Настройка элементов управления идентификацией и проверкой подлинности для соответствия уровню влияния FedRAMP с идентификатором Microsoft Entra
Идентификация и проверка подлинности являются ключом к достижению высокого уровня влияния согласно требованиям Федеральной программы аккредитации облачных служб (FedRAMP).
В следующем списке улучшений элементов управления и управления в семействе идентификации и проверки подлинности (IA) может потребоваться настройка в клиенте Microsoft Entra.
| Семейство элементов управления | Description |
|---|---|
| IA-2 | Идентификация и проверка подлинности (пользователи организации) |
| IA-3 | Идентификация и проверка подлинности устройств |
| IA-4 | Управление идентификаторами |
| IA-5 | Управление структурой проверки подлинности |
| IA-6 | Отзыв о структуре проверки подлинности |
| IA-7 | Проверка подлинности на основе криптографического модуля |
| IA-8 | Идентификация и проверка подлинности (неорганизация пользователей) |
Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.
Конфигурации
| Идентификатор и описание элемента управления FedRAMP | Рекомендации и рекомендации Microsoft Entra |
|---|---|
| Идентификация и проверка подлинности пользователей IA-2 Информационная система однозначно идентифицирует и проверяет подлинность пользователей организации (или процессы, действующие от имени пользователей организации). |
Однозначная идентификация и проверка подлинности пользователей или процессов, действующих для пользователей. Идентификатор Microsoft Entra однозначно идентифицирует объекты пользователя и субъекта-службы напрямую. Идентификатор Microsoft Entra предоставляет несколько методов проверки подлинности, и вы можете настроить методы, которые соответствуют национальному институту стандартов и технологий (NIST) уровня проверки подлинности (AAL) 3. Идентификаторы Проверка подлинности и многофакторная проверка подлинности |
| IA-2(1) Информационная система реализует многофакторную проверку подлинности для сетевого доступа к привилегированным учетным записям. IA-2(3) Информационная система реализует многофакторную проверку подлинности для локального доступа к привилегированным учетным записям. |
многофакторная проверка подлинности для всех доступа к привилегированным учетным записям. Настройте приведенные ниже элементы для реализации полного решения, чтобы гарантировать, что для доступа к привилегированным учетным записям обязательно будет применяться многофакторная проверка подлинности. Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей. При необходимости активации управление привилегированными пользователями активация привилегированных учетных записей невозможна без сетевого доступа, поэтому локальный доступ никогда не является привилегированным. многофакторная проверка подлинности и управление привилегированными пользователями |
| IA-2(2) Информационная система реализует многофакторную проверку подлинности для сетевого доступа к не привилегированным учетным записям. IA-2(4) Информационная система реализует многофакторную проверку подлинности для локального доступа к непривилегированных учетных записям. |
Реализация многофакторной проверки подлинности для всех доступа к непривилегированных учетных записям Настройте следующие элементы в качестве общего решения, чтобы обеспечить доступ ко всем непривилегированных учетных записям, требует многофакторной проверки подлинности. Настройте политики условного доступа, чтобы требовать MFA для всех пользователей. Корпорация Майкрософт рекомендует использовать многофакторный криптографический аппаратный средство проверки подлинности (например, ключи безопасности FIDO2, Windows Hello для бизнеса (с аппаратным TPM) или смарт-картой для достижения AAL3. Если ваша организация основана на облаке, рекомендуется использовать ключи безопасности FIDO2 или Windows Hello для бизнеса. Windows Hello для бизнеса не было проверено на требуемом уровне безопасности FIPS 140, и, как такие федеральные клиенты должны были бы проводить оценку рисков и оценку, прежде чем принимать ее в качестве AAL3. Дополнительные сведения о проверке Windows Hello для бизнеса FIPS 140 см. в статье Microsoft NIST AALs. См. следующие рекомендации по политикам MDM немного отличаются на основе методов проверки подлинности. Смарт-карта или Windows Hello для бизнеса Только гибридная среда Только смарт-карта Ключ безопасности FIDO2 Методы проверки подлинности Дополнительные ресурсы: |
