Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификация и проверка подлинности являются ключом к достижению Высокого уровня воздействия согласно Программе управления рисками и авторизацией Федерального правительства (FedRAMP).
В следующем списке элементов управления и их улучшений в семействе IA (идентификация и проверка подлинности) может потребоваться их настройка в арендаторе Microsoft Entra.
| Семейство элементов управления | Описание |
|---|---|
| IA-2 | Идентификация и проверка подлинности (пользователи организации) |
| IA-3 | Идентификация и проверка подлинности устройств |
| IA-4 | Управление идентификаторами |
| IA-5 | Управление аутентификатором |
| IA-6 | Отзыв об аутентификаторе |
| IA-7 | Проверка подлинности на основе криптографического модуля |
| IA-8 | Идентификация и проверка подлинности (неорганизационные пользователи) |
Каждая строка в приведенной таблице содержит рекомендации, которые помогут вам в разработке мер реагирования организации на любые общие обязанности, касающиеся элементов управления или их улучшения.
Конфигурации
| Идентификатор и описание элемента управления FedRAMP | Руководство и рекомендации Microsoft Entra |
|---|---|
|
Идентификация и проверка подлинности пользователей IA-2 Информационная система однозначно идентифицирует и проверяет подлинность пользователей организации (или процессы, действующие от имени пользователей организации). |
Однозначная идентификация и проверка подлинности пользователей или процессов, действующих для пользователей. Microsoft Entra ID однозначно идентифицирует объекты пользователя и субъекта-службы напрямую. Microsoft Entra ID предоставляет несколько методов проверки подлинности, и вы можете настроить методы, которые соответствуют национальному институту стандартов и технологий (NIST) уровня проверки подлинности (AAL) 3. Идентификаторы Проверка подлинности и многофакторная проверка подлинности |
|
IA-2(1) Информационная система реализует многофакторную проверку подлинности для сетевого доступа к привилегированным учетным записям. IA-2(3) Информационная система реализует многофакторную проверку подлинности для локального доступа к привилегированным учетным записям. |
многофакторная проверка подлинности для всех доступа к привилегированным учетным записям. Настройте приведенные ниже элементы для реализации полного решения, чтобы гарантировать, что для доступа к привилегированным учетным записям обязательно будет применяться многофакторная проверка подлинности. Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей. При необходимости активации Privileged Identity Management активация привилегированных учетных записей невозможна без сетевого доступа, поэтому локальный доступ никогда не является привилегированным. многофакторная проверка подлинности и Privileged Identity Management |
|
IA-2(2) Информационная система реализует многофакторную проверку подлинности для сетевого доступа к не привилегированным учетным записям. IA-2(4) Информационная система реализует многофакторную проверку подлинности для локального доступа к непривилегированных учетных записям. |
Реализация многофакторной проверки подлинности для всех доступа к непривилегированных учетных записям Настройте следующие элементы как общее решение, чтобы обеспечить, что доступ ко всем непривилегированным учетным записям требует многофакторной проверки подлинности. Настройте политики условного доступа, чтобы требовать MFA для всех пользователей. Корпорация Майкрософт рекомендует использовать многофакторный криптографический аппаратный средство проверки подлинности (например, ключи безопасности FIDO2, Windows Hello for Business (с аппаратным TPM) или смарт-картой для достижения AAL3. Если ваша организация основана на облаке, рекомендуется использовать ключи безопасности FIDO2 или Windows Hello for Business. Windows Hello for Business не проверен на уровне безопасности, требуемом FIPS 140, поэтому федеральным клиентам необходимо провести оценку рисков и анализ, прежде чем принимать его в качестве AAL3. Дополнительные сведения о проверке Windows Hello for Business FIPS 140 см. в разделе Microsoft NIST AALs. Следующие рекомендации по политикам MDM немного различаются в зависимости от методов проверки подлинности. Смарт-карта / Windows Hello for Business Только гибридная Только смарт-карта Ключ безопасности FIDO2 Методы проверки подлинности Дополнительные ресурсы: |
|
