權之個人進行： (a.)從外部資訊系統存取資訊系統；和 (b.)使用外部資訊系統處理、儲存或傳輸組織控制的資訊。 AC-20(1) 只有當組織符合以下條件時，組織才允許授權的個人使用外部資訊系統存取資訊系統或處理、儲存或傳輸組織控制的資訊： (a.)確認組織資訊安全策略和安全計畫中指定的外部系統所需之安全性控制實作；或者 (b.)保留已核准的資訊系統連線或處理合約，以及裝載外部資訊系統的組織性實體。	建立條款及條件，讓授權的人員能夠從外部資訊系統 (例如非受控裝置和外部網路) 存取客戶部署的資源。 從外部系統存取資源的授權使用者必須接受使用規定。 實作條件式存取原則，以限制從外部系統進行存取。 條件式存取原則可能與適用於雲端的 Defender 應用程式整合，讓您可以從外部系統控制雲端和內部部署應用程式。 Intune 中的行動應用程式管理可以從與外部系統互動的受控裝置管理應用程式層級的組織資料，包括自訂應用程式及市集應用程式。 範例將存取雲端服務。 您可以在組織擁有的裝置和個人的裝置上使用應用程式管理。 條款及條件 使用規定：Microsoft Entra ID 條件式存取 [裝置需要標記為合規] 條件式存取原則中的條件：裝置狀態 (預覽) 使用適用於雲端的 Microsoft Defender 應用程式的條件式存取應用程式控制進行保護 Microsoft Entra 條件式存取中的位置條件 MDM 什麼是 Microsoft Intune？ 什麼是適用於雲端的 Defender 應用程式? Microsoft Intune 中的應用程式管理是什麼？ 資源 整合內部部署應用程式與適用於雲端的 Defender 應用程式

下一步

• FedRAMP 合規性概觀
• 設定識別與驗證控制項，以符合 FedRAMP High 影響等級
• 設定其他控制項以符合 FedRAMP High 影響等級