Настройте управление доступом по удостоверению для обеспечения соответствия уровню высокого влияния FedRAMP

Управление доступом является важной частью достижения высокого уровня влияния в рамках Федеральной программы управления рисками и авторизациями (FedRAMP) для получения разрешения на эксплуатацию.

В следующем списке элементов управления и улучшения управления в семействе управления доступом (AC) может потребоваться настройка в клиенте Microsoft Entra.

Семейство элементов управления Описание
АС-2 Управление учетной записью
AC-6 Принцип наименьших привилегий
AC-7 Неудачные попытки входа
AC-8 Уведомление об использовании системы
AC-10 Контроль одновременных сеансов
AC-11 Блокировка сеанса
AC-12 Завершение сеанса
AC-20 Использование внешних информационных систем

Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.

Конфигурации

Идентификатор и описание элемента управления FedRAMP Руководство и рекомендации Microsoft Entra
УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ AC-2

Организация
(a.) Определяет и выбирает следующие типы учетных записей информационной системы для поддержки организационных миссий и бизнес-функций: [Назначение: определенные организацией типы учетных записей информационной системы];

(b.) Назначает менеджеров учетных записей для учетных записей информационной системы;

(c.) Устанавливает условия для членства в группах и ролевом членстве;

(d.) Указывает авторизованных пользователей информационной системы, членства в группах и роли, а также авторизацию доступа (т. е. привилегии) и другие атрибуты (по мере необходимости) для каждой учетной записи;

(e.) Требуется утверждение [назначение: определенный организацией персонал или роли] для запросов на создание учетных записей информационной системы;

(f.) Создает, включает, изменяет, отключает и удаляет учетные записи информационной системы в соответствии с [Назначение: определенные организацией процедуры или условия];

(g.) Отслеживает использование учетных записей информационной системы;

(h.) Уведомляет менеджеров аккаунтов:
(1.) Если учетные записи больше не требуются;
(2.) При увольнении или переводе пользователей; и
(3.) При изменении использования отдельной информационной системы или необходимости знать информацию;

(i.) Авторизует доступ к информационной системе на основе:
(1.) Действующая авторизация доступа;
(2.) Предполагаемое использование системы; и
(3.) Другие атрибуты, необходимые организации или связанным миссиям или бизнес-функциям;

(j.) Проверяет соответствие требованиям к управлению учетными записями [Назначение FedRAMP: ежемесячно для привилегированного доступа, каждые шесть (6) месяцев для доступа без привилегий]; и

(k.) Устанавливает процесс повторной отправки учетных данных общей или групповой учетной записи (если они развернуты) когда происходит удаление отдельных лиц из группы.

Реализуйте управление жизненным циклом учетных записей, управляемых клиентом. Отслеживайте использование учетных записей и уведомляйте руководителей о событиях жизненного цикла учетных записей. Проверяйте привилегированные учетные записи на соответствие требованиям к управлению учетными записями каждый месяц, а непривилегированные — каждые шесть месяцев.

Используйте Microsoft Entra ID для создания учетных записей из внешних систем управления персоналом, локальной Active Directory или непосредственно в облаке. Все операции жизненного цикла учетной записи проверяются в журналах аудита Microsoft Entra. Вы можете собирать и анализировать журналы с помощью решения "Сведения о безопасности и управление событиями" (SIEM), например Microsoft Sentinel. Кроме того, можно использовать Azure Event Hubs для интеграции журналов с сторонними решениями SIEM для включения мониторинга и уведомлений. Используйте Microsoft Entra управление правами с проверками доступа, чтобы обеспечить состояние соответствия учетных записей.

Подготовка учетных записей

  • Планирование облачного приложения для автоматизации создания учетных записей пользователей в Microsoft Entra
  • Microsoft Entra Connect Sync: общие сведения о синхронизации
  • Добавление или удаление пользователей с использованием Microsoft Entra ID

    Мониторинг учетных записей

  • Отчеты о деятельности аудита в центре администрирования Microsoft Entra
  • Подключите данные Microsoft Entra к Microsoft Sentinel
  • Tutorial: передача журналов в потоковом режиме в концентратор событий Azure

    Проверка счетов

  • Что такое Microsoft Entra управление правами доступа?
  • Создание проверки доступа пакета доступа в управлении правами Microsoft Entra
  • Просмотр доступа к пакету доступа в управлении правами Microsoft Entra

    Ресурсы

  • Полномочия роли администратора в Microsoft Entra ID
  • Динамические группы в Microsoft Entra ID

                         

  • AC-2(1)
    Организация использует автоматизированные механизмы для поддержки управления учетными записями информационной системы.
    Использование автоматизированных механизмов для поддержки управления учетными записями, управляемыми клиентом.

