Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика
1 Пользователь
В этом разделе содержатся рекомендации и рекомендации Майкрософт по действиям DoD Zero Trust в рамках руководства пользователя. Дополнительные сведения см. в статье "Защита удостоверения с использованием нуля доверия".
1.1 Инвентаризация пользователей
Идентификатор Microsoft Entra — это необходимая платформа удостоверений для облачных служб Майкрософт. Идентификатор Microsoft Entra — это поставщик удостоверений (IdP) и платформа управления для поддержки многооблачных и гибридных удостоверений. Вы можете использовать идентификатор Microsoft Entra для управления доступом к облакам, не относящихся к Microsoft, таким как Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) и многое другое. Идентификатор Microsoft Entra использует стандартные протоколы удостоверений, что делает его подходящим поставщиком удостоверений для программного обеспечения как службы (SaaS), современными веб-приложениями, классическими и мобильными приложениями, а также устаревшими локальными приложениями.
Используйте идентификатор Microsoft Entra, чтобы проверить пользователей и сущностей, не являющихся лицами (NPE), непрерывно авторизовать доступ к приложениям и данным, управлять удостоверениями и их правами, следуя принципам наименьших привилегий, и выполнять JIT-администрирование.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
TargetПользователь инвентаризации1.1.1Организации DoD устанавливают и обновляют инвентаризацию пользователей вручную при необходимости, подготавливаясь к автоматическому подходу на последующих этапах. Учетные записи, которые централизованно управляются idP/ICAM и локально в системах, будут идентифицированы и инвентаризации. Привилегированные учетные записи будут идентифицированы для будущего аудита, и стандартные и привилегированные учетные записи пользователей, локальные для приложений и систем, будут определены для будущей миграции и (или) вывода из эксплуатации. Результаты. — Определяемые управляемые обычные пользователи— определяемые управляемые привилегированные пользователи — определяемые приложениями с помощью управления учетными записями пользователей, не являющихся административными и административными учетными записями. |
Идентификатор Microsoft Entra ID определяет обычных и привилегированных пользователей в организации с помощью Центра администрирования Microsoft Entra или API Microsoft Graph. Действия пользователя записываются в журналах входа и аудита Microsoft Entra ID, которые можно интегрировать с системами мониторинга событий безопасности (SIEM), такими как Microsoft Sentinel. - Внедрение API Microsoft Entra ID - Microsoft Graph: перечисление пользователей - журнала действий Microsoft Entra и ролей Azure с привилегированными пользователями являются удостоверениями, назначенными ролям Microsoft Entra ID, ролям Azure или группам безопасности идентификатора Microsoft Entra ID, предоставляющим привилегированный доступ к Microsoft 365 или другим приложениям. Рекомендуется использовать облачных пользователей для привилегированного доступа. - Встроенные роли Microsoft Defender для облака Приложения используют Defender для облака Приложения для обнаружения неутвержденных приложений с помощью собственного хранилища удостоверений. - Обнаружение и управление теневым ИТ Microsoft Defender для удостоверений Deploy и настройка датчиков Microsoft Defender для удостоверений для создания инвентаризации активов удостоверений для локальная служба Active Directory Среды доменных служб. - обзор- Microsoft Defender для удостоверенийРазвертывание ресурсов Microsoft Defender для удостоверений - Investigate |
1.2 Условный доступ пользователей
Идентификатор Microsoft Entra помогает вашей организации реализовать условный, динамический доступ пользователей. Функции, поддерживающие эту возможность, включают условный доступ Microsoft Entra, Управление идентификацией Microsoft Entra, пользовательские роли, динамические группы безопасности, роли приложения и настраиваемые атрибуты безопасности.
