Настройка элементов управления идентификацией и проверкой подлинности для обеспечения высокого уровня влияния FedRAMP с помощью Microsoft Entra ID

Идентификация и проверка подлинности являются ключом к достижению Высокого уровня воздействия согласно Программе управления рисками и авторизацией Федерального правительства (FedRAMP).

В следующем списке элементов управления и их улучшений в семействе IA (идентификация и проверка подлинности) может потребоваться их настройка в арендаторе Microsoft Entra.

Семейство элементов управления Описание
IA-2 Идентификация и проверка подлинности (пользователи организации)
IA-3 Идентификация и проверка подлинности устройств
IA-4 Управление идентификаторами
IA-5 Управление аутентификатором
IA-6 Отзыв об аутентификаторе
IA-7 Проверка подлинности на основе криптографического модуля
IA-8 Идентификация и проверка подлинности (неорганизационные пользователи)

Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.

Конфигурации

Идентификатор и описание элемента управления FedRAMP Руководство и рекомендации Microsoft Entra
Идентификация и проверка подлинности пользователей IA-2
Информационная система однозначно идентифицирует и проверяет подлинность пользователей организации (или процессы, действующие от имени пользователей организации).
Однозначная идентификация и проверка подлинности пользователей или процессов, действующих для пользователей.

Microsoft Entra ID однозначно идентифицирует объекты пользователя и субъекта-службы напрямую. Microsoft Entra ID предоставляет несколько методов проверки подлинности, и вы можете настроить методы, которые соответствуют национальному институту стандартов и технологий (NIST) уровня проверки подлинности (AAL) 3.

Идентификаторы

  • Пользователи: Работа с пользователями в Microsoft Graph: свойство идентификатора
  • Субъекты-службы: тип ресурса ServicePrincipal: свойство ИД

    Проверка подлинности и многофакторная проверка подлинности

  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft
  • IA-2(1)
    Информационная система реализует многофакторную проверку подлинности для сетевого доступа к привилегированным учетным записям.

    IA-2(3)
    Информационная система реализует многофакторную проверку подлинности для локального доступа к привилегированным учетным записям.
    многофакторная проверка подлинности для всех доступа к привилегированным учетным записям.

    Настройте приведенные ниже элементы для реализации полного решения, чтобы гарантировать, что для доступа к привилегированным учетным записям обязательно будет применяться многофакторная проверка подлинности.

    Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей.
    Реализуйте Microsoft Entra Privileged Identity Management, чтобы требовать многофакторную проверку подлинности для активации назначения привилегированных ролей перед использованием.

    При необходимости активации Privileged Identity Management активация привилегированных учетных записей невозможна без сетевого доступа, поэтому локальный доступ никогда не является привилегированным.

    многофакторная проверка подлинности и Privileged Identity Management

  • Условный доступ: требуется многофакторная проверка подлинности для всех пользователей
  • Настройка параметров роли Microsoft Entra в Privileged Identity Management
  • IA-2(2)
    Информационная система реализует многофакторную проверку подлинности для сетевого доступа к не привилегированным учетным записям.

    IA-2(4)
    Информационная система реализует многофакторную проверку подлинности для локального доступа к непривилегированных учетных записям.
    Реализация многофакторной проверки подлинности для всех доступа к непривилегированных учетных записям

    Настройте следующие элементы как общее решение, чтобы обеспечить, что доступ ко всем непривилегированным учетным записям требует многофакторной проверки подлинности.

    Настройте политики условного доступа, чтобы требовать MFA для всех пользователей.
    Настройте политики управления устройствами с помощью MDM (например, Microsoft Intune), Microsoft Intune (MEM) или объектов групповой политики (GPO), чтобы применить определенные методы проверки подлинности.
    Настройте политики условного доступа для обеспечения соответствия устройств требованиям.

    Корпорация Майкрософт рекомендует использовать многофакторный криптографический аппаратный средство проверки подлинности (например, ключи безопасности FIDO2, Windows Hello for Business (с аппаратным TPM) или смарт-картой для достижения AAL3. Если ваша организация основана на облаке, рекомендуется использовать ключи безопасности FIDO2 или Windows Hello for Business.

    Windows Hello for Business не проверен на уровне безопасности, требуемом FIPS 140, поэтому федеральным клиентам необходимо провести оценку рисков и анализ, прежде чем принимать его в качестве AAL3. Дополнительные сведения о проверке Windows Hello for Business FIPS 140 см. в разделе Microsoft NIST AALs.

