符合備忘錄 22-09 的授權需求
本文系列提供在實作零信任原則時,採用 Microsoft Entra ID 作為集中式身分識別管理系統的指引。 請參閱,美國管理與預算辦公室(OMB) M 22-09 主管主管的 備忘錄。
備忘需求是多重要素驗證原則中的強制類型,以及裝置、角色、屬性和特殊許可權存取管理的控制項。
裝置型控制項
備忘錄 22-09 要求至少是一個裝置型訊號,可讓授權決策存取系統或應用程式。 使用條件式存取強制執行需求。 在授權期間套用數個裝置訊號。 如需訊號和擷取訊號的需求,請參閱下表。
| 訊號 | 訊號 |
|---|---|
| 裝置受管理 | 與 Intune 或其他支援整合的行動裝置管理 (MDM) 解決方案整合。 |
| 已加入混合式 Microsoft Entra | Active Directory 會管理裝置,而且符合資格。 |
| 裝置符合規範 | 與支援整合的 Intune 或其他 MDM 解決方案整合。 請參閱在 Microsoft Intune 中建立合規性政策。 |
| 威脅訊號 | 適用於端點的 Microsoft Defender和其他端點偵測及回應 (EDR) 工具具有 Microsoft Entra ID 和 Intune 整合,可傳送威脅訊號以拒絕存取。 威脅訊號支援相容的狀態訊號。 |
| 跨租使用者存取原則 (公開預覽) | 信任來自其他組織中裝置的裝置訊號。 |
角色型控制項
使用角色型存取控制 (RBAC) 透過特定範圍的角色指派來強制執行授權。 例如,使用權利管理功能指派存取權,包括存取套件和存取權檢閱。 使用自助式要求管理授權,並使用自動化來管理生命週期。 例如,根據準則自動結束存取。
深入了解:
屬性型控制項
屬性型存取控制 (ABAC) 會使用指派給使用者或資源的中繼資料,在驗證期間允許或拒絕存取。 請參閱下列各節,透過驗證使用 ABAC 強制執行資料和資源來建立授權。
指派給使用者的屬性
使用指派給使用者的屬性,儲存在 Microsoft Entra ID 中,以建立使用者授權。 系統會根據您在群組建立期間定義的規則集,自動將使用者指派給動態群組。 規則會根據使用者及其屬性的規則評估,從群組新增或移除使用者。 建議您維護屬性,而且不會在建立當天設定靜態屬性。
深入瞭解: 在 Microsoft Entra ID 中建立或更新動態群組
指派給資料的屬性
透過 Microsoft Entra 識別碼,您可以將授權整合至資料。 請參閱下列各節來整合授權。 您可以在條件式存取原則中設定驗證:限制使用者在應用程式或資料上採取的動作。 然後,這些驗證原則會對應到資料來源中。
資料來源可以是對應至驗證的 Microsoft Office 檔案,例如 Word、Excel 或 SharePoint 網站。 使用指派給應用程式中資料的驗證。 此方法需要與應用程式程式碼整合,並讓開發人員採用此功能。 使用驗證與 適用於雲端的 Microsoft Defender Apps 整合,透過會話控制項控制對資料採取的動作。
結合動態群組與驗證內容,以控制資料與使用者屬性之間的使用者存取對應。
深入了解:
指派給資源的屬性
Azure 包含儲存體的屬性型存取控制 (Azure ABAC)。 在儲存在Azure Blob 儲存體帳戶的資料上指派元資料標記。 使用角色指派來授與存取權,將中繼資料指派給使用者。
深入瞭解: 什麼是 Azure 屬性型存取控制?
Privileged Access Management
備忘錄列舉了使用具有單一因素暫時認證的特殊許可權存取管理工具來存取系統的效率低下。 這些技術包括接受系統管理員多重要素驗證登入的密碼保存庫。這些工具會為替代帳戶產生密碼,以存取系統。 系統存取會發生單一因素。
Microsoft 工具會使用 Microsoft Entra ID 作為中央身分識別管理系統,為特殊許可權系統實作 Privileged Identity Management (PIM)。 針對應用程式、基礎結構元素或裝置的大部分特殊許可權系統強制執行多重要素驗證。
使用 PIM 作為特殊許可權角色,以 Microsoft Entra 身分識別實作時。 識別需要保護才能防止橫向移動的特殊許可權系統。
深入了解:
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應