IA-2(5) Организация требует, чтобы пользователи прошли проверку подлинности с помощью отдельного средства проверки подлинности при использовании средства проверки подлинности группы. |
Если несколько пользователей имеют доступ к паролю общей или групповой учетной записи, необходимо, чтобы каждый пользователь сначала выполнял проверку подлинности с помощью отдельной структуры проверки подлинности. Используйте отдельную учетную запись для каждого пользователя. Если требуется общая учетная запись, Microsoft Entra ID разрешает привязку нескольких аутентификаторов к учетной записи, чтобы у каждого пользователя был отдельный аутентификатор. Ресурсы |
|
IA-2(8) Информационная система реализует механизмы проверки подлинности, устойчивые к воспроизведениям, для сетевого доступа к привилегированным учетным записям. |
Реализация механизмов проверки подлинности с защитой от атак с повторением для сетевого доступа к привилегированным учетным записям. Настройте политики условного доступа, чтобы требовать многофакторную проверку подлинности для всех пользователей. Все методы проверки подлинности Microsoft Entra на уровнях 2 и 3 используют одноразовые данные или задачи и устойчивы к атакам с повторным воспроизведением. Ссылки |
|
IA-2(11) Информационная система реализует многофакторную проверку подлинности для удаленного доступа к привилегированным и непривилегированных учетным записям, таким образом, что одним из факторов является устройство, отдельное от системы получения доступа, и устройство соответствует [Назначение FedRAMP: FIPS 140-2, сертификация NIAP или утверждение NSA*]. *National Information Assurance Partnership (NIAP) Дополнительные требования и рекомендации FedRAMP: Руководство. PIV = отдельное устройство. Ознакомьтесь с рекомендациями NIST SP 800-157 для производной проверки личных удостоверений (PIV). FIPS 140-2 означает проверку программой проверки криптографических модулей (CMVP). |
Реализуйте многофакторную проверку подлинности Microsoft Entra для удаленного доступа к развернутым клиентом ресурсам, чтобы один из факторов предоставлялся устройством, отдельным от системы доступа, где устройство соответствует стандарту FIPS-140-2, сертификации NIAP или утверждено NSA. Ознакомьтесь с руководством по IA-02 (1–4). Microsoft Entra методы проверки подлинности, которые следует учитывать в AAL3, соответствуют отдельным требованиям к устройству: Ключи безопасности FIDO2 Ссылки |
| **IA-2(12)* Информационная система принимает и проверяет в электронном виде учетные данные проверки личных удостоверений (PIV). IA-2 (12) Дополнительные требования и рекомендации FedRAMP: Руководство. Включите общую карточку доступа (CAC), то есть техническую реализацию DoD PIV/FIPS 201/HSPD-12. |
Принимайте и проверяйте удостоверения личности PIV. Этот метод управления не применяется, если клиент не развертывает учетные данные PIV. Настройте федеративную проверку подлинности с помощью Active Directory Federation Services (AD FS), чтобы принять PIV (проверку подлинности сертификата) в качестве основных и многофакторных методов проверки подлинности и выдавать утверждение многофакторной проверки подлинности (MultipleAuthN) при использовании PIV. Настройте федеративный домен в Microsoft Entra ID с параметром federatedIdpMfaBehavior, установите значение Ресурсы |
|
Идентификация и проверка подлинности устройств IA-3 Информационная система однозначно идентифицирует и проходит проверку подлинности [Назначение: определенное организацией и/или типы устройств] перед установкой подключения [Выбор (один или несколько): локальный; удаленный; сеть]. |
Реализуйте идентификацию устройств и проверку подлинности перед установкой подключения. Настройте Microsoft Entra ID для идентификации и проверки подлинности зарегистрированных устройств, устройств, подключенных к Microsoft Entra, и гибридных устройств, подключенных к Microsoft Entra. Ресурсы |
|
Управление идентификаторами IA-04 Организация управляет идентификаторами информационной системы для пользователей и устройств с помощью следующих элементов: (a.) Получение авторизации от [назначения FedRAMP как минимум, ISSO (или аналогичная роль в организации)] для назначения отдельного пользователя, группы, роли или идентификатора устройства; (b.) Выбор идентификатора, определяющего личность, группу, роль или устройство; (c.) Назначение идентификатора предполагаемому человеку, группе, роли или устройству; (d.) Предотвращение повторного использования идентификаторов для [назначения FedRAMP: по крайней мере два (2) года]; и (e.) Отключение идентификатора после [назначения FedRAMP: тридцать пять (35) дней (см. требования и рекомендации)] Дополнительные требования и рекомендации FedRAMP для IA-4e: Требование. Поставщик услуг определяет период времени бездействия для идентификаторов устройств. Руководство. Сведения об облаках DoD см. на веб-сайте DoD для конкретных требований DoD, которые выходят за рамки FedRAMP. IA-4(4) Организация управляет отдельными идентификаторами, однозначно определяя каждого из них как [назначение FedRAMP: подрядчики; иностранные граждане]. |
