Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификация Microsoft Entra удовлетворяет требованиям, связанным с идентификацией, на каждом из уровней сертификации по модели зрелости кибербезопасности (CMMC). Чтобы соответствовать требованиям CMMC, компании, выполняющие работу с Министерством обороны США и от его имени, несут ответственность за завершение других конфигураций или процессов. На уровне 1 CMMC есть три домена, которые имеют одну или несколько практик, связанных с идентификацией.
- Управление доступом (AC)
- Идентификация и аутентификация (IA)
- Целостность системы и информации (SI)
Подробнее:
- Веб-сайт DoD CMMC — Краткий обзор сертификации модели зрелости кибербезопасности
- Центр загрузки Майкрософт — Microsoft Product Placemat для CMMC уровня 3 (предварительная версия)
Остальная часть этого содержимого организована по домену и связанным методикам. Для каждого домена есть таблица со ссылками на содержимое, которое предоставляет пошаговые рекомендации по выполнению этой практики.
Домен управления доступом
В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.
| Заявление и цели практики CMMC | Руководство и рекомендации Microsoft Entra |
|---|---|
| Контроль доступа. L1-3.1.1 Инструкция практики. Ограничение доступа к информационной системе авторизованным пользователям, процессам, действующим от имени авторизованных пользователей или устройств (включая другие информационные системы). Цели: Определите, если: [a.] идентифицируются авторизованные пользователи; [b.] определяются процессы, действующие от имени авторизованных пользователей; [c.] определены устройства (и другие системы), авторизованные для подключения к системе; [d.] доступ к системе ограничен авторизованными пользователями; [e.] доступ к системе ограничен процессами, действующими от имени авторизованных пользователей; и [f.] доступ к системе ограничен авторизованными устройствами (включая другие системы). |
Вы несете ответственность за настройку учетных записей Microsoft Entra, которые настраиваются с помощью внешних систем управления персоналом, локальной службы Active Directory или напрямую в облаке. Вы настраиваете условный доступ только для предоставления доступа с известного (зарегистрированного или управляемого) устройства. Кроме того, при предоставлении приложению разрешений применяется концепция наименьших привилегий. По возможности используйте делегированное разрешение. Настройка пользователей Настройка устройств Настройка приложений Условный доступ |
| Контроль доступа. L1-3.1.2 Инструкция практики. Ограничение доступа информационной системы к типам транзакций и функций, которым разрешено выполнять авторизованные пользователи. Цели: Определите, если: [a.] определены типы транзакций и функций, разрешенных авторизованным пользователям; и [b.] системный доступ ограничен определенными типами транзакций и функций для авторизованных пользователей. |
Вы отвечаете за настройку таких элементов управления доступом, как контроль доступа на основе ролей (RBAC) со встроенными или настраиваемыми ролями. Используйте группы с возможностью назначения ролей для управления назначениями ролей для нескольких пользователей, которым требуется один и тот же доступ. Настройте контроль доступа на основе атрибутов (ABAC) с атрибутами безопасности по умолчанию или пользовательскими атрибутами безопасности. Цель состоит в том, чтобы детально контролировать доступ к ресурсам, защищенным с помощью идентификатора Microsoft Entra. Настройка RBAC Настройка ABAC Настройка групп для назначения ролей |
| AC.L1-3.1.20 Заявление о практике: Проверка и ограничение подключений к внешним информационным системам. Цели: Определите, если: [a.] определены подключения к внешним системам; [b.] Определяется использование внешних систем; [c.] проверяются подключения к внешним системам; [d.] Проверяется использование внешних систем; [e.] подключения к внешним системам контролируются и ограничиваются; и [f.] Использование внешних систем контролируется и ограничивается. |
Вы несете ответственность за настройку политик условного доступа с помощью элементов управления устройства и сетевых расположений для управления и ограничения подключений и использования внешних систем. Настройте условия использования (TOU) для документированного подтверждения пользователями условий и положений использования внешних систем для доступа. Настройка условного доступа по мере необходимости Использование условного доступа для блокировки доступа Настройка условий использования |
| AC.L1-3.1.22 Инструкция практики: управление информацией, размещенной или обработанной в общедоступных информационных системах. Цели: Определите, если: [a.] определяются лица, авторизованные для публикации или обработки информации о общедоступных системах; [b.] процедуры, обеспечивающие, чтобы FCI не размещался или обрабатывался в общедоступных системах; [c.] процесс проверки выполняется до публикации любого содержимого в общедоступных системах; и [d.] содержимое в общедоступных системах проверяется, чтобы убедиться, что она не включает в себя федеральную информацию о контракте (FCI). |
Вы несете ответственность за настройку управление привилегированными пользователями (PIM) для управления доступом к системам, где размещенная информация является общедоступной. Требовать утверждения с обоснованием перед назначением ролей в PIM. Настройка условий использования (TOU) для систем, в которых опубликованная информация является общедоступной для зарегистрированного подтверждения условий публикации общедоступной информации. Планирование развертывания PIM Настройка условий использования |
Домен идентификации и проверки подлинности (IA)
В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.