Условный доступ — это подсистема политики нулевого доверия в режиме реального времени в идентификаторе Microsoft Entra. Политики условного доступа используют сигналы безопасности от пользователя, устройства, приложения, сеанса, риска и многого другого, чтобы применить адаптивную динамическую авторизацию для ресурсов, защищенных идентификатором Microsoft Entra.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.2.1 Реализация разрешений на основе приложений на предприятиеКомпания DoD, работающая с организациями, устанавливает базовый набор атрибутов пользователей для проверки подлинности и авторизации. Они интегрированы с процессом действий "Управление жизненным циклом корпоративных Pt1" для полного корпоративного стандарта. Решение корпоративного удостоверения, учетных данных и управления доступом (ICAM) включено для самостоятельной работы для добавления и обновления атрибутов в решении. Остальные действия управления привилегированным доступом (PAM) полностью переносятся в решение PAM. Результаты. Корпоративные роли и атрибуты, необходимые для авторизации пользователей в функциях приложений и (или) данные зарегистрированы в корпоративной службе ICAM - DoD Enterprise ICAM имеет самостоятельный атрибут/службу регистрации ролей, которая позволяет владельцам приложений добавлять атрибуты или использовать существующие корпоративные атрибуты . Привилегированные действия полностью переносятся в PAM. |
Microsoft Entra Connect Установить гибридное удостоверение с помощью Microsoft Entra Connectдля заполнения клиентов Идентификатора Microsoft Entra с данными атрибутов пользователя из текущих систем каталогов. - Приложения Microsoft Entra Connect Microsoft Entra Интегрируются с приложениями с идентификатором Microsoft Entra. Проектирование моделей авторизации и разрешений приложений с помощью групп безопасности и ролей приложений. Чтобы делегировать управление приложениями, назначьте владельцам управление конфигурацией приложений, также зарегистрируйтесь и назначьте роли приложения. - Интеграция приложений с ролями приложений динамических групп- безопасности Microsoft Entra ID- для приложений Управление идентификацией Microsoft Entra Настройка пакетов доступа в управлении правами, чтобы пользователи могли запрашивать доступ к ролям приложений или группам. - Управление доступом к приложениям- Делегирование доступа к пакетам условного доступа настройте политики условного доступа для динамической авторизации для приложений и служб, защищенных идентификатором Microsoft Entra. В политиках условного доступа используйте настраиваемые атрибуты безопасности и фильтры приложений для области авторизации атрибута безопасности, назначенной объектам приложений, например конфиденциальности. - Фильтр настраиваемых атрибутов безопасности условного доступа- для приложений управление привилегированными пользователями Использовать обнаружение PIM и аналитику для идентификации привилегированных - ролей и групп. Используйте PIM для управления обнаруженными привилегиями и преобразования назначений пользователей из постоянного в допустимый. - Обнаружение и аналитика PIM |
Target1.2.2. Динамический доступ на основе правил Pt1Организации DoD используют правила из действия "Периодической проверки подлинности" для создания основных правил включения и отключения привилегий динамически. Учетные записи пользователей с высоким риском используют решение PAM для перехода на динамический привилегированный доступ с помощью JIT-доступа и методов Just Enough-Administration. Результаты. - Доступ к функциям или службам приложения и /или данным ограничен пользователями с соответствующими корпоративными атрибутами . Все возможные приложения используют разрешения JIT/JEA для административных пользователей |
Идентификатор Microsoft Entra ID использует функции авторизации и управления идентификатором Microsoft Entra, чтобы ограничить доступ к приложениям на основе атрибутов пользователей, назначений ролей, рисков и сведений о сеансе. См. руководство майкрософт по версии 1.2.1. управление привилегированными пользователями Использовать PIM для ролей Microsoft Entra и Azure. Расширьте PIM до других приложений идентификатора Microsoft Entra с помощью PIM для групп. - PIM для ролей Microsoft Entra PIM для ролей - - Azure PIM для групп |
Advanced1.2.3. Динамический доступ на основе правил Pt2Организации DoD расширяют разработку правил для принятия решений по динамическому доступу, учитывая риск. Решения, используемые для динамического доступа, интегрированы с межстраниальными Машинное обучение и функциями искусственного интеллекта, позволяющими автоматически управлять правилами. Результаты: - Компоненты и службы полностью используют правила для обеспечения динамического доступа к приложениям и службам , используемым для динамического доступа на основе правил, поддерживает интеграцию с средствами AI/ML |
Защита идентификации Microsoft Entra Защита идентификации Microsoft Entra использует алгоритмы машинного обучения для обнаружения пользователей и риска входа. Используйте условия риска в политиках условного доступа для динамического доступа на основе уровня риска. - Защита идентификации Microsoft Entra Risk обнаружения- политик доступа на основе рисков Microsoft Defender XDR Microsoft Defender XDR — это расширенное решение для обнаружения и ответа (XDR). - Разверните Microsoft Defender для конечной точки и Microsoft Defender для облака Приложения и настройте интеграции. - Интеграция Defender для конечной точки с приложениями Defender для облака |