| IA-2(5) Организация требует, чтобы пользователи прошли проверку подлинности с помощью отдельного средства проверки подлинности при использовании средства проверки подлинности группы. |
Если несколько пользователей имеют доступ к паролю общей или групповой учетной записи, необходимо, чтобы каждый пользователь сначала выполнял проверку подлинности с помощью отдельной структуры проверки подлинности. Используйте отдельную учетную запись для каждого пользователя. Если требуется общая учетная запись, идентификатор Microsoft Entra разрешает привязку нескольких аутентификаторов к учетной записи, чтобы у каждого пользователя был отдельный аутентификатор. Ресурсы |
| IA-2(8) Информационная система реализует механизмы проверки подлинности, устойчивые к воспроизведениям, для сетевого доступа к привилегированным учетным записям. |
Реализация механизмов проверки подлинности с защитой от атак с повторением для сетевого доступа к привилегированным учетным записям. Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей. Все методы проверки подлинности Microsoft Entra на уровне проверки подлинности 2 и 3 используют неисключаемые или проблемы и устойчивы к атакам воспроизведения. Ссылки |
| IA-2(11) Информационная система реализует многофакторную проверку подлинности для удаленного доступа к привилегированным и непривилегированных учетным записям, таким образом, что одним из факторов является устройство, отдельное от системы получения доступа, и устройство соответствует [Назначение FedRAMP: FIPS 140-2, сертификация NIAP или утверждение NSA*]. *National Information Assurance Partnership (NIAP) Дополнительные требования и рекомендации FedRAMP: Руководство. PIV = отдельное устройство. Ознакомьтесь с рекомендациями NIST SP 800-157 для производной проверки личных удостоверений (PIV). FIPS 140-2 означает проверку программой проверки криптографических модулей (CMVP). |
Реализуйте многофакторную проверку подлинности Microsoft Entra для удаленного доступа к развернутых клиентом ресурсов, чтобы одно из факторов предоставлялось устройством отдельно от системы, получая доступ, где устройство соответствует FIPS-140-2, сертификации NIAP или утверждению NSA. Ознакомьтесь с руководством по IA-02 (1–4). Методы проверки подлинности Microsoft Entra, которые следует учитывать в AAL3, соответствуют отдельным требованиям к устройству: Ключи безопасности FIDO2 Ссылки |
| **IA-2(12)* Информационная система принимает и проверяет учетные данные проверки личных удостоверений (PIV). IA-2 (12) Дополнительные требования и рекомендации FedRAMP: Руководство. Включите общую карточку доступа (CAC), то есть техническую реализацию DoD PIV/FIPS 201/HSPD-12. |
Принимайте и проверяйте личные учетные данные проверки личности (PIV). Этот метод управления не применяется, если клиент не развертывает учетные данные PIV. Настройте федеративную проверку подлинности с помощью служб федерации Active Directory (AD FS), чтобы принимать PIV (проверка подлинности на основе сертификата) в качестве основной и многофакторной проверки подлинности и выдавать утверждение многофакторной проверки подлинности (MultipleAuthN) при использовании PIV. Настройте федеративный домен в идентификаторе Microsoft Entra с параметром federatedIdpMfaBehavior Ресурсы |
| Идентификация и проверка подлинности устройств IA-3 Информационная система однозначно идентифицирует и проходит проверку подлинности [Назначение: определенное организацией и/или типы устройств] перед установкой подключения [Выбор (один или несколько): локальный; удаленный; сеть]. |
Реализуйте идентификацию устройств и проверку подлинности перед установкой подключения. Настройте идентификатор Microsoft Entra для идентификации и проверки подлинности зарегистрированных microsoft Entra, присоединенных к Microsoft Entra, и гибридных устройств, присоединенных к Microsoft Entra. Ресурсы |
| Управление идентификаторами IA-04 Организация управляет идентификаторами информационной системы для пользователей и устройств с помощью следующих элементов: (a.) Получение авторизации от [назначения FedRAMP как минимум, ISSO (или аналогичная роль в организации)] для назначения отдельного пользователя, группы, роли или идентификатора устройства; (b.) Выбор идентификатора, определяющего личность, группу, роль или устройство; (c.) Назначение идентификатора предполагаемому человеку, группе, роли или устройству; (d.) Предотвращение повторного использования идентификаторов для [назначения FedRAMP: по крайней мере два (2) года]; и (e.) Отключение идентификатора после [назначения FedRAMP: тридцать пять (35) дней (см. требования и рекомендации)] Дополнительные требования и рекомендации FedRAMP для IA-4e: Требование. Поставщик услуг определяет период времени бездействия для идентификаторов устройств. Руководство. Сведения об облаках DoD см. на веб-сайте DoD для конкретных требований DoD, которые выходят за рамки FedRAMP. IA-4(4) Организация управляет отдельными идентификаторами, однозначно определяя каждого из них как [назначение FedRAMP: подрядчики; иностранные граждане]. |