Отключайте идентификаторы учетной записи после 35 дней бездействия и запрещайте их повторное использование в течение двух лет. Управляйте отдельными идентификаторами путем уникальной идентификации каждого отдельного лица (например, подрядчиков и иностранных граждан). Назначение идентификаторов и состояний отдельных учетных записей и управление ими в Microsoft Entra ID в соответствии с существующими политиками организации, определенными в AC-02. Следуйте положениям AC-02 (3), чтобы автоматически отключать учетные записи пользователей и устройств после 35 дней бездействия. Убедитесь, что политика организации сохраняет все учетные записи, остающиеся в отключенном состоянии, в течение не менее двух лет. По истечении этого срока их можно удалить. Определение отсутствия активности |
|
Управление аутентификатором IA-5 Организация управляет средствами проверки подлинности информационной системы следующими средствами: (a.) Проверка личности отдельного пользователя, группы, роли или устройства, получающего аутентификатор, как часть первоначального распространения аутентификаторов; (b.) Установка начального содержимого аутентификатора для аутентификаторов, определенных организацией; (c.) Обеспечение того, чтобы аутентификаторы имели достаточную силу механизма для их предполагаемого использования; (d.) Создание и реализация административных процедур для первоначального распространения аутентификатора, для потерянных или скомпрометированных или поврежденных аутентификаторов, а также для отзыва аутентификаторов; (e.) Изменение содержимого по умолчанию для аутентификаторов до установки информационной системы; (f.) Установление минимальных и максимальных ограничений срока действия и условий повторного использования для аутентификаторов; (g.) Изменение и обновление аутентификаторов [Назначение: определенный организацией период времени по типу аутентатора]. (h.) Защита содержимого аутентификатора от несанкционированного раскрытия и изменения; (i.) Требовать от пользователей принимать меры по реализации, а от устройств — внедрять конкретные средства безопасности для защиты аутентификаторов; и (j.) Изменение аутентификаторов для учетных записей групп или ролей при изменении членства в этих учетных записях. Дополнительные требования и рекомендации FedRAMP для IA-5: Требование. Аутентификаторы должны соответствовать требованиям NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. https://pages.nist.gov/800-63-3 ссылка |
Настройте структуры проверки подлинности информационной системы и управляйте ими. Microsoft Entra ID поддерживает различные методы проверки подлинности. Вы можете использовать существующие политики организации для управления. Ознакомьтесь с рекомендациями по выбору средства аутентификации в IA-02(1-4). Предоставьте пользователям возможность объединенной регистрации для SSPR и многофакторной аутентификации Microsoft Entra и требуйте, чтобы они регистрировали минимум два допустимых метода многофакторной аутентификации для упрощения самостоятельного восстановления. Можно отозвать средства аутентификации, настроенные пользователем, в любое время с помощью API методов аутентификации. Надежность аутентификатора и защита его содержимого Способы проверки подлинности и объединенная регистрация Отзыв аутентификатора |
|