Advanced1.2.4 Корпоративные роли и разрешения Pt1Организации DoD федеративные остальные атрибуты пользователей и групп в соответствии с решением Enterprise Identity, Credential и Access Management (ICAM). Обновленный набор атрибутов используется для создания универсальных ролей для использования организациями. Основные функции поставщика удостоверений (IdP) и удостоверений, учетных данных и управления доступом (ICAM) переносятся в облачные службы и (или) среды, обеспечивающие повышенную устойчивость и производительность. Результаты: - Атрибуты компонентов и репозиторий данных ролей, федеративные с корпоративным поставщиком удостоверений ICAM — облачные и локальные приложения — стандартный набор ролей и разрешений создаются и выравниваются с атрибутами. |
Идентификатор Microsoft Entra ID Microsoft Entra — это централизованно управляемое удостоверение, учетные данные и поставщик удостоверений (ICAM) и поставщик удостоверений (IdP). Установите гибридное удостоверение с помощью Microsoft Entra Connect, чтобы заполнить данные пользователей в каталоге. - Приложения Microsoft Entra ID - Hybrid identity Microsoft Entra Интегрируют приложения с идентификатором Microsoft Entra и используют динамические группы безопасности, роли приложений и настраиваемые атрибуты безопасности для управления доступом к приложениям. - Управление приложениями- для управления доступом к прокси приложениям Microsoft Entra для использования идентификатора Microsoft Entra для приложений, использующих устаревшие протоколы проверки подлинности, развертывайте и настраивайте прокси приложения или интегрируйте решения партнеров по безопасному гибридному доступу (SHA). - SHA: защита устаревших приложений |
Advanced1.2.5 Роли и разрешения корпоративного управления Pt2Организации DoD перемещают все возможные функции поставщика удостоверений (IdP) и удостоверений, учетных данных и управления доступом (ICAM) в облачные среды. Локальные возможности анклава/DDIL для поддержки отключенных функций, но в конечном счете управляются централизованными решениями identity, Credential and Access Management (ICAM). Обновленные роли теперь являются обязательными для использования и исключений рассматриваются после подхода на основе рисков. Результаты. - Большинство компонентов используют функциональность облачного поставщика удостоверений, когда возможная предварительная версия поставщика удостоверений является списанной . Разрешения и роли могут использоваться при оценке атрибутов. |
Приложения Microsoft Entra переносят современные приложенияиз службы федерации Active Directory (AD FS) (AD FS) в идентификатор Microsoft Entra ID, а затем выводят из эксплуатации инфраструктуру AD FS. - Перенос проверки подлинности приложений из AD FS в идентификатор Microsoft Entra ID Microsoft Entra для подготовки приложений Перемещение оставшихся процессов ICAM и подготовки приложений из локальных систем управления удостоверениями в идентификатор Microsoft Entra ID. - Подготовка приложений, управляемых API, на основе- API |
1.3 Многофакторная проверка подлинности
Идентификатор Microsoft Entra поддерживает проверку подлинности на основе сертификатов (CBA), включая Общие карточки доступа DoD (CAC) и проверку личных удостоверений (PIV) без федерации с другим поставщиком удостоверений для облачных и гибридных (синхронизированных) пользователей. Идентификатор Microsoft Entra ID поддерживает несколько стандартных многофакторных методов проверки подлинности без пароля, включая CBA, Windows Hello для бизнеса, ключи безопасности FIDO2 и ключи доступа.
Политики условного доступа можно создать для обеспечения надежности проверки подлинности и динамической авторизации доступа на основе условий пользователя, устройства и среды, включая уровень риска.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.3.1 Организация MFA/IDPОрганизации DoD приобретают и реализуют централизованное решение поставщика удостоверений (IdP) и многофакторное решение (MFA). Решение IdP и MFA может объединяться в одном приложении или отделяться по мере необходимости, при условии, что автоматическая интеграция поддерживается обоими решениями. Интеграция поставщиков удостоверений и MFA с возможностями PKI Enterprise и включение подписывания пар ключей доверенными корневыми центрами сертификации. Критически важные для задач приложения и службы используют решение IdP и MFA для управления пользователями и группами. Результаты. Компонент использует поставщик удостоверений с MFA для критически важных приложений и служб . Компоненты реализовали поставщик удостоверений (IdP), который обеспечивает многофакторную проверку подлинности DoD PKI — стандартизованный PKI организации для критически важных служб |
