Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом является важной частью достижения высокого уровня влияния в рамках Федеральной программы управления рисками и авторизациями (FedRAMP) для получения разрешения на эксплуатацию.
В следующем списке элементов управления и улучшения управления в семействе управления доступом (AC) может потребоваться настройка в клиенте Microsoft Entra.
| Семейство элементов управления | Описание |
|---|---|
| АС-2 | Управление учетной записью |
| AC-6 | Принцип наименьших привилегий |
| AC-7 | Неудачные попытки входа |
| AC-8 | Уведомление об использовании системы |
| AC-10 | Контроль одновременных сеансов |
| AC-11 | Блокировка сеанса |
| AC-12 | Завершение сеанса |
| AC-20 | Использование внешних информационных систем |
Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.
Конфигурации
| Идентификатор и описание элемента управления FedRAMP | Руководство и рекомендации Microsoft Entra |
|---|---|
|
УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ AC-2
Организация (b.) Назначает менеджеров учетных записей для учетных записей информационной системы; (c.) Устанавливает условия для членства в группах и ролевом членстве; (d.) Указывает авторизованных пользователей информационной системы, членства в группах и роли, а также авторизацию доступа (т. е. привилегии) и другие атрибуты (по мере необходимости) для каждой учетной записи; (e.) Требуется утверждение [назначение: определенный организацией персонал или роли] для запросов на создание учетных записей информационной системы; (f.) Создает, включает, изменяет, отключает и удаляет учетные записи информационной системы в соответствии с [Назначение: определенные организацией процедуры или условия]; (g.) Отслеживает использование учетных записей информационной системы;
(h.) Уведомляет менеджеров аккаунтов:
(i.) Авторизует доступ к информационной системе на основе: (j.) Проверяет соответствие требованиям к управлению учетными записями [Назначение FedRAMP: ежемесячно для привилегированного доступа, каждые шесть (6) месяцев для доступа без привилегий]; и (k.) Устанавливает процесс повторной отправки учетных данных общей или групповой учетной записи (если они развернуты) когда происходит удаление отдельных лиц из группы. |
Реализуйте управление жизненным циклом учетных записей, управляемых клиентом. Отслеживайте использование учетных записей и уведомляйте руководителей о событиях жизненного цикла учетных записей. Проверяйте привилегированные учетные записи на соответствие требованиям к управлению учетными записями каждый месяц, а непривилегированные — каждые шесть месяцев. Используйте Microsoft Entra ID для создания учетных записей из внешних систем управления персоналом, локальной Active Directory или непосредственно в облаке. Все операции жизненного цикла учетной записи проверяются в журналах аудита Microsoft Entra. Вы можете собирать и анализировать журналы с помощью решения "Сведения о безопасности и управление событиями" (SIEM), например Microsoft Sentinel. Кроме того, можно использовать Azure Event Hubs для интеграции журналов с сторонними решениями SIEM для включения мониторинга и уведомлений. Используйте Microsoft Entra управление правами с проверками доступа, чтобы обеспечить состояние соответствия учетных записей. Подготовка учетных записей Мониторинг учетных записей Проверка счетов Ресурсы
|
|
AC-2(1) Организация использует автоматизированные механизмы для поддержки управления учетными записями информационной системы. |
Использование автоматизированных механизмов для поддержки управления учетными записями, управляемыми клиентом. Настройте автоматическое развертывание управляемых клиентом учетных записей из внешних HR-систем или внутреннего Active Directory. Для приложений, поддерживающих предоставление приложений, настройте Microsoft Entra ID для автоматического создания удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Кроме создания учетных записей пользователей, автоматическое предоставление включает в себя обслуживание и удаление учетных записей пользователей по мере изменения их статуса или ролей. Чтобы упростить мониторинг использования учетных записей, можно передавать журналы Microsoft Entra ID Protection, которые показывают рискованных пользователей, рискованные входы и обнаружения рисков, а также журналы аудита непосредственно в Microsoft Sentinel или Центрах событий. Обеспечение Мониторинг и аудит |
|
AC-2(2) Информационная система автоматически [Выбор FedRAMP: отключает] временные и аварийные учетные записи после [назначения FedRAMP: 24 часа после последнего использования].