IA-5(1) Информационная система для проверки подлинности на основе паролей: (a.) Обеспечивает минимальную сложность пароля [Назначение: организация определяет требования, включая учет регистра, количество символов, сочетание прописных букв, строчных букв, цифр и специальных символов, включая минимальные требования для каждого типа]; (b.) Применяет по крайней мере следующее число измененных символов при создании новых паролей: [Назначение FedRAMP: по крайней мере пятьдесят процентов (50%)]; (c.) Хранит и передает только криптографические защищенные пароли; (d.) Применяет минимальные и максимальные ограничения времени существования пароля [Назначение: определенное организацией число для минимального, максимального времени существования]; (e.)** Запрещает повторное использование паролей в течение [назначения по стандарту FedRAMP: двадцати четырёх (24)] поколений; и (f.) Позволяет использовать временный пароль для входа в систему с немедленным изменением постоянного пароля. IA-5 (1) a и d Дополнительные требования и рекомендации FedRAMP: Руководство. Если политики паролей соответствуют рекомендациям NIST SP 800-63B Memorized Secret (section 5.1.1), элемент управления может считаться совместимым. |
Реализуйте требования к проверке подлинности на основе пароля. Согласно разделу 5.1.1 директивы NIST SP 800-63B, следует использовать список часто используемых, ожидаемых или скомпрометированных паролей. При Microsoft Entra защите паролей глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Для поддержки потребностей вашего бизнеса и безопасности можно добавлять собственные записи в настраиваемый список запрещенных паролей. Когда пользователи изменяют или сбрасывают свои пароли, эти списки запрещённых паролей проверяются для обеспечения использования надежных паролей. Мы настоятельно рекомендуем реализовать стратегии входа без пароля. Этот элемент управления применим только к структурам проверки пароля, поэтому удаление паролей в качестве доступной структуры проверки подлинности приведет к непригодности этого элемента управления. Справочная документация NIST Ресурс |
|
IA-5(2) Информационная система для проверки подлинности на основе PKI: (a.) Проверяет сертификаты путем создания и проверки пути сертификации к принятой привязке доверия, включая проверку сведений о состоянии сертификата; (b.) Принудительно применяет авторизованный доступ к соответствующему закрытому ключу; (c.) Сопоставляет прошедшую аутентификацию личность с учетной записью конкретного пользователя или группы; и (d.) Реализует локальный кэш данных отзыва для поддержки обнаружения путей и проверки во время невозможности доступа к данным отзыва через сеть. |
Реализуйте требования к проверке подлинности на основе PKI. Настройте федерацию Microsoft Entra ID с помощью AD FS для реализации аутентификации на основе PKI. По умолчанию AD FS проверяет сертификаты, локально кэширует данные отзыва и сопоставляет пользователей с удостоверением, прошедшим проверку подлинности, в Active Directory. Ресурсы |
|
IA-5(4) Организация использует автоматизированные средства для определения достаточной надежности средства проверки подлинности паролей, чтобы удовлетворить [назначение FedRAMP: сложность, как определено в IA-5 (1) Улучшение элемента управления (H) часть A]. IA-5(4) Дополнительные требования и рекомендации FedRAMP: Руководство. Если автоматические механизмы, обеспечивающие силу проверки подлинности паролей при создании, не используются, автоматические механизмы должны использоваться для аудита надежности созданных средств проверки подлинности паролей. |
Применяйте автоматизированные средства для проверки требований к надежности паролей. Microsoft Entra ID реализует автоматизированные механизмы, которые обеспечивают надежность аутентификаторов паролей при их создании. Этот автоматизированный механизм также можно расширить для применения силы проверки подлинности паролей для on-premises Active Directory. В версии 5 директивы NIST 800-53 положения IA-04 (4) отозваны, а требования включены в IA-5 (1). Ресурсы |
|
IA-5(6) Организация защищает аутентификаторы, которые соответствуют категории безопасности сведений, к которым предоставляется доступ с помощью средства проверки подлинности. |
Защитите средства аутентификации в соответствии с уровнем воздействия FedRAMP High Impact. Дополнительные сведения о том, как Microsoft Entra ID защищает аутентификаторы, см. в статье Microsoft Entra вопросы безопасности данных. |
|
IA-05(7) Организация гарантирует, что незашифрованные статические аутентификаторы не внедрены в приложения или сценарии доступа или хранятся в ключах функций. |
Убедитесь, что незашифрованные статические структуры проверки подлинности (например, пароль) не внедряются в приложения или сценарии доступа и не хранятся в ключах функций. Реализуйте управляемые идентификации или объекты сервисного принципала (настроенные только с помощью сертификата). Ресурсы |
|