Методы проверки подлинности Microsoft Entra настраивают Microsoft Entra CBA с помощью PKI DoD. Задайте для глобального уровня защиты однофакторную проверку подлинности. Создайте правила для каждого выпуска ЦС или OID политики, чтобы определить PKI DoD как уровень защиты многофакторной проверки подлинности. После настройки пользователи войдите в Microsoft Entra с помощью CAC DoD. - Проверка подлинности в Microsoft Entra ID- Microsoft Entra CBA - Configure CBA Staged rollout Use a stageout use a stageout для переноса проверки подлинности пользователей из локальной службы федерации в Microsoft Entra CBA. См. руководство майкрософт в версии 1.2.4. Сила проверки подлинности Microsoft Entra создает новую силу проверки подлинности с именем DoD CAC. Выберите проверку подлинности на основе сертификатов (многофакторная). Настройте дополнительные параметры и выберите издателей сертификатов для PKI DoD. - Преимущества пользовательской- проверки подлинности Microsoft Intune Microsoft Entra поддерживают два метода использования сертификатов на мобильном устройстве: производные учетные данные (сертификаты на устройстве) и аппаратные ключи безопасности. Чтобы использовать учетные данные на основе PKI DoD на управляемых мобильных устройствах, используйте Intune для развертывания DISA Purebred. - Производные учетные данные - CBA на устройствах iOS - CBA на устройствах Android |
Advanced1.3.2 Альтернативный гибкий MFA Pt1Поставщик удостоверений DoD Organization (IdP) поддерживает альтернативные методы многофакторной проверки подлинности, соответствующие требованиям кибербезопасности (например, FIPS 140-2, FIPS 197 и т. д.). Альтернативные маркеры можно использовать для проверки подлинности на основе приложений. Многофакторные варианты поддерживают биометрические возможности и могут управляться с помощью самостоятельного подхода. Когда возможные многофакторные поставщики перемещаются в облачные службы, а не размещаются в локальной среде. Результаты: - Поставщик удостоверений предоставляет пользователям альтернативный токен самообслуживания. IdP предоставляет альтернативный маркер MFA для утвержденных приложений для каждой политики. |
Методы проверки подлинности Microsoft Entra настраивают методы проверки подлинности Microsoft Entra для пользователей для регистрации секретных ключей (ключи безопасности FIDO2). Используйте необязательные параметры, чтобы настроить политику ограничений ключей для ключей, совместимых с FIPS 140-2. - Вход без пароля - Методы временного доступа проверки подлинности позволяют настроить временный проход доступа (TAP) для пользователей для регистрации альтернативных бессерверных аутентификаторов без CAC. - Настройте политику условного доступа TAP для создания политики условного доступа для проверки подлинности: DoD CAC для регистрации сведений о безопасности. Политика требует, чтобы CAC регистрирует другие средства проверки подлинности, такие как ключи безопасности FIDO2. - Регистрация сведений о безопасности см. в руководстве Майкрософт по версии 1.3.1. Windows Hello для бизнеса Использовать Windows Hello для бизнеса с помощью ПИН-кода или биометрического жеста для входа в Windows. Используйте политики управления устройствами для регистрации Windows Hello для бизнеса для устройств Windows, предоставляемых предприятием. - Windows Hello для бизнеса |
Advanced1.3.3 Альтернативный гибкий MFA Pt2Альтернативные маркеры используют шаблоны действий пользователей из меж основных действий, таких как "Мониторинг активности пользователей (UAM) и Аналитика поведения пользователей (UEBA)", чтобы помочь в принятии решений о доступе (например, не предоставлять доступ при отклонении шаблона). Кроме того, эта функция расширяется на альтернативные маркеры с поддержкой биометрических данных. Результат: — Реализованные шаблоны действий пользователей |
Защита идентификации Microsoft Entra Защита идентификации Microsoft Entra использует машинное обучение (ML) и аналитику угроз для обнаружения рискованных пользователей и событий входа. Используйте условия входа и пользовательского риска для целевых политик условного доступа к уровням риска. Начните с базовой защиты, требующей многофакторной проверки подлинности для рискованных входов. - Защита идентификации Microsoft Entra - Развертывание условного доступа защиты идентификации создает набор политик условного доступа на основе рисков, использующих элементы управления предоставлением и сеансом, чтобы обеспечить более надежную защиту по мере увеличения риска. - Настройка и включение политик риска - Условный доступ: сеанс - Условный доступ: предоставление разрешения Примеры политики условного доступа на основе рисков: Средний риск входа — требуется проверка подлинности: фишингозащищенная многофакторная проверка подлинности — требуется соответствующее устройство — частота входа: 1 час Высокий риск входа — требуется проверка подлинности: фишингозащищенная многофакторная проверка подлинности — требуется соответствующее устройство — частота входа: каждый раз Высокий риск пользователя — требуется проверка подлинности: фишингозащищенная многофакторная проверка подлинности — требуется соответствующее устройство — Частота входа: каждый раз, когда microsoft Sentinel настраивает правило аналитики Sentinel и сборник схем для создания инцидента для оповещений защиты идентификаторов Записей, когда риск пользователя высок. - соединитель Защита идентификации Microsoft Entra для Sentinel - User:revokeSignInSessions |
1.4 Управление привилегированным доступом
Управление идентификацией Microsoft Entra включает функции PAM, включая JIT-администрирование, управление правами и периодические проверки доступа. Microsoft Entra управление привилегированными пользователями (PIM) помогает узнать, как назначаются роли в вашей организации. Используйте PIM для преобразования JIT постоянных назначений ролей, настройки требований к назначению ролей и активации, а также планирования проверок доступа.