    Следующие рекомендации по политикам MDM немного различаются в зависимости от методов проверки подлинности.

    Смарт-карта / Windows Hello for Business
    Стратегия Passwordless — требовать Windows Hello for Business или смарт-карта
    Требовать, чтобы устройство было отмечено как соответствующее
    Условный доступ: требуется многофакторная проверка подлинности для всех пользователей

    Только гибридная
    Стратегия входа без пароля: настройка учетных записей пользователей для запрета проверки пароля

    Только смарт-карта
    Создайте правило для отправки требования метода аутентификации
    Настройка политик аутентификации

    Ключ безопасности FIDO2
    Стратегия входа без пароля: исключение поставщика учетных данных для проверки пароля
    Требовать, чтобы устройство было отмечено как соответствующее
    Условный доступ: требуется многофакторная проверка подлинности для всех пользователей

    Методы проверки подлинности
    Microsoft Entra вход без пароля (предварительная версия) | Ключи безопасности FIDO2
    Вход в Windows без пароля с помощью ключа безопасности - Microsoft Entra ID
    ADFS: проверка подлинности сертификата с помощью Microsoft Entra ID и Office 365
    Как работает вход с использованием смарт-карты в Windows (Windows 10)
    Windows Hello for Business Обзор (Windows 10)

    Дополнительные ресурсы:
    Policy CSP — управление клиентами Windows
    Планирование развертывания проверки подлинности без пароля с помощью Microsoft Entra ID

    IA-2(5)
    Организация требует, чтобы пользователи прошли проверку подлинности с помощью отдельного средства проверки подлинности при использовании средства проверки подлинности группы.
    Если несколько пользователей имеют доступ к паролю общей или групповой учетной записи, необходимо, чтобы каждый пользователь сначала выполнял проверку подлинности с помощью отдельной структуры проверки подлинности.

    Используйте отдельную учетную запись для каждого пользователя. Если требуется общая учетная запись, Microsoft Entra ID разрешает привязку нескольких аутентификаторов к учетной записи, чтобы у каждого пользователя был отдельный аутентификатор.

    Ресурсы

  • Как это работает: Многофакторная аутентификация Microsoft Entra
  • Управление методами проверки подлинности в Microsoft Entra для многофакторной аутентификации
  • IA-2(8)
    Информационная система реализует механизмы проверки подлинности, устойчивые к воспроизведениям, для сетевого доступа к привилегированным учетным записям.
    Реализация механизмов проверки подлинности с защитой от атак с повторением для сетевого доступа к привилегированным учетным записям.

    Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей. Все методы проверки подлинности Microsoft Entra на уровнях 2 и 3 используют одноразовые данные или задачи и устойчивы к атакам с повторным воспроизведением.

    Ссылки

  • Условный доступ: требуется многофакторная проверка подлинности для всех пользователей
  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft
  • IA-2(11)
    Информационная система реализует многофакторную проверку подлинности для удаленного доступа к привилегированным и непривилегированных учетным записям, таким образом, что одним из факторов является устройство, отдельное от системы получения доступа, и устройство соответствует [Назначение FedRAMP: FIPS 140-2, сертификация NIAP или утверждение NSA*].

    *National Information Assurance Partnership (NIAP)
    Дополнительные требования и рекомендации FedRAMP:
    Руководство. PIV = отдельное устройство. Ознакомьтесь с рекомендациями NIST SP 800-157 для производной проверки личных удостоверений (PIV). FIPS 140-2 означает проверку программой проверки криптографических модулей (CMVP).
    Реализуйте многофакторную проверку подлинности Microsoft Entra для удаленного доступа к развернутым клиентом ресурсам, чтобы один из факторов предоставлялся устройством, отдельным от системы доступа, где устройство соответствует стандарту FIPS-140-2, сертификации NIAP или утверждено NSA.

    Ознакомьтесь с руководством по IA-02 (1–4). Microsoft Entra методы проверки подлинности, которые следует учитывать в AAL3, соответствуют отдельным требованиям к устройству:

    Ключи безопасности FIDO2

  • Windows Hello for Business с аппаратным TPM (TPM распознается как допустимый фактор «то, что у вас есть» в NIST 800-63B Раздел 5.1.7.1.).
  • Смарт-карта

    Ссылки

  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft
  • Директива NIST 800-63B, раздел 5.1.7.1
  • **IA-2(12)*
    Информационная система принимает и проверяет в электронном виде учетные данные проверки личных удостоверений (PIV).

