Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra ID соответствует требованиям к практикам, связанным с удостоверением личности, для реализации защит, предусмотренных Законом о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года. Чтобы быть совместимым с HIPAA, реализуйте меры безопасности, используя это руководство. Может потребоваться изменить другие конфигурации или процессы.
Чтобы понять защиту идентификации пользователей, рекомендуем изучить и задать цели, которые позволяют:
Убедитесь, что идентификаторы уникальны для всех, кто должен подключиться к домену.
Установите процесс Joiner, Mover и Leaver (JML).
Включение аудита для отслеживания идентификаций.
Для авторизованного средства защиты контроля доступа задайте следующие цели:
Доступ к системе ограничен авторизованными пользователями.
Идентифицируются авторизованные пользователи.
Доступ к личным данным ограничен авторизованными пользователями.
Для защиты процедуры аварийного доступа:
Обеспечение высокого уровня доступности основных служб.
Устранение отдельных точек сбоя.
Создайте план аварийного восстановления.
Убедитесь, что есть резервные копии высокорисковых данных.
Создание и обслуживание учетных записей аварийного доступа.
Для защиты автоматического выхода:
Установите процедуру, которая завершает электронный сеанс после предопределенного времени бездействия.
Настройте и реализуйте политику автоматического выхода.
Уникальная идентификация пользователя
В следующей таблице содержатся средства контроля доступа из руководства HIPAA для уникальной идентификации пользователей. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — уникальная идентификация пользователей
Assign a unique name and/or number for identifying and tracking user identity.
| Рекомендация | Действие |
|---|---|
| Настройка гибридной среды для использования идентификатора Microsoft Entra |
Microsoft Entra Connect интегрирует локальные каталоги с идентификатором Microsoft Entra, поддерживая использование отдельных удостоверений для доступа к локальным приложениям и облачным службам, таким как Microsoft 365. Он управляет синхронизацией между Active Directory (AD) и идентификатором Microsoft Entra. Чтобы приступить к работе с Microsoft Entra Connect, просмотрите предварительные требования, запишите требования к серверу и как подготовить клиента Microsoft Entra для управления. Синхронизация Microsoft Entra Connect — это агент предоставления ресурсов, управляемый в облаке. Агент подготовки поддерживает синхронизацию с идентификатором Microsoft Entra из разъединяемой среды AD с несколькими лесами. Упрощенные агенты устанавливаются и могут использоваться с Microsoft Entra Connect. Мы рекомендуем использовать синхронизацию хэша паролей, чтобы сократить количество паролей и защититься от обнаружения утечки учетных данных. |
| Подготовка учетных записей пользователей |
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которая обеспечивает единый вход, многофакторную проверку подлинности и условный доступ для защиты от атак безопасности. Чтобы создать учетную запись пользователя, войдите в Центр администрирования Microsoft Entra в качестве администратора пользователя и создайте новую учетную запись, перейдя к всем пользователям в меню.