    Настройте автоматическое развертывание управляемых клиентом учетных записей из внешних HR-систем или внутреннего Active Directory. Для приложений, поддерживающих предоставление приложений, настройте Microsoft Entra ID для автоматического создания удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Кроме создания учетных записей пользователей, автоматическое предоставление включает в себя обслуживание и удаление учетных записей пользователей по мере изменения их статуса или ролей. Чтобы упростить мониторинг использования учетных записей, можно передавать журналы Microsoft Entra ID Protection, которые показывают рискованных пользователей, рискованные входы и обнаружения рисков, а также журналы аудита непосредственно в Microsoft Sentinel или Центрах событий.

    Обеспечение

  • Планирование облачного приложения для автоматизации создания учетных записей пользователей в Microsoft Entra
  • Microsoft Entra Connect Sync: общие сведения о синхронизации
  • Что такое автоматизированное предоставление доступа пользователям приложений SaaS в Microsoft Entra ID?
  • руководства по интеграции приложений SaaS для использования с Microsoft Entra ID

    Мониторинг и аудит

  • Исследование риска
  • Отчеты о деятельности аудита в центре администрирования Microsoft Entra
  • Что такое Microsoft Sentinel?
  • Microsoft Sentinel: подключите данные из Microsoft Entra ID
  • Учебник: передача журналов Microsoft Entra в потоковом режиме в концентратор событий Azure
  • AC-2(2)
    Информационная система автоматически [Выбор FedRAMP: отключает] временные и аварийные учетные записи после [назначения FedRAMP: 24 часа после последнего использования].

    AC-02(3)
    Информационная система автоматически отключает неактивные учетные записи после [назначения FedRAMP: тридцать пять (35) дней для учетных записей пользователей].

    Ac-2 (3) Дополнительные требования и рекомендации FedRAMP:
    Требование. Поставщик услуг определяет период времени для учетных записей, отличных от пользователей (например, учетных записей, связанных с устройствами). Периоды времени утверждены и принимаются JAB/AO. Когда управление пользователями является функцией службы, отчеты о действиях пользователей-потребителей должны быть доступны.

    Использование автоматизированных механизмов для поддержки автоматического удаления или отключения временных учетных записей и учетных записей для экстренных ситуаций через 24 часа после последнего использования, а всех управляемых клиентом учетных записей — после 35-дневного периода бездействия.

    Реализуйте автоматизацию управления учетными записями с помощью Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для мониторинга действий входа и Microsoft Graph PowerShell для выполнения действий с учетными записями в требуемом временном интервале.

    Определение отсутствия активности

  • Управление неактивными аккаунтами пользователей в Microsoft Entra ID
  • Управление устаревшими устройствами в Microsoft Entra ID

    Удаление или отключение учетных записей

  • Работка с пользователями в Microsoft Graph
  • Получите пользователя
  • Обновление пользователя
  • Удаление пользователя

    Работа с устройствами в Microsoft Graph

  • Получить устройство
  • Обновление устройства
  • Удаление устройства

    См. документацию Microsoft Graph PowerShell

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
  • AC-2(4)
    Информационная система автоматически ведет аудит создания, изменения, включения, отключения и удаления учетной записи, а также уведомляет [назначение FedRAMP: владелец системы организации и/или поставщика услуг].
    Реализация автоматизированной системы аудита и создания уведомлений для жизненного цикла управления учетными записями, управляемыми клиентами.

    Все операции жизненного цикла учетной записи, такие как создание учетной записи, изменение, включение, отключение и удаление, проверяются в журналах аудита Azure. Журналы можно передавать непосредственно в Microsoft Sentinel или Event Hubs для помощи в уведомлениях.

    Аудит

  • Отчеты о деятельности аудита в центре администрирования Microsoft Entra
  • Microsoft Sentinel: подключите данные из Microsoft Entra ID

    Уведомление

  • Что такое Microsoft Sentinel?
  • Учебник: передача журналов Microsoft Entra в потоковом режиме в концентратор событий Azure
  • AC-2(5)
    Для организации требуется, чтобы пользователи выходили из системы, когда [назначение FedRAMP: предполагается, что неактивность превысит пятнадцать (15) минут].