    IA-2 (12) Дополнительные требования и рекомендации FedRAMP:
    Руководство. Включите общую карточку доступа (CAC), то есть техническую реализацию DoD PIV/FIPS 201/HSPD-12.
    Принимайте и проверяйте удостоверения личности PIV. Этот метод управления не применяется, если клиент не развертывает учетные данные PIV.

    Настройте федеративную проверку подлинности с помощью Active Directory Federation Services (AD FS), чтобы принять PIV (проверку подлинности сертификата) в качестве основных и многофакторных методов проверки подлинности и выдавать утверждение многофакторной проверки подлинности (MultipleAuthN) при использовании PIV. Настройте федеративный домен в Microsoft Entra ID с параметром federatedIdpMfaBehavior, установите значение enforceMfaByFederatedIdp (рекомендуется) или $True на SupportsMfa, для направления запросов многофакторной проверки подлинности, поступающих в Microsoft Entra ID, в Active Directory Federation Services. Кроме того, вы можете использовать PIV для входа на устройствах Windows, а затем воспользоваться интегрированной аутентификацией Windows вместе с бесшовной функцией единого входа. Windows Server и клиент проверяют сертификаты по умолчанию при использовании для проверки подлинности.

    Ресурсы

  • Что такое федерация с Microsoft Entra ID?
  • Настройка поддержки AD FS для проверки подлинности сертификатов пользователей
  • Настройка политик проверки подлинности
  • Защищайте ресурсы с помощью многофакторной проверки подлинности Microsoft Entra и AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect: Простой единый вход
  • Идентификация и проверка подлинности устройств IA-3
    Информационная система однозначно идентифицирует и проходит проверку подлинности [Назначение: определенное организацией и/или типы устройств] перед установкой подключения [Выбор (один или несколько): локальный; удаленный; сеть].
    Реализуйте идентификацию устройств и проверку подлинности перед установкой подключения.

    Настройте Microsoft Entra ID для идентификации и проверки подлинности зарегистрированных устройств, устройств, подключенных к Microsoft Entra, и гибридных устройств, подключенных к Microsoft Entra.

    Ресурсы

  • Что такое удостоверение устройства?
  • План развертывания устройств Microsoft Entra
  • Требовать управляемые устройства для доступа к облачному приложению с помощью условного доступа
  • Управление идентификаторами IA-04
    Организация управляет идентификаторами информационной системы для пользователей и устройств с помощью следующих элементов:
    (a.) Получение авторизации от [назначения FedRAMP как минимум, ISSO (или аналогичная роль в организации)] для назначения отдельного пользователя, группы, роли или идентификатора устройства;
    (b.) Выбор идентификатора, определяющего личность, группу, роль или устройство;
    (c.) Назначение идентификатора предполагаемому человеку, группе, роли или устройству;
    (d.) Предотвращение повторного использования идентификаторов для [назначения FedRAMP: по крайней мере два (2) года]; и
    (e.) Отключение идентификатора после [назначения FedRAMP: тридцать пять (35) дней (см. требования и рекомендации)]
    Дополнительные требования и рекомендации FedRAMP для IA-4e:
    Требование. Поставщик услуг определяет период времени бездействия для идентификаторов устройств.
    Руководство. Сведения об облаках DoD см. на веб-сайте DoD для конкретных требований DoD, которые выходят за рамки FedRAMP.

    IA-4(4)
    Организация управляет отдельными идентификаторами, однозначно определяя каждого из них как [назначение FedRAMP: подрядчики; иностранные граждане].
    Отключайте идентификаторы учетной записи после 35 дней бездействия и запрещайте их повторное использование в течение двух лет. Управляйте отдельными идентификаторами путем уникальной идентификации каждого отдельного лица (например, подрядчиков и иностранных граждан).

    Назначение идентификаторов и состояний отдельных учетных записей и управление ими в Microsoft Entra ID в соответствии с существующими политиками организации, определенными в AC-02. Следуйте положениям AC-02 (3), чтобы автоматически отключать учетные записи пользователей и устройств после 35 дней бездействия. Убедитесь, что политика организации сохраняет все учетные записи, остающиеся в отключенном состоянии, в течение не менее двух лет. По истечении этого срока их можно удалить.

