Настройка элементов управления доступом удостоверений для обеспечения соответствия уровню влияния FedRAMP High

Статья
10/28/2023

Управление доступом является важной частью достижения уровня влияния FedRAMP High (Федеральная программа аккредитации облачных служб).

В следующем списке элементов управления и улучшения управления в семействе управления доступом (AC) может потребоваться настройка в клиенте Microsoft Entra.

Семейство элементов управления	Description
AC-2	Управление учетной записью
AC-6	Предоставление прав по принципу минимальных разрешений
AC-7	Неудачные попытки входа
AC-8	Уведомление об использовании системы
AC-10	Контроль одновременных сеансов
AC-11	Блокировка сеанса
AC-12	Завершение сеанса
AC-20	Использование внешних информационных систем

Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.

Конфигурации

Идентификатор и описание элемента управления FedRAMP	Рекомендации и рекомендации Microsoft Entra
УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ AC-2 Организация (a.) Определяет и выбирает следующие типы учетных записей информационной системы для поддержки организационных миссий и бизнес-функций: [Назначение: определенные организацией типы учетных записей информационной системы]; (b.) Назначает диспетчеры учетных записей для учетных записей информационной системы; (c.) Устанавливает условия для членства в группах и ролевом членстве; (d.) Указывает авторизованных пользователей информационной системы, членства в группах и роли, а также авторизацию доступа (т. е. привилегии) и другие атрибуты (по мере необходимости) для каждой учетной записи; (e.) Требуется утверждение [назначение: определенный организацией персонал или роли] для запросов на создание учетных записей информационной системы; (f.) Создает, включает, изменяет, отключает и удаляет учетные записи информационной системы в соответствии с [Назначение: определенные организацией процедуры или условия]; (g.) Отслеживает использование учетных записей информационной системы; (h.) Уведомляет диспетчеров учетных записей: (1.) Если учетные записи больше не требуются; (2.) При завершении или передаче пользователей; и (3.) При изменении использования отдельной информационной системы или необходимости в курсе изменений; (i.) Авторизует доступ к информационной системе на основе: (1.) Допустимая авторизация доступа; (2.) Предполагаемое использование системы; и (3.) Другие атрибуты, необходимые организации или связанным миссиям или бизнес-функциям; (j.) Проверяет соответствие требованиям к управлению учетными записями [Назначение FedRAMP: ежемесячно для привилегированного доступа, каждые шесть (6) месяцев для доступа без привилегий]; и (k.) Устанавливает процесс повторной отправки учетных данных общей или групповой учетной записи (при развертывании) при удалении отдельных лиц из группы.	Реализуйте управление жизненным циклом учетных записей, управляемых клиентом. Отслеживайте использование учетных записей и уведомляйте руководителей о событиях жизненного цикла учетных записей. Проверяйте привилегированные учетные записи на соответствие требованиям к управлению учетными записями каждый месяц, а непривилегированные — каждые шесть месяцев. Используйте идентификатор Microsoft Entra для подготовки учетных записей из внешних систем управления персоналом, локальная служба Active Directory или непосредственно в облаке. Все операции жизненного цикла учетной записи проверяются в журналах аудита Microsoft Entra. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений. Используйте управление правами Microsoft Entra с проверками доступа, чтобы обеспечить состояние соответствия учетных записей. Подготовка учетных записей Планирование облачного приложения hr в microsoft Entra для подготовки пользователей Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации Добавляйте или удаляйте пользователей, используя Microsoft Entra ID Мониторинг учетных записей Отчеты о действиях аудита в Центре администрирования Microsoft Entra Подключение данных Microsoft Entra к Microsoft Sentinel Учебник по потоковой передаче журналов в концентратор событий Azure Проверка счетов Что такое управление правами Microsoft Entra? Создание проверки доступа пакета доступа в службе управления правами Microsoft Entra Проверка доступа к пакету доступа в службе управления правами Microsoft Entra Ресурсы Разрешения роли администратора в Microsoft Entra ID Динамические группы в идентификаторе Microsoft Entra
AC-2(1) Организация использует автоматизированные механизмы для поддержки управления учетными записями информационной системы.	Использование автоматизированных механизмов для поддержки управления учетными записями, управляемыми клиентом. Настройка автоматизированной подготовки учетных записей, управляемых клиентом, из внешних систем управления персоналом или Windows Server Active Directory. Для приложений, поддерживающих подготовку приложений, настройте идентификатор Microsoft Entra для автоматического создания удостоверений пользователей и ролей в облачном программном обеспечении в качестве приложения SaaS, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Чтобы упростить мониторинг использования учетных записей, можно передавать журналы Защита идентификации Microsoft Entra, в которых отображаются рискованные пользователи, рискованные входы и обнаружения рисков, а также журналы аудита непосредственно в Microsoft Sentinel или Центры событий. Подготовка Планирование облачного приложения hr в microsoft Entra для подготовки пользователей Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации Что такое автоматическая подготовка пользователей приложения SaaS в идентификаторе Microsoft Entra? Руководства по интеграции приложений SaaS для использования с идентификатором Microsoft Entra Мониторинг и аудит Исследование риска Отчеты о действиях аудита в Центре администрирования Microsoft Entra Что такое Microsoft Sentinel? Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure
AC-2(2) Информационная система автоматически [Выбор FedRAMP: отключает] временные и аварийные учетные записи после [назначения FedRAMP: 24 часа после последнего использования]. AC-02(3) Информационная система автоматически отключает неактивные учетные записи после [назначения FedRAMP: тридцать пять (35) дней для учетных записей пользователей]. Ac-2 (3) Дополнительные требования и рекомендации FedRAMP: Требование. Поставщик услуг определяет период времени для учетных записей, отличных от пользователей (например, учетных записей, связанных с устройствами). Периоды времени утверждены и принимаются JAB/AO. Когда управление пользователями является функцией службы, отчеты о действиях пользователей-потребителей должны быть доступны.	Использование автоматизированных механизмов для поддержки автоматического удаления или отключения временных учетных записей и учетных записей для экстренных ситуаций через 24 часа после последнего использования, а всех управляемых клиентом учетных записей — после 35-дневного периода бездействия. Реализуйте автоматизацию управления учетными записями с помощью Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для отслеживания действий входа и Microsoft Graph PowerShell, чтобы принять меры по учетным записям в требуемом интервале времени. Определение отсутствия активности Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra Управление устаревшими устройствами в идентификаторе Microsoft Entra Удаление или отключение учетных записей Работа с пользователями в Microsoft Graph Получение пользователя Обновление пользователя Удаление пользователя Работа с устройствами в Microsoft Graph Получение устройства Обновление устройства Удаление устройства См. документацию по Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) Информационная система автоматически проверяет создание учетной записи, изменение, включение, отключение и удаление действий, а также уведомляет [назначение FedRAMP: владелец системы поставщика услуг и организации].	Реализация автоматизированной системы аудита и создания уведомлений для жизненного цикла управления учетными записями, управляемыми клиентами. Все операции жизненного цикла учетной записи (создание, изменение, включение, отключение и удаление) подлежат аудиту в журналах аудита Azure. Вы можете выполнять потоковую передачу журналов непосредственно в Microsoft Sentinel или в Центры событий, чтобы ускорить уведомление. Audit Отчеты о действиях аудита в Центре администрирования Microsoft Entra Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra Notification Что такое Microsoft Sentinel? Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure
AC-2(5) Для организации требуется, чтобы пользователи выходить из системы, когда [назначение FedRAMP: неактивность, как ожидается, превысит пятнадцать (15) минут]. Дополнительные требования и рекомендации FedRAMP ac-2 (5) Руководство. Следует использовать более короткий интервал времени, чем AC-12	Реализация операции выхода для устройства после 15-минутного периода бездействия. Реализуйте блокировку устройства с помощью политики условного доступа, которая ограничивает доступ к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений по управлению мобильными устройствами (MDM), таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей. Условный доступ Требовать, чтобы устройство было отмечено как соответствующее Частота входа пользователя Политика MDM Задайте для устройства максимальное количество времени (в минутах) бездействия, прежде чем экран будет заблокирован и для его разблокировки потребуется ввести пароль (Android, iOS, Windows 10).
AC-2(7) Организация: (a.) Устанавливает и администрирует привилегированные учетные записи пользователей в соответствии с схемой доступа на основе ролей, которая упорядочивает разрешенный доступ к информационной системе и привилегии в роли; (b) Отслеживает назначения привилегированных ролей; и (c) Принимает [назначение FedRAMP: отключает или отменяет доступ в течение указанного организацией периода времени], когда назначения привилегированных ролей больше не подходят.	Администрирование и мониторинг назначений привилегированных ролей в соответствии со схемой доступа на основе ролей для учетных записей, управляемых клиентом. Отключение или отзыв прав доступа для учетных записей, если они больше не подходят. Реализуйте microsoft Entra управление привилегированными пользователями с проверками доступа для привилегированных ролей в идентификаторе Microsoft Entra для отслеживания назначений ролей и удаления назначений ролей, если они больше не подходят. Вы можете выполнять потоковую передачу журналов аудита непосредственно в Microsoft Sentinel или в Центры событий, чтобы улучшить мониторинг. Администрирование Что такое управление привилегированными пользователями Microsoft Entra? Максимальная длительность активации Azure Monitor Создание проверки доступа ролей Microsoft Entra в управление привилегированными пользователями Просмотр журнала аудита ролей Microsoft Entra в управление привилегированными пользователями Отчеты о действиях аудита в Центре администрирования Microsoft Entra Что такое Microsoft Sentinel? Подключение данных из идентификатора Microsoft Entra Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure
AC-2(11) Информационная система применяет [назначение: определенные организацией обстоятельства и/или условия использования] для [назначение: учетные записи информационной системы, определяемые организацией].	Принудительное использование управляемых клиентом учетных записей для выполнения определенных клиентом условий или обстоятельств. Создайте политики условного доступа для применения решений по управлению доступом для пользователей и устройств. Условный доступ Создание политики условного доступа Что такое условный доступ?
AC-2(12) Организация: (a) Отслеживает учетные записи информационной системы для [назначения: определяемое организацией нетипическое использование]; и (b) Сообщает о нетипичном использовании учетных записей информационной системы в [назначение FedRAMP: как минимум, ISSO и/или аналогичная роль в организации]. AC-2 (12) (a) и AC-2 (12) (b) Дополнительные требования и рекомендации FedRAMP: Требуется для привилегированных учетных записей.	Выполнение мониторинга управляемых клиентом учетных записей с привилегированным доступом, чтобы определить нетипичное использование и создание соответствующих отчетов. Для мониторинга нетипичного использования можно передавать Защита идентификации Microsoft Entra журналы, которые показывают рискованных пользователей, рискованные входы и обнаружения рисков, а также журналы аудита, которые помогают корреляции с назначением привилегий, непосредственно в решение SIEM, например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий, чтобы интегрировать журналы со сторонними решениями SIEM. Защита идентификаторов Что собой представляет защита идентификатора Microsoft Entra Исследование риска уведомления Защита идентификации Microsoft Entra Мониторинг учетных записей Что такое Microsoft Sentinel? Отчеты о действиях аудита в Центре администрирования Microsoft Entra Подключение данных Microsoft Entra к Microsoft Sentinel Учебник по потоковой передаче журналов в концентратор событий Azure
AC-2(13) Организация отключает учетные записи пользователей, которые подвергаются значительному риску в [назначении FedRAMP: один (1) час] обнаружения риска.	Отключите управляемые клиентом учетные записи пользователей, которые представляют значительный риск в течение одного часа. В Защита идентификации Microsoft Entra настройте и включите политику риска пользователей с пороговым значением "Высокий". Создайте политики условного доступа, чтобы заблокировать доступ для рискованных пользователей и рискованных входов. Настройте политики риска, чтобы пользователи могли самостоятельно исправить и разблокировать последующие попытки входа. Защита идентификаторов Что собой представляет защита идентификатора Microsoft Entra Условный доступ Что такое условный доступ? Создание политики условного доступа Условный доступ: условный доступ на основе рисков пользователей Условный доступ: условный доступ на основе входа Самостоятельное исправление с помощью политики риска