    Дополнительные требования и рекомендации FedRAMP AC-2 (5)
    Руководство. Следует использовать более короткий интервал времени, чем AC-12

    Реализовать выход из устройства после 15 минут бездействия.

    Реализуйте блокировку устройства с помощью политики условного доступа, которая ограничивает доступ к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений по управлению мобильными устройствами (MDM), таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей.

    Условный доступ

  • Требовать, чтобы устройство было отмечено как соответствующее
  • Частота входа пользователя

    Политика MDM

  • Настройте устройства для максимального времени бездействия до блокировки экрана и установки пароля для разблокировки (Android, iOS, Windows 10).
  • AC-2(7)

    Организация:
    (a.) Устанавливает и администрирует привилегированные учетные записи пользователей в соответствии с схемой доступа на основе ролей, которая упорядочивает разрешенный доступ к информационной системе и привилегии в роли;
    (b) Отслеживает назначения привилегированных ролей; и
    (c) Принимает [назначение FedRAMP: отключает или отменяет доступ в течение указанного организацией периода времени], когда назначения привилегированных ролей больше не подходят.

    Администрирование и мониторинг назначений привилегированных ролей в соответствии со схемой доступа на основе ролей для учетных записей, управляемых клиентом. Отключение или отзыв прав доступа для учетных записей, если они больше не подходят.

    Реализуйте Microsoft Entra Privileged Identity Management с проверками доступа для привилегированных ролей в Microsoft Entra ID для мониторинга назначений ролей и удаления назначений ролей, если они больше не подходят. Журналы аудита можно передавать непосредственно в Microsoft Sentinel или Центры событий, чтобы помочь в мониторинге.

    Администрирование

  • Что такое Microsoft Entra Privileged Identity Management?
  • Максимальная длительность активации

    Монитор

  • Создайте проверку доступа ролей Microsoft Entra в Privileged Identity Management
  • Просмотреть историю аудита для ролей Microsoft Entra в Privileged Identity Management
  • Отчеты о деятельности аудита в центре администрирования Microsoft Entra
  • Что такое Microsoft Sentinel?
  • Подключить данные из Microsoft Entra ID
  • Учебник: передача журналов Microsoft Entra в потоковом режиме в концентратор событий Azure
  • AC-2(11)
    Информационная система обеспечивает [заданные организацией обстоятельства и/или условия использования] для [заданных организацией учетных записей информационной системы].
    Принудительное использование управляемых клиентом учетных записей для выполнения определенных клиентом условий или обстоятельств.

    Создайте политики условного доступа для применения решений по управлению доступом для пользователей и устройств.

    Условный доступ

  • Создание политики условного доступа
  • Что такое условный доступ?
  • AC-2(12)

    Организация:
    (a) Отслеживает учетные записи информационной системы для [назначения: определяемое организацией нетипическое использование]; и
    (b) Сообщает о нетипичном использовании учетных записей информационной системы в [назначение FedRAMP: как минимум, ISSO и/или аналогичная роль в организации].

    AC-2 (12) (a) и AC-2 (12) (b) Дополнительные требования и рекомендации FedRAMP:
    Требуется для привилегированных учетных записей.

    Выполнение мониторинга управляемых клиентом учетных записей с привилегированным доступом, чтобы определить нетипичное использование и создание соответствующих отчетов.

    Для мониторинга нетипичного использования можно передавать Microsoft Entra ID Protection журналы, в которых отображаются рискованные пользователи, рискованные входы и обнаружения рисков, а также журналы аудита, которые помогают корреляции с назначением привилегий, непосредственно в решение SIEM, например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий, чтобы интегрировать журналы со сторонними решениями SIEM.

    Защита идентификаторов

  • Что такое Microsoft Entra ID Protection?
  • Исследование риска
  • Microsoft Entra ID Protection уведомления

    Мониторинг учетных записей

  • Что такое Microsoft Sentinel?
  • Отчеты о деятельности аудита в центре администрирования Microsoft Entra
  • Подключите данные Microsoft Entra к Microsoft Sentinel
  • Tutorial: передача журналов в потоковом режиме в концентратор событий Azure
  • AC-2(13)
    Организация отключает учетные записи пользователей, представляющих значительный риск, в течение одного (1) часа после обнаружения риска в [назначении FedRAMP].
    Отключите управляемые клиентом учетные записи пользователей, которые представляют значительный риск в течение одного часа.