    Определение отсутствия активности

  • Управление неактивными аккаунтами пользователей в Microsoft Entra ID
  • Управление устаревшими устройствами в Microsoft Entra ID
  • Ознакомьтесь с руководством по AC-02
  • Управление аутентификатором IA-5
    Организация управляет средствами проверки подлинности информационной системы следующими средствами:
    (a.) Проверка личности отдельного пользователя, группы, роли или устройства, получающего аутентификатор, как часть первоначального распространения аутентификаторов;
    (b.) Установка начального содержимого аутентификатора для аутентификаторов, определенных организацией;
    (c.) Обеспечение того, чтобы аутентификаторы имели достаточную силу механизма для их предполагаемого использования;
    (d.) Создание и реализация административных процедур для первоначального распространения аутентификатора, для потерянных или скомпрометированных или поврежденных аутентификаторов, а также для отзыва аутентификаторов;
    (e.) Изменение содержимого по умолчанию для аутентификаторов до установки информационной системы;
    (f.) Установление минимальных и максимальных ограничений срока действия и условий повторного использования для аутентификаторов;
    (g.) Изменение и обновление аутентификаторов [Назначение: определенный организацией период времени по типу аутентатора].
    (h.) Защита содержимого аутентификатора от несанкционированного раскрытия и изменения;
    (i.) Требовать от пользователей принимать меры по реализации, а от устройств — внедрять конкретные средства безопасности для защиты аутентификаторов; и
    (j.) Изменение аутентификаторов для учетных записей групп или ролей при изменении членства в этих учетных записях.

    Дополнительные требования и рекомендации FedRAMP для IA-5:
    Требование. Аутентификаторы должны соответствовать требованиям NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. https://pages.nist.gov/800-63-3 ссылка
    Настройте структуры проверки подлинности информационной системы и управляйте ими.

    Microsoft Entra ID поддерживает различные методы проверки подлинности. Вы можете использовать существующие политики организации для управления. Ознакомьтесь с рекомендациями по выбору средства аутентификации в IA-02(1-4). Предоставьте пользователям возможность объединенной регистрации для SSPR и многофакторной аутентификации Microsoft Entra и требуйте, чтобы они регистрировали минимум два допустимых метода многофакторной аутентификации для упрощения самостоятельного восстановления. Можно отозвать средства аутентификации, настроенные пользователем, в любое время с помощью API методов аутентификации.

    Надежность аутентификатора и защита его содержимого

  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft

    Способы проверки подлинности и объединенная регистрация

  • Какие методы аутентификации и верификации доступны в Microsoft Entra ID?
  • Совмещенная регистрация для SSPR и многофакторной аутентификации Microsoft Entra

    Отзыв аутентификатора

  • Обзор API методов проверки подлинности Microsoft Entra
  • IA-5(1)
    Информационная система для проверки подлинности на основе паролей:
    (a.) Обеспечивает минимальную сложность пароля [Назначение: организация определяет требования, включая учет регистра, количество символов, сочетание прописных букв, строчных букв, цифр и специальных символов, включая минимальные требования для каждого типа];
    (b.) Применяет по крайней мере следующее число измененных символов при создании новых паролей: [Назначение FedRAMP: по крайней мере пятьдесят процентов (50%)];
    (c.) Хранит и передает только криптографические защищенные пароли;
    (d.) Применяет минимальные и максимальные ограничения времени существования пароля [Назначение: определенное организацией число для минимального, максимального времени существования];
    (e.)** Запрещает повторное использование паролей в течение [назначения по стандарту FedRAMP: двадцати четырёх (24)] поколений; и
    (f.) Позволяет использовать временный пароль для входа в систему с немедленным изменением постоянного пароля.

    IA-5 (1) a и d Дополнительные требования и рекомендации FedRAMP:
    Руководство. Если политики паролей соответствуют рекомендациям NIST SP 800-63B Memorized Secret (section 5.1.1), элемент управления может считаться совместимым.
    Реализуйте требования к проверке подлинности на основе пароля.

    Согласно разделу 5.1.1 директивы NIST SP 800-63B, следует использовать список часто используемых, ожидаемых или скомпрометированных паролей.

    При Microsoft Entra защите паролей глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для поддержки потребностей вашего бизнеса и безопасности можно добавлять собственные записи в настраиваемый список запрещенных паролей. Когда пользователи изменяют или сбрасывают свои пароли, эти списки запрещённых паролей проверяются для обеспечения использования надежных паролей.

    Мы настоятельно рекомендуем реализовать стратегии входа без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления.