Условный доступ обеспечивает надежность проверки подлинности, уровень риска и соответствующее устройство рабочей станции привилегированного доступа (PAW) для привилегированного доступа. Административные действия в идентификаторе Microsoft Entra записываются в журналы аудита Microsoft Entra.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.4.1 Реализация системы и миграции привилегированных пользователей Pt1Организации DoD получают и реализуют решение управления привилегированным доступом (PAM) для поддержки всех критически важных вариантов использования привилегированных прав. Точки интеграции приложений и служб определяются для определения состояния поддержки решения PAM. Приложения и службы, которые легко интегрируются с решением PAM, переходят на использование решения и статических и прямых привилегированных разрешений. Результаты: — средства управления привилегированным доступом (PAM) реализованы — Приложения и устройства, которые поддерживают и не поддерживают средства PAM, определенные — Приложения, поддерживающие PAM, теперь используют PAM для управления учетными записями аварийного и встроенного реагирования |
Управление привилегированными пользователями Разверните PIM для защиты идентификатора Microsoft Entra и ролей Azure. Обнаружение PIM и аналитика используются для идентификации привилегированных ролей и групп. Используйте PIM для управления обнаруженными привилегиями и преобразования назначений пользователей из постоянного в допустимый. - Обзор PIM - Обнаружение и аналитика ролей - Ресурсы Azure Microsoft Intune Развертывание управляемой Intune PAW для Microsoft Entra, Microsoft 365 и администрирования Azure. - Стратегия привилегированного доступа Условный доступ Используйте политику условного доступа, чтобы требовать соответствующие устройства. Чтобы применить paW, используйте фильтры устройств в элементе управления предоставления разрешений для условного доступа, соответствующего устройству. - Фильтры для устройств |
Target1.4.2 Реализация системы и миграции привилегированных пользователей Pt2Организации DoD используют инвентаризацию поддерживаемых и неподдерживаемых приложений и служб для интеграции с решением управления привилегированным доступом (PAM) для расширения интеграции. PAM интегрирован с более сложными приложениями и службами, чтобы максимально увеличить охват решения PAM. Исключения управляются в методическом подходе на основе рисков с целью миграции вне и(или) вывода из эксплуатации приложений и служб, которые не поддерживают решения PAM. Результат: — Привилегированные действия переносятся в PAM и доступ полностью управляется |
управление привилегированными пользователями Использовать группы привилегированного доступа и PIM для групп для расширения JIT-доступа за пределами Идентификатора Microsoft Entra и Azure. Используйте группы безопасности в Microsoft 365, XDR в Microsoft Defender или сопоставлены с утверждениями привилегированных ролей для приложений, отличных от Майкрософт, интегрированных с идентификатором Microsoft Entra. - Группы, назначаемые ролем - Перенос групп в PIM - Назначение пользователей и групп приложению Условный доступ использует защищенные действия, чтобы добавить еще один уровень защиты, когда администраторы выполняют действия, требующие разрешения с высоким уровнем привилегий в идентификаторе Microsoft Entra. Например, управляйте политиками условного доступа и параметрами доступа между клиентами. - Защищенные действия Создайте политику условного доступа для пользователей с активным членством в роли Microsoft Entra. Требуется надежность проверки подлинности: фишинговое устройство, устойчивое к многофакторной идентификации и соответствующее устройство. Используйте фильтры устройств для требования соответствующих PAW. - Требовать MFA для администраторов - Фильтрация для устройств |
Advanced1.4.3 Утверждения в режиме реального времени и JIT/JEA Analytics Pt1Идентификация необходимых атрибутов (пользователи, группы и т. д.) автоматизирована и интегрирована в решение управления привилегированным доступом (PAM). Запросы на доступ к привилегиям переносятся в решение PAM для автоматических утверждений и отказов. Результаты: — Идентифицированные учетные записи, приложения, устройства и данные о проблеме (наибольший риск для миссии DoD) — Использование средств PAM, применение JIT/JEA доступа к учетным записям с высоким риском — запросы привилегированного доступа автоматически автоматически в соответствии с соответствующими параметрами |
Управление привилегированными пользователями определяет роли с высоким риском в вашей среде, такие как роли Microsoft Entra, роли Azure, такие как владелец и администратор доступа пользователей, а также привилегированные группы безопасности. - Рекомендации по ролям - Привилегированные роли Настройте параметры роли PIM, чтобы требовать утверждения. - Параметры роли ресурсов Azure - Параметры роли Microsoft Entra - Параметры PIM для групп Управление идентификацией Microsoft Entra Используйте пакеты доступа для управления группами безопасности для предоставления прав на роль. Этот механизм управляет соответствующими администраторами; он добавляет запросы самообслуживания, утверждения и проверки доступа для предоставления прав на роль. - Управление правами Создайте группы с возможностью назначения ролей для привилегированных ролей, чтобы настроить запросы на соответствие требованиям и утверждения. Создайте каталог с именем привилегированных администраторов ролей. Добавьте группы, назначаемые ролем, в качестве ресурсов. - Группы, назначаемые ролем - Создание каталогов ресурсов и управление ими Создайте пакеты доступа для групп, назначаемых ролями, в каталоге разрешенных администраторов привилегированных ролей. Вы можете требовать утверждения, если пользователи запрашивают право на управление правами, требуют утверждения при активации в PIM или обоих. - Доступ к пакетам |