    В Microsoft Entra ID Protection настройте и включите политику риска пользователей с пороговым значением "Высокий". Создайте политики условного доступа, чтобы заблокировать доступ для рискованных пользователей и рискованных входов. Настройте политики риска, чтобы пользователи могли самостоятельно исправить и разблокировать последующие попытки входа.

    Защита идентификаторов

  • Что такое Microsoft Entra ID Protection?

    Условный доступ

  • Что такое условный доступ?
  • Создание политики условного доступа
  • Условный доступ: условный доступ на основе рисков пользователей
  • Условный доступ: Управление доступом на основе риска входа
  • Самостоятельное исправление с помощью политики риска
  • AC-6(7)

    Организация:
    (a.) Проверяет [назначение FedRAMP: по крайней мере, ежегодно] привилегии, назначенные [назначению FedRAMP: всем пользователям с привилегиями], чтобы проверить необходимость таких привилегий; и
    (b.) При необходимости переназначает или удаляет привилегии, чтобы правильно отразить потребности организации или бизнеса.

    Ежегодная проверка и утверждение всех пользователей с привилегированным доступом. Проверка того, что разрешения переназначены (или при необходимости удалены) в соответствии с миссией организации и требованиями бизнеса.

    Используйте Microsoft Entra управление правами с проверками доступа для привилегированных пользователей, чтобы проверить, требуется ли привилегированный доступ.

    Проверки доступа

  • Что такое Microsoft Entra управление правами доступа?
  • Создайте проверку доступа ролей Microsoft Entra в Privileged Identity Management
  • Просмотр доступа к пакету доступа в управлении правами Microsoft Entra
  • Неудачные попытки входа AC-7

    Организация:
    (a.) Принудительно применяет ограничение [назначение FedRAMP: не более трех (3)] последовательных недопустимых попыток входа пользователем во время [назначения FedRAMP: пятнадцать (15) минут]; и
    (b.) Автоматически [Выбор: блокирует учетную запись или узел в соответствии с требованиями FedRAMP на минимум три (3) часа или до разблокировки администратором; откладывает появление следующего запроса на вход в систему в соответствии с [назначенный организацией алгоритм задержки]] при превышении максимального числа неудачных попыток.

    Применение ограничения, предусматривающего не более трех последовательных неудачных попыток входа в систему на развернутых клиентом ресурсах в течение 15 минут. Блокировка учетной записи минимум на три часа или до разблокировки администратором.

    Включите параметры настраиваемой смарт-блокировки. Настройте порог и продолжительность блокировки (в секундах) для реализации этих требований.

    Умная блокировка

  • Защита учетных записей пользователей от атак с помощью умной блокировки Microsoft Entra
  • Управление значениями блокировки учетной записи Microsoft Entra
  • Уведомление об использовании системы AC-8

    Информационная система:
    (a.) Показывает пользователям [Назначение: сообщение или баннер, определенные организацией, об использовании системы (назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением доступа к системе, которая предоставляет уведомления о конфиденциальности и безопасности в соответствии с применимыми федеральными законами, указами исполнительной власти, директивами, политиками, правилами, стандартами и руководствами, и в которых указано, что:
    (1.) Пользователи получают доступ к информационной системе США для государственных организаций;
    (2.) Использование информационной системы может отслеживаться, записываться и подвергаться аудиту;
    (3.) Несанкционированное использование информационной системы запрещено и подлежит уголовным и гражданским наказаниям; и
    (4.) Использование информационной системы указывает согласие на мониторинг и запись;

    (b.) Сохраняет сообщение уведомления или баннер на экране, пока пользователи не признают условия использования и выполняют явные действия для входа в информационную систему или дальнейшего доступа к ней; и

    (c.) Для общедоступных систем:
    (1.) Отображает сведения об использовании системы [Назначение: определенные организацией условия (Назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением дополнительного доступа;
    (2.) Отображает ссылки, если таковые имеются, на мониторинг, запись или аудит, которые соответствуют требованиям конфиденциальности таких систем, которые, как правило, запрещают эти действия; и
    (3.) Включает описание авторизованного использования системы.