    Справочная документация NIST

  • Специальная публикация NIST 800-63B
  • Специальная публикация NIST 800-53, редакция 5: IA-5, улучшение контроля (1)

    Ресурс

  • Устраните ненадёжные пароли с помощью защиты паролей Microsoft Entra
  • IA-5(2)
    Информационная система для проверки подлинности на основе PKI:
    (a.) Проверяет сертификаты путем создания и проверки пути сертификации к принятой привязке доверия, включая проверку сведений о состоянии сертификата;
    (b.) Принудительно применяет авторизованный доступ к соответствующему закрытому ключу;
    (c.) Сопоставляет прошедшую аутентификацию личность с учетной записью конкретного пользователя или группы; и
    (d.) Реализует локальный кэш данных отзыва для поддержки обнаружения путей и проверки во время невозможности доступа к данным отзыва через сеть.
    Реализуйте требования к проверке подлинности на основе PKI.

    Настройте федерацию Microsoft Entra ID с помощью AD FS для реализации аутентификации на основе PKI. По умолчанию AD FS проверяет сертификаты, локально кэширует данные отзыва и сопоставляет пользователей с удостоверением, прошедшим проверку подлинности, в Active Directory.

    Ресурсы

  • Что такое федерация с Microsoft Entra ID?
  • Настройка поддержки AD FS для проверки подлинности сертификатов пользователей
  • IA-5(4)
    Организация использует автоматизированные средства для определения достаточной надежности средства проверки подлинности паролей, чтобы удовлетворить [назначение FedRAMP: сложность, как определено в IA-5 (1) Улучшение элемента управления (H) часть A].

    IA-5(4) Дополнительные требования и рекомендации FedRAMP:
    Руководство. Если автоматические механизмы, обеспечивающие силу проверки подлинности паролей при создании, не используются, автоматические механизмы должны использоваться для аудита надежности созданных средств проверки подлинности паролей.
    Применяйте автоматизированные средства для проверки требований к надежности паролей.

    Microsoft Entra ID реализует автоматизированные механизмы, которые обеспечивают надежность аутентификаторов паролей при их создании. Этот автоматизированный механизм также можно расширить для применения силы проверки подлинности паролей для on-premises Active Directory. В версии 5 директивы NIST 800-53 положения IA-04 (4) отозваны, а требования включены в IA-5 (1).

    Ресурсы

  • Устраните ненадёжные пароли с помощью защиты паролей Microsoft Entra
  • Защита паролей Microsoft Entra для Active Directory Domain Services
  • Специальная публикация NIST 800-53, редакция 5: IA-5, улучшение контроля (4)
  • IA-5(6)
    Организация защищает аутентификаторы, которые соответствуют категории безопасности сведений, к которым предоставляется доступ с помощью средства проверки подлинности.
    Защитите средства аутентификации в соответствии с уровнем воздействия FedRAMP High Impact.

    Дополнительные сведения о том, как Microsoft Entra ID защищает аутентификаторы, см. в статье Microsoft Entra вопросы безопасности данных.

    IA-05(7)
    Организация гарантирует, что незашифрованные статические аутентификаторы не внедрены в приложения или сценарии доступа или хранятся в ключах функций.
    Убедитесь, что незашифрованные статические структуры проверки подлинности (например, пароль) не внедряются в приложения или сценарии доступа и не хранятся в ключах функций.

    Реализуйте управляемые идентификации или объекты сервисного принципала (настроенные только с помощью сертификата).

    Ресурсы

  • Что такое управляемые удостоверения для ресурсов Azure?
  • Создайте приложение Microsoft Entra и службу-принципал в портале
  • IA-5(8)
    Организация реализует [назначение FedRAMP: различные аутентификаторы в разных системах] для управления риском компрометации из-за того, что у отдельных лиц есть учетные записи в нескольких информационных системах.
    Реализуйте меры безопасности, когда пользователи имеют учетные записи в нескольких информационных системах.

    Реализуйте единый вход, подключив все приложения к Microsoft Entra ID, а не отдельные учетные записи в нескольких информационных системах.

    Что такое единый вход в систему Azure?

    IA-5(11)
    Информационная система для проверки подлинности на основе аппаратных маркеров использует механизмы, удовлетворяющие [назначение: требования к качеству маркера, определяемые организацией].
    Требуйте, чтобы качество аппаратных токенов соответствовало требованиям уровня FedRAMP High Impact.

    Требуйте использования аппаратных токенов, соответствующих AAL3.

    Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft

    IA-5(13)
    Информационная система запрещает использование кэшированных аутентификаторов после [назначения: определенный организацией период времени].
    Обеспечьте истечение срока действия кэшированных аутентификаторов.