AC-6(7) Организация: (a.) Проверяет [назначение FedRAMP: по крайней мере, ежегодно] привилегии, назначенные [назначению FedRAMP: всем пользователям с привилегиями], чтобы проверить необходимость таких привилегий; и (b.) При необходимости переназначает или удаляет привилегии, чтобы правильно отразить потребности организации или бизнеса.	Ежегодная проверка и утверждение всех пользователей с привилегированным доступом. Проверка того, что разрешения переназначены (или при необходимости удалены) в соответствии с миссией организации и требованиями бизнеса. Используйте управление правами Microsoft Entra с проверками доступа для привилегированных пользователей, чтобы проверить, требуется ли привилегированный доступ. Проверки доступа Что такое управление правами Microsoft Entra? Создание проверки доступа ролей Microsoft Entra в управление привилегированными пользователями Проверка доступа к пакету доступа в службе управления правами Microsoft Entra
Неудачные попытки входа AC-7 Организация: (a.) Принудительно применяет ограничение [назначение FedRAMP: не более трех (3)] последовательных недопустимых попыток входа пользователем во время [назначения FedRAMP: пятнадцать (15) минут]; и (b.) Автоматически [Выбор: блокирует учетную запись или узел для назначения [FedRAMP: не менее трех (3) часов или до разблокировки администратором]; задержки следующего входа в запрос в соответствии с [Назначение: алгоритм задержки, определяемый организацией]] при превышении максимального количества неудачных попыток.	Применение ограничения, предусматривающего не более трех последовательных неудачных попыток входа в систему на развернутых клиентом ресурсах в течение 15 минут. Блокировка учетной записи минимум на три часа или до разблокировки администратором. Включите параметры настраиваемой смарт-блокировки. Настройте порог и продолжительность блокировки (в секундах) для реализации этих требований. Смарт-блокировка Смарт-блокировка Microsoft Entra: защита учетных записей пользователей от атак Управление значениями смарт-блокировки Microsoft Entra
Уведомление об использовании системы AC-8 Информационная система: (a.) Отображается пользователям [Назначение: определенное организацией сообщение об использовании уведомлений или баннер (назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением доступа к системе, которая предоставляет уведомления о конфиденциальности и безопасности в соответствии с применимыми федеральными законами, директивами, политиками, правилами, стандартами и рекомендациями и говорит: (1.) Пользователи получают доступ к информационной системе США для государственных организаций; (2.) Использование информационной системы может отслеживаться, записываться и подвергаться аудиту; (3.) Несанкционированное использование информационной системы запрещено и подлежит уголовным и гражданским наказаниям; и (4.) Использование информационной системы указывает согласие на мониторинг и запись; (b.) Сохраняет сообщение уведомления или баннер на экране, пока пользователи не признают условия использования и выполняют явные действия для входа в информационную систему или дальнейшего доступа к ней; и (c.) Для общедоступных систем: (1.) Отображает сведения об использовании системы [Назначение: определенные организацией условия (Назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением дополнительного доступа; (2.) Отображает ссылки, если таковые имеются, для мониторинга, записи или аудита, которые соответствуют конфиденциальности для таких систем, которые обычно запрещают эти действия; и (3.) Включает описание авторизованного использования системы. Дополнительные требования и рекомендации FedRAMP AC-8: Требование. Поставщик услуг должен определять элементы облачной среды, для которых требуется элемент управления "Системное использование уведомлений". Элементы облачной среды, для которой требуется уведомление об использовании системы, утверждены и принимаются JAB/AO. Требование. Поставщик услуг должен определить способ проверки уведомления об использовании системы и обеспечить соответствующую периодичность проверки. Проверка и периодичность использования системы утверждены и принимаются JAB/AO. Руководство. Если выполняется в рамках проверки базовой конфигурации, то можно указать процент элементов, требующих установки, и пройти проверку (или сбой). Требование. Если проверка конфигурации не выполняется в рамках проверки конфигурации, необходимо задокументировать соглашение о том, как обеспечить результаты проверки и необходимую периодичность проверки поставщиком услуг. Документированные соглашения о том, как обеспечить проверку результатов, утверждены и приняты JAB/AO.	Отображать для пользователей уведомления о конфиденциальности и безопасности и требовать их принятия, прежде чем предоставлять доступ к информационным системам. С помощью идентификатора Microsoft Entra вы можете доставлять уведомления или баннерные сообщения для всех приложений, которым требуется подтверждение и запись перед предоставлением доступа. Вы можете детализировать политики условий использования для конкретных пользователей (роль "Участник" или "Гость"), Их можно также настроить для каждого приложения с помощью политик условного доступа. Условия использования Условия использования Microsoft Entra Просмотр отчета о том, кто принял и отказался
Одновременный элемент управления сеансами AC-10 Информационная система ограничивает количество одновременных сеансов для каждого [назначения: определяемая организацией учетная запись и/или тип учетной записи] на [назначение FedRAMP: три (3) сеанса для привилегированного доступа и два (2) сеанса для не привилегированного доступа].	Ограничение количества одновременных сеансов до трех сеансов для привилегированного доступа и двух — для непривилегированного. В настоящее время пользователи подключаются с нескольких устройств, иногда одновременно. Поэтому задание предела на количество одновременных сеансов может привести к снижению качества взаимодействия с пользователем и предоставляет ограниченные значения безопасности. Лучший подход к реализации этого намерения — применение стратегии обеспечения безопасности "Никому не доверяй". В этом случае условия будут явно проверяться до создания сеанса и впоследствии постоянно проходить проверку на протяжении всего сеанса. Кроме того, вы можете использовать следующие элементы управления с компенсацией риска. Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения ограничений на вход пользователей на уровне ОС с помощью таких решений MDM, как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Используйте Azure AD Privileged Identity Management, чтобы дополнительно ограничивать и контролировать привилегированные учетные записи. Настройте смарт-блокировку учетных записей для неудачных попыток входа. Руководство по реализации Решение "Никому не доверяй" Защита удостоверения с использованием нулевого доверия Оценка непрерывного доступа в идентификаторе Microsoft Entra Условный доступ Что такое условный доступ в идентификаторе Microsoft Entra? Требовать, чтобы устройство было отмечено как соответствующее Частота входа пользователя Политики устройств Другие параметры и разделы реестра для групповой политики смарт-карты Обзор Microsoft Endpoint Manager Ресурсы Что такое управление привилегированными пользователями Microsoft Entra? Смарт-блокировка Microsoft Entra: защита учетных записей пользователей от атак См. описание AC-12, чтобы узнать дополнительные сведения о повторной оценке и снижении рисков для сеансов.