AC-02(3)
Ac-2 (3) Дополнительные требования и рекомендации FedRAMP: |
Использование автоматизированных механизмов для поддержки автоматического удаления или отключения временных учетных записей и учетных записей для экстренных ситуаций через 24 часа после последнего использования, а всех управляемых клиентом учетных записей — после 35-дневного периода бездействия. Реализуйте автоматизацию управления учетными записями с помощью Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для мониторинга действий входа и Microsoft Graph PowerShell для выполнения действий с учетными записями в требуемом временном интервале. Определение отсутствия активности Удаление или отключение учетных записей Работа с устройствами в Microsoft Graph См. документацию Microsoft Graph PowerShell |
|
AC-2(4) Информационная система автоматически ведет аудит создания, изменения, включения, отключения и удаления учетной записи, а также уведомляет [назначение FedRAMP: владелец системы организации и/или поставщика услуг]. |
Реализация автоматизированной системы аудита и создания уведомлений для жизненного цикла управления учетными записями, управляемыми клиентами. Все операции жизненного цикла учетной записи, такие как создание учетной записи, изменение, включение, отключение и удаление, проверяются в журналах аудита Azure. Журналы можно передавать непосредственно в Microsoft Sentinel или Event Hubs для помощи в уведомлениях. Аудит Уведомление |
|
AC-2(5) Для организации требуется, чтобы пользователи выходили из системы, когда [назначение FedRAMP: предполагается, что неактивность превысит пятнадцать (15) минут].
Дополнительные требования и рекомендации FedRAMP AC-2 (5) |
Реализовать выход из устройства после 15 минут бездействия. Реализуйте блокировку устройства с помощью политики условного доступа, которая ограничивает доступ к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений по управлению мобильными устройствами (MDM), таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей. Условный доступ Политика MDM |
|
AC-2(7)
Организация: |
Администрирование и мониторинг назначений привилегированных ролей в соответствии со схемой доступа на основе ролей для учетных записей, управляемых клиентом. Отключение или отзыв прав доступа для учетных записей, если они больше не подходят. Реализуйте Microsoft Entra Privileged Identity Management с проверками доступа для привилегированных ролей в Microsoft Entra ID для мониторинга назначений ролей и удаления назначений ролей, если они больше не подходят. Журналы аудита можно передавать непосредственно в Microsoft Sentinel или Центры событий, чтобы помочь в мониторинге. Администрирование Монитор |
|
AC-2(11) Информационная система обеспечивает [заданные организацией обстоятельства и/или условия использования] для [заданных организацией учетных записей информационной системы]. |
Принудительное использование управляемых клиентом учетных записей для выполнения определенных клиентом условий или обстоятельств. Создайте политики условного доступа для применения решений по управлению доступом для пользователей и устройств. Условный доступ |
|
AC-2(12)
Организация:
AC-2 (12) (a) и AC-2 (12) (b) Дополнительные требования и рекомендации FedRAMP: |
Выполнение мониторинга управляемых клиентом учетных записей с привилегированным доступом, чтобы определить нетипичное использование и создание соответствующих отчетов. Для мониторинга нетипичного использования можно передавать Microsoft Entra ID Protection журналы, в которых отображаются рискованные пользователи, рискованные входы и обнаружения рисков, а также журналы аудита, которые помогают корреляции с назначением привилегий, непосредственно в решение SIEM, например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий, чтобы интегрировать журналы со сторонними решениями SIEM. Защита идентификаторов Мониторинг учетных записей |
|
AC-2(13) Организация отключает учетные записи пользователей, представляющих значительный риск, в течение одного (1) часа после обнаружения риска в [назначении FedRAMP]. |
Отключите управляемые клиентом учетные записи пользователей, которые представляют значительный риск в течение одного часа. В Microsoft Entra ID Protection настройте и включите политику риска пользователей с пороговым значением "Высокий". Создайте политики условного доступа, чтобы заблокировать доступ для рискованных пользователей и рискованных входов. Настройте политики риска, чтобы пользователи могли самостоятельно исправить и разблокировать последующие попытки входа. Защита идентификаторов Условный доступ |
|
AC-6(7)
Организация: |
Ежегодная проверка и утверждение всех пользователей с привилегированным доступом. Проверка того, что разрешения переназначены (или при необходимости удалены) в соответствии с миссией организации и требованиями бизнеса. Используйте Microsoft Entra управление правами с проверками доступа для привилегированных пользователей, чтобы проверить, требуется ли привилегированный доступ. Проверки доступа |
|
Неудачные попытки входа AC-7
Организация: |
Применение ограничения, предусматривающего не более трех последовательных неудачных попыток входа в систему на развернутых клиентом ресурсах в течение 15 минут. Блокировка учетной записи минимум на три часа или до разблокировки администратором. Включите параметры настраиваемой смарт-блокировки. Настройте порог и продолжительность блокировки (в секундах) для реализации этих требований. Умная блокировка |
|
Уведомление об использовании системы AC-8
Информационная система: (b.) Сохраняет сообщение уведомления или баннер на экране, пока пользователи не признают условия использования и выполняют явные действия для входа в информационную систему или дальнейшего доступа к ней; и
(c.) Для общедоступных систем:
Дополнительные требования и рекомендации FedRAMP AC-8: |