    Дополнительные требования и рекомендации FedRAMP AC-8:
    Требование. Поставщик услуг должен определять элементы облачной среды, для которых требуется элемент управления "Системное использование уведомлений". Элементы облачной среды, для которой требуется уведомление об использовании системы, утверждены и принимаются JAB/AO.
    Требование. Поставщик услуг должен определить способ проверки уведомления об использовании системы и обеспечить соответствующую периодичность проверки. Проверка уведомления о использовании системы и его периодичность утверждены и принимаются организацией JAB/AO.
    Руководство. Если выполняется в рамках проверки базовой конфигурации, то можно указать процент элементов, требующих настройки, которые проверяются и которые проходят (или не проходят) проверку.
    Требование: Если проверка не проводится в рамках проверки базовой конфигурации, необходимо задокументировать соглашение о том, как обеспечить результаты верификации и необходимую периодичность выполнения верификации поставщиком услуг. Документированные соглашения о том, как обеспечить проверку результатов, утверждены и приняты JAB/AO.

    Отображать для пользователей уведомления о конфиденциальности и безопасности и требовать их принятия, прежде чем предоставлять доступ к информационным системам.

    С помощью Microsoft Entra ID вы можете доставлять уведомления или баннерные сообщения для всех приложений, которым требуется подтверждение и запись перед предоставлением доступа. Вы можете детализировать политики условий использования для конкретных пользователей (роль "Участник" или "Гость"), Их можно также настроить для каждого приложения с помощью политик условного доступа.

    Условия использования

  • Microsoft Entra условия использования
  • Просмотр отчета о том, кто принял и отказался
  • Контроль одновременных сеансов AC-10
    Информационная система ограничивает количество одновременных сеансов для каждого [назначения: определяемая организацией учетная запись и/или тип учетной записи] на [назначение FedRAMP: три (3) сеанса для привилегированного доступа и два (2) сеанса для не привилегированного доступа].
    Ограничение количества одновременных сеансов до трех сеансов для привилегированного доступа и двух — для непривилегированного.

    В настоящее время пользователи подключаются с нескольких устройств, иногда одновременно. Поэтому задание предела на количество одновременных сеансов может привести к снижению качества взаимодействия с пользователем и предоставляет ограниченные значения безопасности. Лучший подход к реализации этого намерения — применение стратегии обеспечения безопасности "Никому не доверяй". В этом случае условия будут явно проверяться до создания сеанса и впоследствии постоянно проходить проверку на протяжении всего сеанса.

    Кроме того, используйте следующие компенсирующие меры управления.

    Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения ограничений на вход пользователей на уровне ОС с помощью таких решений MDM, как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях.

    Используйте Privileged Identity Management для дальнейшего ограничения и контроля привилегированных учетных записей.

    Настройте смарт-блокировку учетных записей для неудачных попыток входа.

    Руководство по реализации

    Нулевая доверие

  • Защита идентичности с использованием нулевого доверия
  • Непрерывная оценка доступа в Microsoft Entra ID

    Условный доступ

  • Что такое условный доступ в Microsoft Entra ID?
  • Требовать, чтобы устройство было отмечено как соответствующее
  • Частота входа пользователя

    Политики устройств

  • Другие параметры групповой политики и ключи реестра для смарт-карт
  • Обзор Microsoft Intune

    Ресурсы

  • Что такое Microsoft Entra Privileged Identity Management?
  • Защита учетных записей пользователей от атак с помощью умной блокировки Microsoft Entra

    См. AC-12 для получения дополнительной информации о повторной оценке сеансов и снижении рисков.

  • Блокировка сеанса AC-11
    Информационная система:
    (a) Запрещает дополнительный доступ к системе путем инициирования блокировки сеанса после [назначения FedRAMP: пятнадцать (15) минут] бездействия или при получении запроса от пользователя;
    (b) Сохраняет блокировку сеанса до тех пор, пока пользователь не повторит доступ с помощью установленных процедур идентификации и проверки подлинности.

    AC-11(1)
    Информационная система скрывает данные с помощью блокировки сеанса, ранее видимые на экране с общедоступным изображением.

    Применение блокировки сеанса после 15-минутного периода бездействия или после получения запроса от пользователя. Удержание блокировки сеанса до повторной проверки подлинности пользователя. Сокрытие ранее видимой информации при инициировании блокировки сеанса.

    Реализуйте блокировку устройства с помощью политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений MDM, таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей.