Блокировка сеанса AC-11 Информационная система: (a) Запрещает дополнительный доступ к системе путем инициирования блокировки сеанса после [назначения FedRAMP: пятнадцать (15) минут] бездействия или при получении запроса от пользователя; (b) Сохраняет блокировку сеанса до тех пор, пока пользователь не повторит доступ с помощью установленных процедур идентификации и проверки подлинности. AC-11(1) Информационная система скрывает данные с помощью блокировки сеанса, ранее видимые на экране с общедоступным изображением.	Применение блокировки сеанса после 15-минутного периода бездействия или после получения запроса от пользователя. Удержание блокировки сеанса до повторной проверки подлинности пользователя. Сокрытие ранее видимой информации при инициировании блокировки сеанса. Реализуйте блокировку устройства с помощью политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений MDM, таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей. Условный доступ Требовать, чтобы устройство было отмечено как соответствующее Частота входа пользователя Политика MDM Задайте для устройства максимальное количество времени (в минутах) бездействия, прежде чем экран будет заблокирован (Android, iOS, Windows 10).
Завершение сеанса AC-12 Информационная система автоматически завершает сеанс пользователя после [Назначение: определенные организацией условия или триггер событий, требующих отключения сеанса].	Автоматическое завершение сеансов пользователей при выполнении определенных организацией условий или наличии событий триггера. Реализуйте автоматическую переоценку сеанса пользователя с помощью функций Microsoft Entra, таких как условный доступ на основе рисков и оценка непрерывного доступа. Условия бездействия можно реализовать на уровне устройства, как описано в разделе об AC-11. Ресурсы Условный доступ на основе риска для входа Условный доступ на основе рисков пользователей Оценка непрерывного доступа
AC-12(1) Информационная система: (a.) Предоставляет возможность выхода для сеансов связи, инициированных пользователем, при каждом использовании проверки подлинности для получения доступа к [назначение: определенные организацией информационные ресурсы]; и (b.) Отображает явное сообщение выхода для пользователей, указывающее надежное завершение сеансов обмена данными, прошедших проверку подлинности. Дополнительные требования и рекомендации FedRAMP AC-8: Руководство. Тестирование функциональных возможностей выхода (OTG-SESS-006) для функциональных возможностей выхода	Предоставление возможности выхода из системы для всех сеансов и отображение явного сообщения об этом действии. Все веб-интерфейсы идентификатора Microsoft Entra ID предоставляют возможность выхода для сеансов связи, инициированных пользователем. При интеграции приложений SAML с идентификатором Microsoft Entra реализуйте единый выход. Возможность выхода из системы Когда пользователь выбирает Sign-out everywhere (Выполнить выход на всех устройствах), происходит отмена всех в настоящее время выданных токенов. Показать сообщение Идентификатор Microsoft Entra автоматически отображает сообщение после выхода, инициированного пользователем. Ресурсы Просмотр и поиск недавних действий входа со страницы "Мои входы" Протокол единого выхода SAML
Использование внешних информационных систем AC-20 Организация устанавливает условия, согласованные с любыми отношениями доверия, установленными с другими организациями, владеющими, операционными и/или поддерживающими внешние информационные системы, позволяя авторизованным лицам: (a.) Доступ к информационной системе из внешних информационных систем; и (b.) Обработка, хранение или передача управляемых организацией сведений с помощью внешних информационных систем. AC-20(1) Организация позволяет авторизованным лицам использовать внешнюю информационную систему для доступа к информационной системе или обработки, хранения или передачи информации, контролируемой организацией, только если организация: (a.) Проверяет реализацию необходимых элементов управления безопасностью во внешней системе, как указано в политике информационной безопасности организации и плане безопасности; или (b.) Сохраняет утвержденные соглашения о подключении к информационной системе или обработке с организацией, включающей внешнюю информационную систему.	Определение условий, позволяющих авторизованным лицам получать доступ к развернутым клиентом ресурсам из внешних информационных систем, таких как неуправляемые устройства и внешние сети. Требуйте принятия условий использования полномочными пользователями, которые получают доступ к ресурсам из внешних систем. Реализуйте политики условного доступа, чтобы ограничить доступ из внешних систем. Политики условного доступа могут быть интегрированы с Defender для облака приложениями для предоставления элементов управления облачными и локальными приложениями из внешних систем. Управление мобильными приложениями в Intune позволяет защитить на уровне приложений (в том числе пользовательских приложений и приложений из магазина) данные организации на управляемых устройствах, которые взаимодействуют с внешними системами. В качестве примера можно привести доступ к облачным службам. Вы можете использовать управление на устройствах, принадлежащих организации, а также личных устройствах. Условия Условия использования: идентификатор Microsoft Entra Условный доступ Требовать, чтобы устройство было отмечено как соответствующее Условия в политике условного доступа: состояние устройства (предварительная версия) Защита с использованием Microsoft Defender for Cloud Apps — Управление условным доступом к приложениям Условие расположения в условном доступе Microsoft Entra MDM Что такое Microsoft Intune? Что такое Defender for Cloud Apps? Что такое управление приложениями в Microsoft Intune? Ресурс Интеграция локальных приложений с Defender for Cloud Apps