Отключайте идентификаторы учетной записи после 35 дней бездействия и запрещайте их повторное использование в течение двух лет. Управляйте отдельными идентификаторами путем уникальной идентификации каждого отдельного лица (например, подрядчиков и иностранных граждан). Назначьте идентификаторы и состояние отдельных учетных записей в идентификаторе Microsoft Entra в соответствии с существующими политиками организации, определенными в AC-02. Следуйте положениям AC-02 (3), чтобы автоматически отключать учетные записи пользователей и устройств после 35 дней бездействия. Убедитесь, что политика организации сохраняет все учетные записи, остающиеся в отключенном состоянии, в течение не менее двух лет. По истечении этого срока их можно удалить. Определение отсутствия активности |
| Управление аутентификатором IA-5 Организация управляет средствами проверки подлинности информационной системы следующими средствами: (a.) Проверка, как часть первоначального распространения аутентификатора, удостоверение отдельного пользователя, группы, роли или устройства, получающего средство проверки подлинности; (b.) Установка начального содержимого аутентификатора для аутентификаторов, определенных организацией; (c.) Обеспечение того, чтобы аутентификаторы имели достаточную силу механизма для их предполагаемого использования; (d.) Создание и реализация административных процедур для первоначального распространения аутентификатора, для потерянных или скомпрометированных или поврежденных аутентификаторов, а также для отзыва аутентификаторов; (e.) Изменение содержимого по умолчанию для аутентификаторов до установки информационной системы; (f.) Создание минимальных и максимальных ограничений времени существования и повторное использование условий для аутентификаторов; (g.) Изменение и обновление аутентификаторов [Назначение: определенный организацией период времени по типу аутентатора]. (h.) Защита содержимого аутентификатора от несанкционированного раскрытия и изменения; (i.) Требовать от пользователей принимать и реализовывать устройства, определенные средства безопасности для защиты аутентификаторов; и (j.) Изменение аутентификаторов для учетных записей групп или ролей при изменении членства в этих учетных записях. Дополнительные требования и рекомендации FedRAMP для IA-5: Требование. Аутентификаторы должны соответствовать требованиям NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. https://pages.nist.gov/800-63-3 ссылки |
Настройте структуры проверки подлинности информационной системы и управляйте ими. Идентификатор Microsoft Entra поддерживает различные методы проверки подлинности. Вы можете использовать существующие политики организации для управления. Ознакомьтесь с руководством по выбору структуры проверки подлинности в IA-02 (1–4). Включите пользователей в объединенной регистрации для SSPR и многофакторной проверки подлинности Microsoft Entra и требуют от пользователей регистрации как минимум двух допустимых методов многофакторной проверки подлинности для упрощения самостоятельного исправления. Пользовательские структуры проверки подлинности можно отозвать в любое время с помощью API способов проверки подлинности. Надежность структуры проверки подлинности и защита содержимого Способы проверки подлинности и объединенная регистрация Отзыв структуры проверки подлинности |