    Условный доступ

  • Требовать, чтобы устройство было отмечено как соответствующее
  • Частота входа пользователя

    Политика MDM

  • Настройте устройства в течение максимальных минут бездействия до блокировки экрана (Android, iOS, Windows 10).
  • Завершение сеанса AC-12
    Информационная система автоматически завершает сеанс пользователя после [Назначение: определенные организацией условия или триггер событий, требующих отключения сеанса].
    Автоматическое завершение сеансов пользователей при выполнении определенных организацией условий или наличии событий триггера.

    Реализуйте автоматическую переоценку сеанса пользователя с помощью Microsoft Entra функций, таких как условный доступ на основе рисков и оценка непрерывного доступа. Условия бездействия можно реализовать на уровне устройства, как описано в разделе об AC-11.

    Ресурсы

  • Условный доступ с учетом риска входа
  • Условный доступ на основе пользовательских рисков
  • Оценка непрерывного доступа
  • AC-12(1)
    Информационная система:
    (a.) Предоставляет возможность выхода из сеансов связи, инициированных пользователем, когда используется аутентификация для получения доступа к [Назначение: информационные ресурсы, определенные организацией]; и
    (b.) Отображает явное сообщение выхода для пользователей, указывающее надежное завершение сеансов обмена данными, прошедших проверку подлинности.

    Дополнительные требования и рекомендации FedRAMP AC-8:
    Руководство: Тестирование функциональности выхода (OTG-SESS-006) Тестирование функциональности выхода

    Предоставление возможности выхода из системы для всех сеансов и отображение явного сообщения об этом действии.

    Все Microsoft Entra ID всплывающие веб-интерфейсы предоставляют возможность выхода для сеансов связи, инициированных пользователем. При интеграции приложений SAML с Microsoft Entra ID реализуйте единый выход.

    Возможность выхода из системы

  • Когда пользователь выбирает Sign-out everywhere (Выполнить выход на всех устройствах), происходит отмена всех в настоящее время выданных токенов.

    Показать сообщение
    Microsoft Entra ID автоматически отображает сообщение после выхода, инициированного пользователем.

    Снимок экрана: сообщение об управлении доступом.

    Ресурсы

  • Просмотр и поиск недавних действий входа со страницы "Мои входы"
  • Протокол единого выхода из системы SAML
  • Использование внешних информационных систем AC-20
    Организация устанавливает условия, согласованные с любыми отношениями доверия, установленными с другими организациями, владеющими, операционными и/или поддерживающими внешние информационные системы, позволяя авторизованным лицам:
    (a.) Доступ к информационной системе из внешних информационных систем; и
    (b.) Обработка, хранение или передача управляемых организацией сведений с помощью внешних информационных систем.

    AC-20(1)
    Организация позволяет авторизованным лицам использовать внешнюю информационную систему для доступа к информационной системе или обработки, хранения или передачи информации, контролируемой организацией, только если организация:
    (a.) Проверяет реализацию необходимых элементов управления безопасностью во внешней системе, как указано в политике информационной безопасности организации и плане безопасности; или
    (b.) Сохраняет утвержденные соглашения о подключении к информационной системе или обработке с организацией, включающей внешнюю информационную систему.

    Определение условий, позволяющих авторизованным лицам получать доступ к развернутым клиентом ресурсам из внешних информационных систем, таких как неуправляемые устройства и внешние сети.

    Требуйте принятия условий использования полномочными пользователями, которые получают доступ к ресурсам из внешних систем. Реализуйте политики условного доступа, чтобы ограничить доступ из внешних систем. Политики условного доступа могут быть интегрированы с Defender for Cloud Apps, чтобы обеспечить управление облачными и локальными приложениями из внешних систем. Управление мобильными приложениями в Intune позволяет защитить на уровне приложений (в том числе пользовательских приложений и приложений из магазина) данные организации на управляемых устройствах, которые взаимодействуют с внешними системами. В качестве примера можно привести доступ к облачным службам. Вы можете использовать управление на устройствах, принадлежащих организации, а также личных устройствах.

    Условия

  • Термс использования: Microsoft Entra ID

    Условный доступ

  • Требовать, чтобы устройство было отмечено как соответствующее
  • Условия в политике условного доступа: состояние устройства (предварительная версия)
  • Защита с помощью Microsoft Defender для облачных приложений и управления условным доступом
  • Условие местоположения в условном доступе Microsoft Entra

    МDM

  • Что такое Microsoft Intune?
  • Что такое Defender for Cloud Apps?
  • Что такое управление приложениями в Microsoft Intune?

    Ресурс

  • Интеграция локальных приложений с Defender for Cloud Apps
  • Следующие шаги