Идентификатор и описание элемента управления FedRAMP

Рекомендации и рекомендации Microsoft Entra

УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ AC-2

Организация
(a.) Определяет и выбирает следующие типы учетных записей информационной системы для поддержки организационных миссий и бизнес-функций: [Назначение: определенные организацией типы учетных записей информационной системы];

(b.) Назначает диспетчеры учетных записей для учетных записей информационной системы;

(c.) Устанавливает условия для членства в группах и ролевом членстве;

(d.) Указывает авторизованных пользователей информационной системы, членства в группах и роли, а также авторизацию доступа (т. е. привилегии) и другие атрибуты (по мере необходимости) для каждой учетной записи;

(e.) Требуется утверждение [назначение: определенный организацией персонал или роли] для запросов на создание учетных записей информационной системы;

(f.) Создает, включает, изменяет, отключает и удаляет учетные записи информационной системы в соответствии с [Назначение: определенные организацией процедуры или условия];

(g.) Отслеживает использование учетных записей информационной системы;

(h.) Уведомляет диспетчеров учетных записей:
(1.) Если учетные записи больше не требуются;
(2.) При завершении или передаче пользователей; и
(3.) При изменении использования отдельной информационной системы или необходимости в курсе изменений;

(i.) Авторизует доступ к информационной системе на основе:
(1.) Допустимая авторизация доступа;
(2.) Предполагаемое использование системы; и
(3.) Другие атрибуты, необходимые организации или связанным миссиям или бизнес-функциям;

(j.) Проверяет соответствие требованиям к управлению учетными записями [Назначение FedRAMP: ежемесячно для привилегированного доступа, каждые шесть (6) месяцев для доступа без привилегий]; и

(k.) Устанавливает процесс повторной отправки учетных данных общей или групповой учетной записи (при развертывании) при удалении отдельных лиц из группы.

Реализуйте управление жизненным циклом учетных записей, управляемых клиентом. Отслеживайте использование учетных записей и уведомляйте руководителей о событиях жизненного цикла учетных записей. Проверяйте привилегированные учетные записи на соответствие требованиям к управлению учетными записями каждый месяц, а непривилегированные — каждые шесть месяцев.

Используйте идентификатор Microsoft Entra для подготовки учетных записей из внешних систем управления персоналом, локальная служба Active Directory или непосредственно в облаке. Все операции жизненного цикла учетной записи проверяются в журналах аудита Microsoft Entra. Данные журналов можно собирать и анализировать с помощью решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий Azure, чтобы интегрировать журналы со сторонними решениями SIEM, чтобы включить мониторинг и функцию создания уведомлений. Используйте управление правами Microsoft Entra с проверками доступа, чтобы обеспечить состояние соответствия учетных записей.

Подготовка учетных записей

Планирование облачного приложения hr в microsoft Entra для подготовки пользователей

Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации

Добавляйте или удаляйте пользователей, используя Microsoft Entra ID

Мониторинг учетных записей

Отчеты о действиях аудита в Центре администрирования Microsoft Entra

Подключение данных Microsoft Entra к Microsoft Sentinel

Учебник по потоковой передаче журналов в концентратор событий Azure

Проверка счетов

Что такое управление правами Microsoft Entra?

Создание проверки доступа пакета доступа в службе управления правами Microsoft Entra

Проверка доступа к пакету доступа в службе управления правами Microsoft Entra

Ресурсы

Разрешения роли администратора в Microsoft Entra ID

Динамические группы в идентификаторе Microsoft Entra

AC-2(1)
Организация использует автоматизированные механизмы для поддержки управления учетными записями информационной системы.

Использование автоматизированных механизмов для поддержки управления учетными записями, управляемыми клиентом.

Настройка автоматизированной подготовки учетных записей, управляемых клиентом, из внешних систем управления персоналом или Windows Server Active Directory. Для приложений, поддерживающих подготовку приложений, настройте идентификатор Microsoft Entra для автоматического создания удостоверений пользователей и ролей в облачном программном обеспечении в качестве приложения SaaS, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Чтобы упростить мониторинг использования учетных записей, можно передавать журналы Защита идентификации Microsoft Entra, в которых отображаются рискованные пользователи, рискованные входы и обнаружения рисков, а также журналы аудита непосредственно в Microsoft Sentinel или Центры событий.

Подготовка

Планирование облачного приложения hr в microsoft Entra для подготовки пользователей

Синхронизация Microsoft Entra Connect: общие сведения и настройка синхронизации

Что такое автоматическая подготовка пользователей приложения SaaS в идентификаторе Microsoft Entra?

Руководства по интеграции приложений SaaS для использования с идентификатором Microsoft Entra

Мониторинг и аудит

Исследование риска

Отчеты о действиях аудита в Центре администрирования Microsoft Entra

Что такое Microsoft Sentinel?

Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra

Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure

AC-2(2)
Информационная система автоматически [Выбор FedRAMP: отключает] временные и аварийные учетные записи после [назначения FedRAMP: 24 часа после последнего использования].

AC-02(3)
Информационная система автоматически отключает неактивные учетные записи после [назначения FedRAMP: тридцать пять (35) дней для учетных записей пользователей].

Ac-2 (3) Дополнительные требования и рекомендации FedRAMP:
Требование. Поставщик услуг определяет период времени для учетных записей, отличных от пользователей (например, учетных записей, связанных с устройствами). Периоды времени утверждены и принимаются JAB/AO. Когда управление пользователями является функцией службы, отчеты о действиях пользователей-потребителей должны быть доступны.

Использование автоматизированных механизмов для поддержки автоматического удаления или отключения временных учетных записей и учетных записей для экстренных ситуаций через 24 часа после последнего использования, а всех управляемых клиентом учетных записей — после 35-дневного периода бездействия.

Реализуйте автоматизацию управления учетными записями с помощью Microsoft Graph и Microsoft Graph PowerShell. Используйте Microsoft Graph для отслеживания действий входа и Microsoft Graph PowerShell, чтобы принять меры по учетным записям в требуемом интервале времени.

Определение отсутствия активности

Управление неактивными учетными записями пользователей в идентификаторе Microsoft Entra

Управление устаревшими устройствами в идентификаторе Microsoft Entra

Удаление или отключение учетных записей

Работа с пользователями в Microsoft Graph

Получение пользователя

Обновление пользователя

Удаление пользователя

Работа с устройствами в Microsoft Graph

Получение устройства

Обновление устройства

Удаление устройства

См. документацию по Microsoft Graph PowerShell

AC-2(4)
Информационная система автоматически проверяет создание учетной записи, изменение, включение, отключение и удаление действий, а также уведомляет [назначение FedRAMP: владелец системы поставщика услуг и организации].