    Кэшированные аутентификаторы используются для проверки подлинности на локальном компьютере в случае недоступности сети. Чтобы ограничить использование кэшированных аутентификаторов, настройте Windows устройства для отключения их использования. Если сделать это невозможно или непрактично, используйте следующие компенсирующие элементы управления:

    Настройте элементы управления сеансами условного доступа с помощью ограничений, применяемых приложениями Office.
    Настройте условный доступ с помощью элементов управления приложениями для других приложений.

    Ресурсы

  • Число предыдущих интерактивных входов в систему, сохраняемых в кэш
  • Управление сеансами в политике условного доступа: ограничения, применяемые приложениями
  • Элементы управления сеансами в политике условного доступа: управление приложением условного доступа
  • Отзывы об IA-6 Authenticator
    Информационная система скрывает отзывы о проверке подлинности во время процесса проверки подлинности для защиты информации от возможной эксплуатации или использования несанкционированными лицами.
    Скрыть информацию об обратной связи при аутентификации во время процесса аутентификации.

    По умолчанию Microsoft Entra ID скрывает все отзывы аутентификатора.

    Проверка подлинности модуля шифрования IA-7
    Информационная система реализует механизмы проверки подлинности для криптографического модуля согласно требованиям применимых федеральных законов, исполнительных приказов, директив, политик, правил, стандартов и рекомендаций для такой проверки подлинности.
    Реализуйте механизмы проверки подлинности в криптографическом модуле, соответствующем применимым федеральным законам.

    Для уровня высокоимпактного воздействия FedRAMP требуется аутентификатор AAL3. Все средства проверки подлинности, поддерживаемые Microsoft Entra ID в AAL3, предоставляют механизмы проверки подлинности доступа оператора к модулю по мере необходимости. Например, в развертывании Windows Hello for Business с аппаратным модулем TPM настройте уровень авторизации владельца модуля TPM.

    Ресурсы

  • Дополнительные сведения см. в IA-02 (2 и 4).
  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft
  • Параметры групповой политики TPM
  • Идентификация и проверка подлинности IA-8 (пользователи, не являющиеся организацией)
    Информационная система однозначно идентифицирует и проверяет подлинность пользователей, не являющихся организацией (или процессы, действующие от имени пользователей, не являющихся организацией).
    Информационная система однозначно идентифицирует и проверяет подлинность неорганизованных пользователей (или процессов, действующих для неорганизации пользователей).

    Microsoft Entra ID однозначно идентифицирует и аутентифицирует пользователей, не связанных с организацией, размещенных в пространстве арендатора организации или во внешних каталогах, используя утвержденные FICAM протоколы управления удостоверениями, учетными данными и доступом.

    Ресурсы

  • Что такое сотрудничество B2B в Microsoft Entra ID?
  • Прямая федерация с провайдером удостоверений для B2B
  • Свойства гостевого пользователя B2B
  • IA-8(1)
    Информационная система принимает и электронным образом проверяет учетные данные проверки личности (PIV) из других федеральных учреждений.

    IA-8(4)
    Информационная система соответствует профилям, выданным FICAM.
    Принимайте и проверяйте учетные данные PIV, выданные другими федеральными учреждениями. Следуйте профилям, выпущенным FICAM.

    Настройте Microsoft Entra ID для приёма учетных данных PIV через федерацию (OIDC, SAML) или локально с использованием интегрированной аутентификации Windows.

    Ресурсы

  • Что такое федерация с Microsoft Entra ID?
  • Настройка поддержки AD FS для проверки подлинности сертификатов пользователей
  • Что такое сотрудничество B2B в Microsoft Entra ID?
  • Прямая федерация с провайдером удостоверений для B2B
  • IA-8(2)
    Информационная система принимает только утвержденные сторонние учетные данные FICAM.
    Принимайте только учетные данные, утвержденные FICAM.

    Microsoft Entra ID поддерживает проверки подлинности в NIST AALs 1, 2 и 3. Ограничьте использование структур проверки подлинности в соответствии с категорией безопасности системы, к которой осуществляется доступ.

    Microsoft Entra ID поддерживает широкий спектр методов проверки подлинности.

    Ресурсы

  • Какие методы аутентификации и верификации доступны в Microsoft Entra ID?
  • обзор API политик методов проверки подлинности Microsoft Entra
  • Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft                                     
  • Следующие шаги