Advanced1.4.4 Утверждения в режиме реального времени и JIT/JEA Analytics Pt2Организации DoD интегрируют решения аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM) с решением управления привилегированным доступом (PAM), предоставляющим аналитику шаблонов пользователей для принятия решений. Результат: — UEBA или аналогичная система аналитики, интегрированная с средствами PAM для утверждений учетной записи JIT/JEA |
Условный доступ Определите контекст проверки подлинности для привилегированного доступа. Создайте одну или несколько политик условного доступа, предназначенных для контекста проверки подлинности привилегированного доступа. Используйте условия риска в политике и применяйте элементы управления предоставлением и сеансом для привилегированного доступа. Рекомендуется требовать степень проверки подлинности: фишингозащищенная MFA, совместимая с привилегированным доступом рабочая станция. - Настройка контекста проверки подлинности См. руководство майкрософт в версии 1.4.1. Чтобы заблокировать привилегированный доступ при высоком риске входа, создайте дополнительные политики условного доступа, предназначенные для контекста проверки подлинности привилегированного доступа с условием высокого риска входа. Повторите этот шаг с политикой для высокого риска пользователей. - Развертывание политики Управление привилегированными пользователями Настройте параметры роли PIM, чтобы требовать контекст проверки подлинности. Этот параметр применяет политики условного доступа для выбранного контекста проверки подлинности при активации роли. - Требовать контекст проверки подлинности |
1.5 Федерация удостоверений и учетные данные пользователя
Идентификатор Microsoft Entra играет ключевую роль в управлении жизненным циклом удостоверений (ILM). Клиент Microsoft Entra — это решение для гипермасштабирования облачной службы каталогов, удостоверений, учетных данных и управления доступом (ICAM) и поставщика удостоверений (IdP). Она поддерживает подготовку между каталогами и подготовку приложений для управления жизненным циклом внутренних пользователей в идентификаторе Microsoft Entra и других приложениях.
Управление идентификацией Microsoft Entra функции помогают управлять жизненным циклом доступа для таких прав, как приложения, Microsoft Teams и членство в группах безопасности. Управление правами также можно использовать для подключения и управления внешними гостями. При удалении последнего пакета доступа можно заблокировать доступ и удалить объекты гостевых пользователей. Сведения о том, как ваша организация может перенести функции ILM в идентификатор Microsoft Entra, см. в статье Road to the cloud.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.5.1 Управление жизненным циклом удостоверений организацииОрганизации DoD устанавливают процесс управления жизненным циклом пользователей, как привилегированных, так и стандартных. Использование поставщика удостоверений организации (IDP) реализуется и следует максимальное количество пользователей. Все пользователи, которые выходят за пределы стандартного процесса, утверждены с помощью исключений на основе рисков, которые будут оцениваться регулярно для вывода из эксплуатации. Результат: — Стандартизированный процесс жизненного цикла удостоверений |
Жизненный цикл учетной записи Microsoft Entra IDStandardize для удостоверений, включая пользователей, администраторов, внешних пользователей и удостоверений приложений (субъекты-службы). - Управление жизненным циклом удостоверений - Операции управления удостоверениями и доступом Управление идентификацией Microsoft Entra Establish регулярные проверки доступа для привилегированных пользователей и приложений в клиенте. - Проверки доступа |
Target1.5.2 Enterprise Identity Life-Cycle Management Pt1DoD Enterprise работает с организациями для проверки и согласования существующих процессов жизненного цикла удостоверений, политик и стандартов. Завершенный согласованный процесс политики и поддержки разрабатывается и следует организациям DoD. Использование централизованных или федеративных решений поставщика удостоверений (IdP) и управления удостоверениями и доступом (IdAM) Организации DoD реализуют процесс управления жизненным циклом предприятия для максимального количества удостоверений, групп и разрешений. Исключения политики управляются в методическом подходе на основе рисков. Результаты: - Автоматизированные процессы жизненного цикла удостоверений — Интеграция с корпоративным процессом и инструментами ICAM |