IA-5(8) Организация реализует [назначение FedRAMP: различные аутентификаторы в разных системах] для управления риском компрометации из-за того, что у отдельных лиц есть учетные записи в нескольких информационных системах. |
Реализуйте меры безопасности, когда пользователи имеют учетные записи в нескольких информационных системах. Реализуйте единый вход, подключив все приложения к Microsoft Entra ID, а не отдельные учетные записи в нескольких информационных системах. |
|
IA-5(11) Информационная система для проверки подлинности на основе аппаратных маркеров использует механизмы, удовлетворяющие [назначение: требования к качеству маркера, определяемые организацией]. |
Требуйте, чтобы качество аппаратных токенов соответствовало требованиям уровня FedRAMP High Impact. Требуйте использования аппаратных токенов, соответствующих AAL3. Достижение уровней доверия аутентификатора NIST с помощью платформы идентификации Microsoft |
|
IA-5(13) Информационная система запрещает использование кэшированных аутентификаторов после [назначения: определенный организацией период времени]. |
Обеспечьте истечение срока действия кэшированных аутентификаторов. Кэшированные аутентификаторы используются для проверки подлинности на локальном компьютере в случае недоступности сети. Чтобы ограничить использование кэшированных аутентификаторов, настройте Windows устройства для отключения их использования. Если сделать это невозможно или непрактично, используйте следующие компенсирующие элементы управления: Настройте элементы управления сеансами условного доступа с помощью ограничений, применяемых приложениями Office. Ресурсы |
|
Отзывы об IA-6 Authenticator Информационная система скрывает отзывы о проверке подлинности во время процесса проверки подлинности для защиты информации от возможной эксплуатации или использования несанкционированными лицами. |
Скрыть информацию об обратной связи при аутентификации во время процесса аутентификации. По умолчанию Microsoft Entra ID скрывает все отзывы аутентификатора. |
|
Проверка подлинности модуля шифрования IA-7 Информационная система реализует механизмы проверки подлинности для криптографического модуля согласно требованиям применимых федеральных законов, исполнительных приказов, директив, политик, правил, стандартов и рекомендаций для такой проверки подлинности. |
Реализуйте механизмы проверки подлинности в криптографическом модуле, соответствующем применимым федеральным законам. Для уровня высокоимпактного воздействия FedRAMP требуется аутентификатор AAL3. Все средства проверки подлинности, поддерживаемые Microsoft Entra ID в AAL3, предоставляют механизмы проверки подлинности доступа оператора к модулю по мере необходимости. Например, в развертывании Windows Hello for Business с аппаратным модулем TPM настройте уровень авторизации владельца модуля TPM. Ресурсы |
|
Идентификация и проверка подлинности IA-8 (пользователи, не являющиеся организацией) Информационная система однозначно идентифицирует и проверяет подлинность пользователей, не являющихся организацией (или процессы, действующие от имени пользователей, не являющихся организацией). |
Информационная система однозначно идентифицирует и проверяет подлинность неорганизованных пользователей (или процессов, действующих для неорганизации пользователей). Microsoft Entra ID однозначно идентифицирует и аутентифицирует пользователей, не связанных с организацией, размещенных в пространстве арендатора организации или во внешних каталогах, используя утвержденные FICAM протоколы управления удостоверениями, учетными данными и доступом. Ресурсы |
|
IA-8(1) Информационная система принимает и электронным образом проверяет учетные данные проверки личности (PIV) из других федеральных учреждений. IA-8(4) Информационная система соответствует профилям, выданным FICAM. |
Принимайте и проверяйте учетные данные PIV, выданные другими федеральными учреждениями. Следуйте профилям, выпущенным FICAM. Настройте Microsoft Entra ID для приёма учетных данных PIV через федерацию (OIDC, SAML) или локально с использованием интегрированной аутентификации Windows. Ресурсы |
|
IA-8(2) Информационная система принимает только утвержденные сторонние учетные данные FICAM. |
Принимайте только учетные данные, утвержденные FICAM. Microsoft Entra ID поддерживает проверки подлинности в NIST AALs 1, 2 и 3. Ограничьте использование структур проверки подлинности в соответствии с категорией безопасности системы, к которой осуществляется доступ. Microsoft Entra ID поддерживает широкий спектр методов проверки подлинности. Ресурсы |