| IA-5(1) Информационная система для проверки подлинности на основе паролей: (a.) Обеспечивает минимальную сложность пароля [Назначение: требования, определенные организацией для конфиденциальности регистра, количество символов, сочетание букв верхнего регистра, строчные буквы, цифры и специальные символы, включая минимальные требования для каждого типа]; (b.) Применяет по крайней мере следующее число измененных символов при создании новых паролей: [Назначение FedRAMP: по крайней мере пятьдесят процентов (50%)]; (c.) Хранит и передает только криптографические защищенные пароли; (d.) Применяет минимальные и максимальные ограничения времени существования пароля [Назначение: определенное организацией число для минимального, максимального времени существования]; (e.)** Запрещает повторное использование паролей для [назначения FedRAMP: двадцать четыре (24)] поколения; и (f.) Позволяет использовать временный пароль для входа в систему с немедленным изменением постоянного пароля. IA-5 (1) a и d Дополнительные требования и рекомендации FedRAMP: Руководство. Если политики паролей соответствуют рекомендациям NIST SP 800-63B Memorized Secret (section 5.1.1), элемент управления может считаться совместимым. |
Реализуйте требования к проверке подлинности на основе пароля. Согласно разделу 5.1.1 директивы NIST SP 800-63B, следует использовать список часто используемых, ожидаемых или скомпрометированных паролей. При защите паролей Microsoft Entra глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для обеспечения безопасности организации можно добавлять в список заданных запрещенных паролей собственные записи. Когда пользователь изменяет или сбрасывает пароль, такой пароль проверяется по этим спискам, чтобы принудительно использовать надежные пароли. Мы настоятельно рекомендуем реализовать стратегии входа без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления. Справочная документация NIST Ресурс |
| IA-5(2) Информационная система для проверки подлинности на основе PKI: (a.) Проверяет сертификаты путем создания и проверки пути сертификации к принятой привязке доверия, включая проверку сведений о состоянии сертификата; (b.) Принудительно применяет авторизованный доступ к соответствующему закрытому ключу; (c.) Сопоставляет удостоверение, прошедшее проверку подлинности, с учетной записью отдельного пользователя или группы; и (d.) Реализует локальный кэш данных отзыва для поддержки обнаружения путей и проверки во время невозможности доступа к данным отзыва через сеть. |
Реализуйте требования к проверке подлинности на основе PKI. Федеративный идентификатор Microsoft Entra через AD FS для реализации проверки подлинности на основе PKI. По умолчанию службы AD FS проверяют сертификаты, сохраняют в локальный кэш данные отзыва и сопоставляют пользователей с удостоверением, прошедшим проверку подлинности, в Active Directory. Ресурсы |
| IA-5(4) Организация использует автоматизированные средства для определения достаточной надежности средства проверки подлинности паролей, чтобы удовлетворить [назначение FedRAMP: сложность, как определено в IA-5 (1) Улучшение элемента управления (H) часть A]. IA-5(4) Дополнительные требования и рекомендации FedRAMP: Руководство. Если автоматические механизмы, обеспечивающие силу проверки подлинности паролей при создании, не используются, автоматические механизмы должны использоваться для аудита надежности созданных средств проверки подлинности паролей. |
Применяйте автоматизированные средства для проверки требований к надежности паролей. Идентификатор Microsoft Entra реализует автоматизированные механизмы, которые обеспечивают силу проверки подлинности паролей при создании. Этот автоматизированный механизм можно также расширить для обеспечения надежности структуры проверки пароля в локальной службе Active Directory. В версии 5 директивы NIST 800-53 положения IA-04 (4) отозваны, а требования включены в IA-5 (1). Ресурсы |
| IA-5(6) Организация защищает аутентификаторы, которые соответствуют категории безопасности сведений, к которым предоставляется доступ с помощью средства проверки подлинности. |
Защитите структуры проверки подлинности в соответствии с уровнем влияния FedRAMP High. Дополнительные сведения о том, как идентификатор Microsoft Entra защищает аутентификаторы, см . в рекомендациях по безопасности данных Microsoft Entra. |
| IA-05(7) Организация гарантирует, что незашифрованные статические аутентификаторы не внедрены в приложения или сценарии доступа или хранятся в ключах функций. |
Убедитесь, что незашифрованные статические структуры проверки подлинности (например, пароль) не внедряются в приложения или сценарии доступа и не хранятся в ключах функций. Реализуйте управляемые удостоверения или объекты субъектов-служб (настроенные только с помощью сертификата). Ресурсы |
| IA-5(8) Организация реализует [назначение FedRAMP: различные аутентификаторы в разных системах] для управления риском компрометации из-за того, что у отдельных лиц есть учетные записи в нескольких информационных системах. |