Идентификатор Microsoft Entra Id , если ваша организация использует Active Directory, синхронизируйте пользователей с идентификатором Microsoft Entra Connect с Microsoft Entra Connect Sync или Microsoft Entra Connect Cloud Sync. Примечание. Не синхронизируйте привилегированные учетные записи Active Directory или назначайте привилегированные облачные роли для синхронизированных учетных записей. - Подключение cloud Sync Sync - Protect Microsoft 365 от локальных - атак уменьшает область атаки управление привилегированными пользователями - Управление административным доступом с помощью PIM. Установите периодичность проверки доступа для привилегированных ролей Microsoft Entra и Azure. - Привилегированные учетные записи, методы проверки подлинности Microsoft Entra используют облачные методы MFA, устойчивые к фишингу. Настройте проверку подлинности на основе сертификата Microsoft Entra (CBA) с помощью общих карт доступа DoD (ЦС) для регистрации других учетных данных без пароля. См. руководство майкрософт по версии 1.3.2. |
Advanced1.5.3 Enterprise Identity Life-Cycle Management Pt2DoD Организации также интегрируют критически важные функции автоматизации решений поставщика удостоверений и удостоверений, учетных данных и управления доступом (ICAM) после процесса управления жизненным циклом предприятия, чтобы обеспечить автоматизацию и аналитику предприятия. Основные процессы управления жизненным циклом удостоверений интегрируются в облачное решение ICAM enterprise. Результаты: - Интеграция с критическими функциями IDM/IDP— основные функции ILM основаны на облаке |
Управление идентификацией Microsoft Entra Использовать управление правами и проверки доступа для управления жизненными циклами доступа пользователей организации и жизненными циклами внешних гостевых удостоверений. - Управляемые удостоверения управления доступом внешних пользователей используют - управляемые удостоверения для ресурсов Azure и Идентификация рабочей нагрузки федерации, чтобы снизить риск управления учетными данными приложения. - Политики управления удостоверениями управляемых - удостоверений рабочей нагрузки настраивают политики управления приложениями для управления типами учетных данных, добавленными в приложения в клиенте. Используйте ограничение passwordAddition, чтобы требовать учетные данные сертификата для приложений. - Учетные данные сертификата проверки подлинности приложения API- api |
Advanced1.5.4 Enterprise Identity Life-Cycle Management Pt3Организации DoD интегрируют оставшиеся процессы управления жизненным циклом удостоверений с решением корпоративного удостоверения, учетных данных и управления доступом. Среды Анклава/DDIL, которые по-прежнему разрешены для интеграции с Корпоративным ICAM с использованием локальных соединителей в облачной среде. Результаты: - Все функции ILM перемещены в облако в соответствии с интеграцией со всеми функциями IDM/IDP |
Подготовка приложений Microsoft Entra использует подготовку приложений Microsoft Entra для синхронизации удостоверений с приложениями SCIM, SQL, LDAP, PowerShell и веб-служб. Используйте приложение на основе API для подготовки пользователей в разрозненные экземпляры Active Directory. - Подготовка приложений локальной подготовки приложений - к настройке - приложения на основе API |
1.6 Поведение, контекстный идентификатор и биометрические данные
Защита идентификации Microsoft Entra помогает обнаруживать, устранять и предотвращать угрозы идентификации с помощью машинного обучения и аналитики угроз. Эта функция обнаруживает риски в режиме реального времени во время входа пользователей и автономных рисков, вычисляемых с течением времени. К рискам относятся аномалии маркеров, необычные свойства входа, невозможное путешествие, подозрительное поведение пользователя и многое другое.
Защита идентификации интегрирована с XDR в Microsoft Defender, чтобы показать риски идентификации, обнаруженные другими компонентами в семействе продуктов Microsoft Defender.
Дополнительные сведения см. в статье "Что такое обнаружение рисков"
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.6.1 Реализация аналитики поведения пользователей и сущностей(UEBA) и средства мониторинга активности пользователей (UAM) организации DoD приобретают и реализуют решения аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM). Начальная точка интеграции с Enterprise IdP завершена, что позволяет принимать решения в будущем. Результат: - Функциональные возможности UEBA и UAM реализованы для корпоративного поставщика удостоверений |
Защита идентификации Microsoft Entra Deploy Защита идентификации Microsoft Entra для получения задержаний в режиме реального времени и автономного риска для пользователей и событий входа. Расширьте обнаружение рисков идентификации для удостоверений приложений (субъекты-службы) с помощью Идентификация рабочей нагрузки Microsoft Entra выпуска удостоверений рабочей нагрузки Premium. - Политика безопасности удостоверений рабочих нагрузок на основе рисков для удостоверений - рабочей нагрузки см. в руководстве Майкрософт 1.3.3. приложения Microsoft Defender для облакаРазвертывание приложений Defender для облака и настройка интеграции с Microsoft Defender для конечной точки и внешними решениями. Настройте политики обнаружения аномалий в приложениях Defender для облака. - Интеграция Defender для конечной точки с интеграцией- внешних решений приложений Defender для облака Apps - Обнаруживает подозрительные действия пользователей с конечными точками UEBA Microsoft Defender для конечной точки Onboard в Defender для конечной точки. Настройка интеграции между Defender для конечной точки и Microsoft Intune. - Defender