Реализация автоматизированной системы аудита и создания уведомлений для жизненного цикла управления учетными записями, управляемыми клиентами.

Все операции жизненного цикла учетной записи (создание, изменение, включение, отключение и удаление) подлежат аудиту в журналах аудита Azure. Вы можете выполнять потоковую передачу журналов непосредственно в Microsoft Sentinel или в Центры событий, чтобы ускорить уведомление.

Audit

Отчеты о действиях аудита в Центре администрирования Microsoft Entra

Microsoft Sentinel: подключение данных из идентификатора Microsoft Entra

Notification

Что такое Microsoft Sentinel?

Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure

AC-2(5)
Для организации требуется, чтобы пользователи выходить из системы, когда [назначение FedRAMP: неактивность, как ожидается, превысит пятнадцать (15) минут].

Дополнительные требования и рекомендации FedRAMP ac-2 (5)
Руководство. Следует использовать более короткий интервал времени, чем AC-12

Реализация операции выхода для устройства после 15-минутного периода бездействия.

Реализуйте блокировку устройства с помощью политики условного доступа, которая ограничивает доступ к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений по управлению мобильными устройствами (MDM), таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей.

Условный доступ

Требовать, чтобы устройство было отмечено как соответствующее

Частота входа пользователя

Политика MDM

Задайте для устройства максимальное количество времени (в минутах) бездействия, прежде чем экран будет заблокирован и для его разблокировки потребуется ввести пароль (Android, iOS, Windows 10).

AC-2(7)

Организация:
(a.) Устанавливает и администрирует привилегированные учетные записи пользователей в соответствии с схемой доступа на основе ролей, которая упорядочивает разрешенный доступ к информационной системе и привилегии в роли;
(b) Отслеживает назначения привилегированных ролей; и
(c) Принимает [назначение FedRAMP: отключает или отменяет доступ в течение указанного организацией периода времени], когда назначения привилегированных ролей больше не подходят.

Администрирование и мониторинг назначений привилегированных ролей в соответствии со схемой доступа на основе ролей для учетных записей, управляемых клиентом. Отключение или отзыв прав доступа для учетных записей, если они больше не подходят.

Реализуйте microsoft Entra управление привилегированными пользователями с проверками доступа для привилегированных ролей в идентификаторе Microsoft Entra для отслеживания назначений ролей и удаления назначений ролей, если они больше не подходят. Вы можете выполнять потоковую передачу журналов аудита непосредственно в Microsoft Sentinel или в Центры событий, чтобы улучшить мониторинг.

Администрирование

Что такое управление привилегированными пользователями Microsoft Entra?

Максимальная длительность активации

Azure Monitor

Создание проверки доступа ролей Microsoft Entra в управление привилегированными пользователями

Просмотр журнала аудита ролей Microsoft Entra в управление привилегированными пользователями

Отчеты о действиях аудита в Центре администрирования Microsoft Entra

Что такое Microsoft Sentinel?

Подключение данных из идентификатора Microsoft Entra

Руководство. Потоковая передача журналов Microsoft Entra в концентратор событий Azure

AC-2(11)
Информационная система применяет [назначение: определенные организацией обстоятельства и/или условия использования] для [назначение: учетные записи информационной системы, определяемые организацией].

Принудительное использование управляемых клиентом учетных записей для выполнения определенных клиентом условий или обстоятельств.

Создайте политики условного доступа для применения решений по управлению доступом для пользователей и устройств.

Условный доступ

Создание политики условного доступа

Что такое условный доступ?

AC-2(12)

Организация:
(a) Отслеживает учетные записи информационной системы для [назначения: определяемое организацией нетипическое использование]; и
(b) Сообщает о нетипичном использовании учетных записей информационной системы в [назначение FedRAMP: как минимум, ISSO и/или аналогичная роль в организации].

AC-2 (12) (a) и AC-2 (12) (b) Дополнительные требования и рекомендации FedRAMP:
Требуется для привилегированных учетных записей.

Выполнение мониторинга управляемых клиентом учетных записей с привилегированным доступом, чтобы определить нетипичное использование и создание соответствующих отчетов.

Для мониторинга нетипичного использования можно передавать Защита идентификации Microsoft Entra журналы, которые показывают рискованных пользователей, рискованные входы и обнаружения рисков, а также журналы аудита, которые помогают корреляции с назначением привилегий, непосредственно в решение SIEM, например Microsoft Sentinel. Кроме того, вы можете использовать Центры событий, чтобы интегрировать журналы со сторонними решениями SIEM.

Защита идентификаторов

Что собой представляет защита идентификатора Microsoft Entra

Исследование риска

уведомления Защита идентификации Microsoft Entra

Мониторинг учетных записей

Что такое Microsoft Sentinel?

Отчеты о действиях аудита в Центре администрирования Microsoft Entra

Подключение данных Microsoft Entra к Microsoft Sentinel

Учебник по потоковой передаче журналов в концентратор событий Azure

AC-2(13)
Организация отключает учетные записи пользователей, которые подвергаются значительному риску в [назначении FedRAMP: один (1) час] обнаружения риска.

Отключите управляемые клиентом учетные записи пользователей, которые представляют значительный риск в течение одного часа.

В Защита идентификации Microsoft Entra настройте и включите политику риска пользователей с пороговым значением "Высокий". Создайте политики условного доступа, чтобы заблокировать доступ для рискованных пользователей и рискованных входов. Настройте политики риска, чтобы пользователи могли самостоятельно исправить и разблокировать последующие попытки входа.

Защита идентификаторов

Что собой представляет защита идентификатора Microsoft Entra

Условный доступ

Что такое условный доступ?

Создание политики условного доступа

Условный доступ: условный доступ на основе рисков пользователей

Условный доступ: условный доступ на основе входа

Самостоятельное исправление с помощью политики риска

AC-6(7)

Организация:
(a.) Проверяет [назначение FedRAMP: по крайней мере, ежегодно] привилегии, назначенные [назначению FedRAMP: всем пользователям с привилегиями], чтобы проверить необходимость таких привилегий; и
(b.) При необходимости переназначает или удаляет привилегии, чтобы правильно отразить потребности организации или бизнеса.