Microsoft Entra ID обеспечивает поддержку автоматической настройки пользователей для систем и приложений. К ним относятся создание, обновление и удаление учетной записи пользователя. Автоматическое провизирование создает новые учетные записи в нужных системах для новых сотрудников, когда они присоединяются к команде в организации, а автоматическое депровизирование деактивирует учетные записи, когда сотрудники покидают команду. Настройте подготовку, перейдя в Центр администрирования Microsoft Entra и выбрав корпоративные приложения для добавления параметров приложения и управления ими. |
| Подготовка на основе управления персоналом | Интеграция автоматизации создания учетных записей Microsoft Entra в системе управления кадрами снижает риск чрезмерного и лишнего доступа. Система управления персоналом становится начальной точкой для вновь созданных учетных записей, расширяя возможности для отмены доступа учетных записей. Автоматизация управляет жизненным циклом удостоверений и снижает риск чрезмерной подготовки. Этот подход следует рекомендациям по обеспечению предоставления наименьших привилегий. |
| Создание рабочих процессов жизненного цикла | Процессы жизненного цикла обеспечивают управление удостоверениями для автоматизации жизненного цикла вступления, перемещения или увольнения (JML). Рабочие процессы жизненного цикла централизуют процесс рабочего процесса с помощью встроенных шаблонов или создания собственных пользовательских рабочих процессов. Эта практика помогает сократить или полностью устранить ручные задачи при выполнении требований стратегии JML организации. На портале Azure перейдите в меню " Управление идентификаторами " в меню Microsoft Entra, чтобы просмотреть или настроить задачи, соответствующие требованиям организации. |
| Управление привилегированными идентичностями | Microsoft Entra управление привилегированными идентификациями (PIM) позволяет управлять, контролировать и мониторить доступ. Вы предоставляете доступ по мере необходимости, при активации роли на временной и утверждаемой основе. Этот подход ограничивает риск чрезмерного, ненужного или неправильного доступа. |
| Мониторинг и оповещения |
Microsoft Entra ID Protection предоставляет консолидированное представление о событиях риска и потенциальных уязвимостях, которые могут повлиять на идентификации организации. Включение защиты применяет существующие возможности обнаружения аномалий Microsoft Entra и предоставляет типы событий риска, которые обнаруживают аномалии в режиме реального времени. С помощью Центра администрирования Microsoft Entra можно выполнить вход, аудит и просмотр журналов подготовки. Журналы можно скачать, архивировать и передавать в средство управления сведениями безопасности и событиями (SIEM). Журналы Microsoft Entra можно найти в разделе мониторинга меню Microsoft Entra. Журналы также можно отправлять в Azure Monitor с помощью рабочей области Azure Log Analytics, где можно настроить оповещения о подключенных данных. Идентификатор Microsoft Entra уникально идентифицирует пользователей с помощью свойства ID в соответствующем объекте каталога. Этот подход позволяет фильтровать определенные идентичности в файлах журнала. |
Авторизованный контроль доступа
В следующей таблице приведены рекомендации HIPAA по обеспечению защиты доступа для авторизованного контроля доступа. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — авторизованный контроль доступа
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Рекомендация | Действие |
|---|---|
| Включение многофакторной проверки подлинности (MFA) | MFA в Microsoft Entra ID защищает удостоверения, добавляя дополнительный уровень безопасности. Проверка подлинности дополнительного уровня эффективна при предотвращении несанкционированного доступа. Использование подхода MFA позволяет требовать больше проверки учетных данных входа во время процесса проверки подлинности. Примеры включают настройку приложения Authenticator для проверки подлинности одним щелчком мыши или включение проверки подлинности без пароля. |
| Включение политик условного доступа | Политики условного доступа помогают организациям ограничить доступ к утвержденным приложениям. Microsoft Entra анализирует сигналы от пользователя, устройства или расположения для автоматизации решений и применения политик организации для доступа к ресурсам и данным. |
| Включение управления доступом на основе ролей (RBAC) |
RBAC обеспечивает безопасность на корпоративном уровне с понятием разделения обязанностей. RBAC позволяет настраивать и просматривать разрешения для защиты конфиденциальности и приватности, а также управления доступом к ресурсам и конфиденциальным данным, а также системами. Microsoft Entra ID предоставляет поддержку встроенных ролей, которые являются фиксированным набором разрешений, которые нельзя изменить. Вы также можете создать собственные пользовательские роли, где можно добавить список предустановок . |
| Включение управления доступом на основе атрибутов (ABAC) | ABAC определяет доступ на основе атрибутов, связанных с принципами безопасности, ресурсами и средой. Он обеспечивает точное управление доступом и уменьшает количество назначений ролей. Использование ABAC можно ограничить содержимым в выделенном хранилище Azure. |
| Настройка доступа к группам пользователей в SharePoint | Группы SharePoint — это коллекция пользователей. Разрешения применяются на уровне коллекции сайтов для доступа к содержимому. Применение этого ограничения можно ограничить учетными записями служб, для которых требуется доступ к потоку данных между приложениями. |
Процедура аварийного доступа
В следующей таблице представлены рекомендованные средства контроля доступа HIPAA для процедур аварийного доступа. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — процедура аварийного доступа
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Рекомендация | Действие |
|---|---|
| Использование служб восстановления Azure |
Azure Backups обеспечивает поддержку, необходимую для резервного копирования жизненно важных и конфиденциальных данных. Охват включает хранилища, базы данных и облачную инфраструктуру, а также локальные устройства Windows, работающие с облаком. Установите политики резервного копирования для решения рисков резервного копирования и восстановления. Убедитесь, что данные хранятся безопасно и могут быть получены с минимальным временем простоя.