Отображать для пользователей уведомления о конфиденциальности и безопасности и требовать их принятия, прежде чем предоставлять доступ к информационным системам. С помощью Microsoft Entra ID вы можете доставлять уведомления или баннерные сообщения для всех приложений, которым требуется подтверждение и запись перед предоставлением доступа. Вы можете детализировать политики условий использования для конкретных пользователей (роль "Участник" или "Гость"), Их можно также настроить для каждого приложения с помощью политик условного доступа. Условия использования |
|
Контроль одновременных сеансов AC-10 Информационная система ограничивает количество одновременных сеансов для каждого [назначения: определяемая организацией учетная запись и/или тип учетной записи] на [назначение FedRAMP: три (3) сеанса для привилегированного доступа и два (2) сеанса для не привилегированного доступа]. |
Ограничение количества одновременных сеансов до трех сеансов для привилегированного доступа и двух — для непривилегированного. В настоящее время пользователи подключаются с нескольких устройств, иногда одновременно. Поэтому задание предела на количество одновременных сеансов может привести к снижению качества взаимодействия с пользователем и предоставляет ограниченные значения безопасности. Лучший подход к реализации этого намерения — применение стратегии обеспечения безопасности "Никому не доверяй". В этом случае условия будут явно проверяться до создания сеанса и впоследствии постоянно проходить проверку на протяжении всего сеанса. Кроме того, используйте следующие компенсирующие меры управления. Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения ограничений на вход пользователей на уровне ОС с помощью таких решений MDM, как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Используйте Privileged Identity Management для дальнейшего ограничения и контроля привилегированных учетных записей. Настройте смарт-блокировку учетных записей для неудачных попыток входа. Руководство по реализации Нулевая доверие Условный доступ Политики устройств Ресурсы См. AC-12 для получения дополнительной информации о повторной оценке сеансов и снижении рисков. |
|
Блокировка сеанса AC-11 Информационная система: (a) Запрещает дополнительный доступ к системе путем инициирования блокировки сеанса после [назначения FedRAMP: пятнадцать (15) минут] бездействия или при получении запроса от пользователя; (b) Сохраняет блокировку сеанса до тех пор, пока пользователь не повторит доступ с помощью установленных процедур идентификации и проверки подлинности.
AC-11(1) |
Применение блокировки сеанса после 15-минутного периода бездействия или после получения запроса от пользователя. Удержание блокировки сеанса до повторной проверки подлинности пользователя. Сокрытие ранее видимой информации при инициировании блокировки сеанса. Реализуйте блокировку устройства с помощью политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений MDM, таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей. Условный доступ Политика MDM |
|
Завершение сеанса AC-12 Информационная система автоматически завершает сеанс пользователя после [Назначение: определенные организацией условия или триггер событий, требующих отключения сеанса]. |
Автоматическое завершение сеансов пользователей при выполнении определенных организацией условий или наличии событий триггера. Реализуйте автоматическую переоценку сеанса пользователя с помощью Microsoft Entra функций, таких как условный доступ на основе рисков и оценка непрерывного доступа. Условия бездействия можно реализовать на уровне устройства, как описано в разделе об AC-11. Ресурсы |
|
AC-12(1) Информационная система: (a.) Предоставляет возможность выхода из сеансов связи, инициированных пользователем, когда используется аутентификация для получения доступа к [Назначение: информационные ресурсы, определенные организацией]; и (b.) Отображает явное сообщение выхода для пользователей, указывающее надежное завершение сеансов обмена данными, прошедших проверку подлинности.
Дополнительные требования и рекомендации FedRAMP AC-8: |
Предоставление возможности выхода из системы для всех сеансов и отображение явного сообщения об этом действии. Все Microsoft Entra ID всплывающие веб-интерфейсы предоставляют возможность выхода для сеансов связи, инициированных пользователем. При интеграции приложений SAML с Microsoft Entra ID реализуйте единый выход. Возможность выхода из системы Показать сообщение
Ресурсы |
|
Использование внешних информационных систем AC-20 Организация устанавливает условия, согласованные с любыми отношениями доверия, установленными с другими организациями, владеющими, операционными и/или поддерживающими внешние информационные системы, позволяя авторизованным лицам: (a.) Доступ к информационной системе из внешних информационных систем; и (b.) Обработка, хранение или передача управляемых организацией сведений с помощью внешних информационных систем.
AC-20(1) |
Определение условий, позволяющих авторизованным лицам получать доступ к развернутым клиентом ресурсам из внешних информационных систем, таких как неуправляемые устройства и внешние сети. Требуйте принятия условий использования полномочными пользователями, которые получают доступ к ресурсам из внешних систем. Реализуйте политики условного доступа, чтобы ограничить доступ из внешних систем. Политики условного доступа могут быть интегрированы с Defender for Cloud Apps, чтобы обеспечить управление облачными и локальными приложениями из внешних систем. Управление мобильными приложениями в Intune позволяет защитить на уровне приложений (в том числе пользовательских приложений и приложений из магазина) данные организации на управляемых устройствах, которые взаимодействуют с внешними системами. В качестве примера можно привести доступ к облачным службам. Вы можете использовать управление на устройствах, принадлежащих организации, а также личных устройствах. Условия Условный доступ МDM Ресурс |