Ежегодная проверка и утверждение всех пользователей с привилегированным доступом. Проверка того, что разрешения переназначены (или при необходимости удалены) в соответствии с миссией организации и требованиями бизнеса.

Используйте управление правами Microsoft Entra с проверками доступа для привилегированных пользователей, чтобы проверить, требуется ли привилегированный доступ.

Проверки доступа

Что такое управление правами Microsoft Entra?

Создание проверки доступа ролей Microsoft Entra в управление привилегированными пользователями

Проверка доступа к пакету доступа в службе управления правами Microsoft Entra

Неудачные попытки входа AC-7

Организация:
(a.) Принудительно применяет ограничение [назначение FedRAMP: не более трех (3)] последовательных недопустимых попыток входа пользователем во время [назначения FedRAMP: пятнадцать (15) минут]; и
(b.) Автоматически [Выбор: блокирует учетную запись или узел для назначения [FedRAMP: не менее трех (3) часов или до разблокировки администратором]; задержки следующего входа в запрос в соответствии с [Назначение: алгоритм задержки, определяемый организацией]] при превышении максимального количества неудачных попыток.

Применение ограничения, предусматривающего не более трех последовательных неудачных попыток входа в систему на развернутых клиентом ресурсах в течение 15 минут. Блокировка учетной записи минимум на три часа или до разблокировки администратором.

Включите параметры настраиваемой смарт-блокировки. Настройте порог и продолжительность блокировки (в секундах) для реализации этих требований.

Смарт-блокировка

Смарт-блокировка Microsoft Entra: защита учетных записей пользователей от атак

Управление значениями смарт-блокировки Microsoft Entra

Уведомление об использовании системы AC-8

Информационная система:
(a.) Отображается пользователям [Назначение: определенное организацией сообщение об использовании уведомлений или баннер (назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением доступа к системе, которая предоставляет уведомления о конфиденциальности и безопасности в соответствии с применимыми федеральными законами, директивами, политиками, правилами, стандартами и рекомендациями и говорит:
(1.) Пользователи получают доступ к информационной системе США для государственных организаций;
(2.) Использование информационной системы может отслеживаться, записываться и подвергаться аудиту;
(3.) Несанкционированное использование информационной системы запрещено и подлежит уголовным и гражданским наказаниям; и
(4.) Использование информационной системы указывает согласие на мониторинг и запись;

(b.) Сохраняет сообщение уведомления или баннер на экране, пока пользователи не признают условия использования и выполняют явные действия для входа в информационную систему или дальнейшего доступа к ней; и

(c.) Для общедоступных систем:
(1.) Отображает сведения об использовании системы [Назначение: определенные организацией условия (Назначение FedRAMP: см. дополнительные требования и рекомендации)] перед предоставлением дополнительного доступа;
(2.) Отображает ссылки, если таковые имеются, для мониторинга, записи или аудита, которые соответствуют конфиденциальности для таких систем, которые обычно запрещают эти действия; и
(3.) Включает описание авторизованного использования системы.

Дополнительные требования и рекомендации FedRAMP AC-8:
Требование. Поставщик услуг должен определять элементы облачной среды, для которых требуется элемент управления "Системное использование уведомлений". Элементы облачной среды, для которой требуется уведомление об использовании системы, утверждены и принимаются JAB/AO.
Требование. Поставщик услуг должен определить способ проверки уведомления об использовании системы и обеспечить соответствующую периодичность проверки. Проверка и периодичность использования системы утверждены и принимаются JAB/AO.
Руководство. Если выполняется в рамках проверки базовой конфигурации, то можно указать процент элементов, требующих установки, и пройти проверку (или сбой).
Требование. Если проверка конфигурации не выполняется в рамках проверки конфигурации, необходимо задокументировать соглашение о том, как обеспечить результаты проверки и необходимую периодичность проверки поставщиком услуг. Документированные соглашения о том, как обеспечить проверку результатов, утверждены и приняты JAB/AO.

Отображать для пользователей уведомления о конфиденциальности и безопасности и требовать их принятия, прежде чем предоставлять доступ к информационным системам.

С помощью идентификатора Microsoft Entra вы можете доставлять уведомления или баннерные сообщения для всех приложений, которым требуется подтверждение и запись перед предоставлением доступа. Вы можете детализировать политики условий использования для конкретных пользователей (роль "Участник" или "Гость"), Их можно также настроить для каждого приложения с помощью политик условного доступа.

Условия использования

Условия использования Microsoft Entra

Просмотр отчета о том, кто принял и отказался

Одновременный элемент управления сеансами AC-10
Информационная система ограничивает количество одновременных сеансов для каждого [назначения: определяемая организацией учетная запись и/или тип учетной записи] на [назначение FedRAMP: три (3) сеанса для привилегированного доступа и два (2) сеанса для не привилегированного доступа].

Ограничение количества одновременных сеансов до трех сеансов для привилегированного доступа и двух — для непривилегированного.

В настоящее время пользователи подключаются с нескольких устройств, иногда одновременно. Поэтому задание предела на количество одновременных сеансов может привести к снижению качества взаимодействия с пользователем и предоставляет ограниченные значения безопасности. Лучший подход к реализации этого намерения — применение стратегии обеспечения безопасности "Никому не доверяй". В этом случае условия будут явно проверяться до создания сеанса и впоследствии постоянно проходить проверку на протяжении всего сеанса.

Кроме того, вы можете использовать следующие элементы управления с компенсацией риска.

Используйте политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве для применения ограничений на вход пользователей на уровне ОС с помощью таких решений MDM, как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях.

Используйте Azure AD Privileged Identity Management, чтобы дополнительно ограничивать и контролировать привилегированные учетные записи.

Настройте смарт-блокировку учетных записей для неудачных попыток входа.

Руководство по реализации

Решение "Никому не доверяй"

Защита удостоверения с использованием нулевого доверия

Оценка непрерывного доступа в идентификаторе Microsoft Entra

Условный доступ

Что такое условный доступ в идентификаторе Microsoft Entra?