Azure Site Recovery обеспечивает репликацию практически постоянных данных, чтобы убедиться, что копии синхронизированы. Начальные шаги перед настройкой службы — определить цель точки восстановления (RPO) и целевое время восстановления (RTO) для поддержки требований организации. |
| Обеспечение устойчивости | Устойчивость помогает поддерживать уровни обслуживания при нарушении бизнес-операций и основных ИТ-служб. Возможности охватывают службы, данные, Microsoft Entra ID и соображения по Active Directory. Определение стратегического плана резервирования и восстановления для включения систем и данных, которые полагаются на Microsoft Entra и гибридные среды. Устойчивость Microsoft 365, охватывающая основные службы, включая Exchange, SharePoint и OneDrive для защиты от повреждения данных и применения точек данных устойчивости для защиты содержимого ePHI. |
| Создание учетных записей экстренного доступа | Создание аварийной учетной записи или break glass account гарантирует, что система и службы останутся доступными в непредвиденных обстоятельствах, таких как сбои сети или другие причины потери административного доступа. Рекомендуется не связать эту учетную запись с отдельным пользователем или учетной записью. |
Безопасность рабочей станции — автоматический выход
В следующей таблице приведены рекомендации HIPAA по автоматическому выходу из системы. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — автоматический выход
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Рекомендация | Действие |
|---|---|
| Создание групповой политики | Поддержка устройств, не перенесенных в учетную запись Microsoft Entra и управляемых Intune, групповая политика (GPO) может принудительно выполнять выход или устанавливать время блокировки экрана для устройств в Active Directory (AD) или в гибридных средах. |
| Оценка требований к управлению устройствами | Microsoft Intune обеспечивает управление мобильными устройствами (MDM) и управление мобильными приложениями (MAM). Он обеспечивает контроль над корпоративными и личными устройствами. Вы можете управлять использованием устройств и применять политики для управления мобильными приложениями. |
| Политика условного доступа устройства | Реализуйте блокировку устройства с помощью политики условного доступа, чтобы ограничить доступ к соответствующим устройствам или гибридным устройствам, присоединенным к Microsoft Entra. Настройка параметров политики. Для неуправляемых устройств настройте параметр частоты входа, чтобы принудить пользователей повторно выполнить проверку подлинности. |
| Настройка времени ожидания сеанса для Microsoft 365 | Просмотрите время ожидания сеанса для приложений и служб Microsoft 365, чтобы изменить любое длительное время ожидания. |
| Настройка времени ожидания сеанса для портала Azure | Просмотрите таймауты сеанса для сеанса в портале Azure. Реализация таймаута из-за бездействия помогает защитить ресурсы от несанкционированного доступа. |
| Просмотр сеансов доступа к приложениям | Политики оценки непрерывного доступа могут запретить или предоставить доступ к приложениям. Если вход выполнен успешно, пользователь получает маркер доступа, действительный в течение одного (1) часа. После истечения срока действия токена доступа клиент направляется обратно в Microsoft Entra ID, условия переоцениваются, и токен обновляется еще на один час. |