| Заявление и цели практики CMMC | Руководство и рекомендации Microsoft Entra |
|---|---|
| IA. L1-3.5.1 Инструкция практики. Определение пользователей информационной системы, процессы, действующие от имени пользователей или устройств. Цели: Определите, если: [a.] определены системные пользователи; [b.] определяются процессы, действующие от имени пользователей; и [c.] определяются устройства, обращающиеся к системе. |
Идентификатор Microsoft Entra ID уникально идентифицирует пользователей, процессы (удостоверения субъекта-службы или рабочей нагрузки) и устройства с помощью свойства ID в соответствующих объектах каталога. Вы можете фильтровать файлы журналов, чтобы помочь в оценке, используя следующие ссылки. Используйте следующую ссылку для удовлетворения целей оценки. Фильтрация журналов по свойствам пользователя Фильтрация журналов по свойствам службы Фильтрация журналов по свойствам устройства |
| IA. L1-3.5.2 Положение о практике. Аутентификация (или верификация) идентификационных данных пользователей, процессов или устройств как необходимое условие для предоставления доступа к информационным системам организации. Цели: Определите, если: [a.] удостоверение каждого пользователя проходит проверку подлинности или проверяется в качестве необходимых условий для доступа к системе; [b.] идентификация каждого процесса, действующего от имени пользователя, аутентифицируется или проверяется как предварительное условие для доступа к системе; и [c.] Удостоверение личности каждого устройства, обращающегося к системе или подключающегося к ней, аутентифицируется или проверяется как предварительное условие для доступа к системе. |
Идентификатор Microsoft Entra уникально удостоверяет или проверяет каждого пользователя, процесс, действующий от имени пользователя, или устройство в качестве предварительных условий для доступа к системе. Используйте следующую ссылку для удовлетворения целей оценки. Настройка учетных записей пользователей Настройка идентификатора Microsoft Entra для соответствия уровням проверки подлинности NIST Настройка учетных записей служебного принципала Настройка учетных записей устройств |
Домен целостности системы и информации (SI)
В следующей таблице приведен список практических заявлений и целей, а также рекомендации Microsoft Entra, позволяющие удовлетворить эти требования с помощью Microsoft Entra ID.
| Заявление о практике CMMC | Руководство и рекомендации Microsoft Entra |
|---|---|
| СИ. L1-3.14.1 — своевременно определите, сообщите и исправьте недостатки информационной системы и информации. СИ. L1-3.14.2 — обеспечивает защиту от вредоносного кода в соответствующих местах в информационных системах организации. СИ. L1-3.14.4 — обновление механизмов защиты вредоносного кода при наличии новых выпусков. СИ. L1-3.14.5 — выполнять периодическое сканирование информационной системы и выполнять сканирование файлов в режиме реального времени из внешних источников, когда файлы загружаются, открываются или выполняются. |
Консолидированное руководство по устаревшим управляемым устройствам Настройте условный доступ, чтобы требовать гибридное устройство, присоединенное к Microsoft Entra. Для устройств, присоединенных к локальной AD, предполагается, что контроль над этими устройствами применяется с помощью решений управления, таких как Configuration Manager или групповая политика (GP). Исходя из того, что Microsoft Entra ID не может определить, был ли любой из этих методов применен к устройству, требование наличия в системе устройства с Microsoft Entra гибридным присоединением является относительно слабым способом обеспечить управление устройством. Администратор определяет, являются ли методы, применяемые к локальным устройствам, присоединенным к домену, достаточно сильными, чтобы создать управляемое устройство, если устройство также является гибридным устройством, присоединенным к Microsoft Entra. Консолидированное руководство по облачным устройствам (или совместному управлению) Настройте условный доступ так, чтобы устройство, соответствующее требованиям, было обязательным, что является самой строгой формой для требования управляемого устройства. Для этого параметра требуется регистрация устройств с помощью Microsoft Entra ID, и отметка об их соответствии с Intune или сторонней MDM-системой, управляющей устройствами Windows 10 через интеграцию с Microsoft Entra. |