Реализуйте меры безопасности, когда пользователи имеют учетные записи в нескольких информационных системах. Реализуйте единый вход, подключив все приложения к идентификатору Microsoft Entra, а не наличие отдельных учетных записей в нескольких информационных системах. |
| IA-5(11) Информационная система для проверки подлинности на основе аппаратных маркеров использует механизмы, удовлетворяющие [назначение: требования к качеству маркера, определяемые организацией]. |
Используйте обязательные требования к качеству аппаратных токенов в соответствии с требованиями уровня влияния FedRAMP High. Требуйте использования аппаратных токенов, соответствующих AAL3. Достижение уровня структуры проверки подлинности NIST с помощью платформы Microsoft Identity |
| IA-5(13) Информационная система запрещает использование кэшированных аутентификаторов после [назначения: определенный организацией период времени]. |
Применяйте срок действия кэшированных структур проверки подлинности. Кэшированные структуры проверки подлинности используются для проверки подлинности на локальном компьютере, когда сеть недоступна. Чтобы ограничить использование кэшированных структур проверки подлинности, отключите их использование на устройствах Windows. Если сделать это невозможно или непрактично, используйте следующие компенсирующие элементы управления: Настройте элементы управления сеансами условного доступа с помощью ограничений, применяемых приложением для Приложение Office ликации. Ресурсы |
| Отзывы об IA-6 Authenticator Информационная система скрывает отзывы о проверке подлинности во время процесса проверки подлинности для защиты информации от возможной эксплуатации или использования несанкционированными лицами. |
Скрывайте сведения о прохождении проверки подлинности во время процесса проверки подлинности. По умолчанию идентификатор Microsoft Entra скрывает все отзывы о аутентификаторе. |
| Проверка подлинности модуля шифрования IA-7 Информационная система реализует механизмы проверки подлинности в криптографический модуль для требований применимых федеральных законов, директив, директив, политик, правил, стандартов и рекомендаций для такой проверки подлинности. |
Реализуйте механизмы проверки подлинности в криптографическом модуле, соответствующем применимым федеральным законам. Для уровня влияния FedRAMP High структура проверки подлинности AAL3. Все средства проверки подлинности, поддерживаемые идентификатором Microsoft Entra в AAL3, предоставляют механизмы для проверки подлинности доступа оператора к модулю по мере необходимости. Например, в развертывании Windows Hello для бизнеса с аппаратным доверенным платформенным модулем следует настроить уровень авторизации владельца доверенного платформенного модуля. Ресурсы |
| Идентификация и проверка подлинности IA-8 (пользователи, не являющиеся организацией) Информационная система однозначно идентифицирует и проверяет подлинность пользователей, не являющихся организацией (или процессы, действующие от имени пользователей, не являющихся организацией). |
Информационная система однозначно идентифицирует и проверяет подлинность неорганизованных пользователей (или процессов, действующих для неорганизации пользователей). Идентификатор Microsoft Entra уникально идентифицирует и проверяет подлинность пользователей, не относящихся к организации, которые содержатся в клиенте организации или во внешних каталогах с помощью утвержденных протоколов федерального удостоверения, учетных данных и управления доступом (FICAM). Ресурсы |
| IA-8(1) Информационная система принимает и электронным образом проверяет учетные данные проверки личности (PIV) из других федеральных учреждений. IA-8(4) Информационная система соответствует профилям, выданным FICAM. |
Принимайте и проверяйте учетные данные PIV, выданные другими федеральными учреждениями. Следуйте положениям FICAM. Настройте идентификатор Microsoft Entra для приема учетных данных PIV через федерацию (OIDC, SAML) или локально с помощью интегрированных проверка подлинности Windows. Ресурсы |
| IA-8(2) Информационная система принимает только утвержденные сторонние учетные данные FICAM. |
Принимайте только учетные данные, утвержденные FICAM. Идентификатор Microsoft Entra поддерживает средства проверки подлинности в NIST AALs 1, 2 и 3. Ограничьте использование структур проверки подлинности в соответствии с категорией безопасности системы, к которой осуществляется доступ. Идентификатор Microsoft Entra поддерживает широкий спектр методов проверки подлинности. Ресурсы |