Требовать, чтобы устройство было отмечено как соответствующее

Частота входа пользователя

Политики устройств

Другие параметры и разделы реестра для групповой политики смарт-карты

Обзор Microsoft Endpoint Manager

Ресурсы

Что такое управление привилегированными пользователями Microsoft Entra?

Смарт-блокировка Microsoft Entra: защита учетных записей пользователей от атак

См. описание AC-12, чтобы узнать дополнительные сведения о повторной оценке и снижении рисков для сеансов.

Блокировка сеанса AC-11
Информационная система:
(a) Запрещает дополнительный доступ к системе путем инициирования блокировки сеанса после [назначения FedRAMP: пятнадцать (15) минут] бездействия или при получении запроса от пользователя;
(b) Сохраняет блокировку сеанса до тех пор, пока пользователь не повторит доступ с помощью установленных процедур идентификации и проверки подлинности.

AC-11(1)
Информационная система скрывает данные с помощью блокировки сеанса, ранее видимые на экране с общедоступным изображением.

Применение блокировки сеанса после 15-минутного периода бездействия или после получения запроса от пользователя. Удержание блокировки сеанса до повторной проверки подлинности пользователя. Сокрытие ранее видимой информации при инициировании блокировки сеанса.

Реализуйте блокировку устройства с помощью политики условного доступа для ограничения доступа к соответствующим устройствам. Настройте параметры политики на устройстве, чтобы принудительно применять блокировку устройства на уровне ОС с помощью решений MDM, таких как Intune. Объекты Endpoint Manager или объекты групповой политики можно также использовать в гибридных развертываниях. Для неуправляемых устройств задайте для параметра "Частота входа" значение, чтобы применить принудительную проверку подлинности пользователей.

Условный доступ

Требовать, чтобы устройство было отмечено как соответствующее

Частота входа пользователя

Политика MDM

Задайте для устройства максимальное количество времени (в минутах) бездействия, прежде чем экран будет заблокирован (Android, iOS, Windows 10).

Завершение сеанса AC-12
Информационная система автоматически завершает сеанс пользователя после [Назначение: определенные организацией условия или триггер событий, требующих отключения сеанса].

Автоматическое завершение сеансов пользователей при выполнении определенных организацией условий или наличии событий триггера.

Реализуйте автоматическую переоценку сеанса пользователя с помощью функций Microsoft Entra, таких как условный доступ на основе рисков и оценка непрерывного доступа. Условия бездействия можно реализовать на уровне устройства, как описано в разделе об AC-11.

Ресурсы

Условный доступ на основе риска для входа

Условный доступ на основе рисков пользователей

Оценка непрерывного доступа

AC-12(1)
Информационная система:
(a.) Предоставляет возможность выхода для сеансов связи, инициированных пользователем, при каждом использовании проверки подлинности для получения доступа к [назначение: определенные организацией информационные ресурсы]; и
(b.) Отображает явное сообщение выхода для пользователей, указывающее надежное завершение сеансов обмена данными, прошедших проверку подлинности.

Дополнительные требования и рекомендации FedRAMP AC-8:
Руководство. Тестирование функциональных возможностей выхода (OTG-SESS-006) для функциональных возможностей выхода

Предоставление возможности выхода из системы для всех сеансов и отображение явного сообщения об этом действии.

Все веб-интерфейсы идентификатора Microsoft Entra ID предоставляют возможность выхода для сеансов связи, инициированных пользователем. При интеграции приложений SAML с идентификатором Microsoft Entra реализуйте единый выход.

Возможность выхода из системы

Когда пользователь выбирает Sign-out everywhere (Выполнить выход на всех устройствах), происходит отмена всех в настоящее время выданных токенов.

Показать сообщение
Идентификатор Microsoft Entra автоматически отображает сообщение после выхода, инициированного пользователем.

Снимок экрана: сообщение об управлении доступом.

Ресурсы

Просмотр и поиск недавних действий входа со страницы "Мои входы"

Протокол единого выхода SAML

Использование внешних информационных систем AC-20
Организация устанавливает условия, согласованные с любыми отношениями доверия, установленными с другими организациями, владеющими, операционными и/или поддерживающими внешние информационные системы, позволяя авторизованным лицам:
(a.) Доступ к информационной системе из внешних информационных систем; и
(b.) Обработка, хранение или передача управляемых организацией сведений с помощью внешних информационных систем.

AC-20(1)
Организация позволяет авторизованным лицам использовать внешнюю информационную систему для доступа к информационной системе или обработки, хранения или передачи информации, контролируемой организацией, только если организация:
(a.) Проверяет реализацию необходимых элементов управления безопасностью во внешней системе, как указано в политике информационной безопасности организации и плане безопасности; или
(b.) Сохраняет утвержденные соглашения о подключении к информационной системе или обработке с организацией, включающей внешнюю информационную систему.

Определение условий, позволяющих авторизованным лицам получать доступ к развернутым клиентом ресурсам из внешних информационных систем, таких как неуправляемые устройства и внешние сети.

Требуйте принятия условий использования полномочными пользователями, которые получают доступ к ресурсам из внешних систем. Реализуйте политики условного доступа, чтобы ограничить доступ из внешних систем. Политики условного доступа могут быть интегрированы с Defender для облака приложениями для предоставления элементов управления облачными и локальными приложениями из внешних систем. Управление мобильными приложениями в Intune позволяет защитить на уровне приложений (в том числе пользовательских приложений и приложений из магазина) данные организации на управляемых устройствах, которые взаимодействуют с внешними системами. В качестве примера можно привести доступ к облачным службам. Вы можете использовать управление на устройствах, принадлежащих организации, а также личных устройствах.

Условия

Условия использования: идентификатор Microsoft Entra

Условный доступ

Требовать, чтобы устройство было отмечено как соответствующее

Условия в политике условного доступа: состояние устройства (предварительная версия)

Защита с использованием Microsoft Defender for Cloud Apps — Управление условным доступом к приложениям

Условие расположения в условном доступе Microsoft Entra

MDM

Что такое Microsoft Intune?

Что такое Defender for Cloud Apps?

Что такое управление приложениями в Microsoft Intune?

Ресурс