для конечной точки и других решений Microsoft Intune Настройте интеграции с Defender для конечной точки и используйте оценку риска компьютера Defender для конечной точки в политике соответствия устройств. - Правила условного доступа Defender для конечной точки создают политики условного доступа , чтобы требовать совместимых устройств. Перед предоставлением доступа элемент управления требует, чтобы устройство помечалось как соответствующее в Microsoft Intune. Интеграция Между Defender для конечной точки и Intune обеспечивает общее представление о работоспособности устройств и уровне риска на основе состояния соответствия. - Политики соответствия требованиям для задания правил для управляемых устройств Microsoft Sentinel Connect в Sentinel и включения UEBA для журналов аудита, журналов входа, действий Azure и событий безопасности. - Включение расширенных угроз UEBA с помощью UEBA - |
Advanced1.6.2 Мониторинг активности пользователей Pt1Организации DoD интегрируют решения Аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM) с поставщиками удостоверений организации (IdP) для расширенной видимости по мере необходимости. Аналитика и данные, созданные UEBA и UAM для критически важных приложений и служб, интегрируются с решением Just-in-Time и Just-Enough-Access. Результаты: — UEBA интегрирован с поставщиками удостоверений организации соответствующим образом. UEBA интегрирован с JIT/JEA для критически важных служб |
управление привилегированными пользователями Deploy PIM и подключение привилегированных ролей. Определите контекст проверки подлинности для привилегированного доступа. Используйте условия риска в контексте проверки подлинности и настройте параметры роли PIM, чтобы требовать контекст проверки подлинности при активации. См. руководство майкрософт по версии 1.4.4. Источники данных Microsoft Sentinel Connect в Sentinel и включите UEBA для журналов аудита, входа в журналы, действия Azure и события безопасности. - Включите расширенные угрозы UEBA с помощью UEBA - Microsoft Defender для облака Сеансы мониторинга приложений и управления ими в облачных приложениях с помощью Defender для облака Apps. - Защита приложений с помощью политик - сеанса управления - приложениями и анализа рискованных пользователей |
Advanced1.6.3 Мониторинг активности пользователей Pt2Организации DoD продолжают использование аналитики из решений Аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM) с помощью созданных данных для всех отслеживаемых приложений и служб при принятии решений в решении JIT и JIT-Access. Результат: UEBA/Entity Monitoring интегрирован с JIT/JEA для всех служб |
управление привилегированными пользователями Использовать PIM для групп для расширения JIT-доступа к приложениям с помощью ролей приложений. Назначение групп, управляемых PIM, ролям привилегированного приложения. - PIM для групп - добавление ролей приложения в приложение |
1.7 Минимальный привилегированный доступ
Доступ к приложениям с помощью идентификатора Microsoft Entra по умолчанию запрещен. Управление идентификацией Microsoft Entra функции, такие как управление правами и проверки доступа, гарантируют, что доступ ограничен временем, соответствует принципу наименьших привилегий и применяет элементы управления для разделения обязанностей.
Используйте встроенные роли Microsoft Entra, чтобы назначить минимальные разрешения привилегий по задачам. Административные единицы позволяют ограничить разрешения на основе ресурсов для пользователей и устройств идентификатора Microsoft Entra.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.7.1 Запретить пользователю по умолчанию политикуОрганизации DoD проверяют внутреннее использование пользователей и групп для разрешений и отменяют разрешения, когда это возможно. Это действие включает отзыв и (или) вывод из эксплуатации избыточных разрешений и доступ к удостоверениям и группам на основе приложений или служб. Когда возможны статические привилегированные пользователи удаляются или сокращаются разрешения, подготавливаемые к будущему правилу или динамическому доступу на основе. Результаты: - Приложения, обновляемые по умолчанию для функций и данных, требующих определенных ролей и атрибутов для доступа. Уровни разрешений по умолчанию реализованы . Приложения/службы проверили и проверили всех привилегированных пользователей и удалили тех пользователей, которые не нуждаются в этом уровне доступа. |
Проверка идентификатора Microsoft Entra и ограничение разрешений пользователя и гостя по умолчанию в идентификаторе Microsoft Entra. Ограничьте согласие пользователя приложениям и просмотрите текущее согласие в вашей организации. - Разрешения - пользователей по умолчанию ограничивают разрешения на согласие пользователей, доступ приложений Microsoft Entra к приложениям Microsoft Entra по умолчанию запрещен. Идентификатор Microsoft Entra проверяет права и применяет политики условного доступа для авторизации доступа к ресурсам. - Интеграция приложений с приложением - Управление идентификацией Microsoft Entra Использовать функцию управления удостоверениями управления правами для управления удостоверениями и жизненным циклом доступа. Поиск рабочих процессов автоматического запроса доступа, назначений доступа, проверок и истечения срока действия. - Управление- правами проверяет пользовательские роли с помощью встроенных ролей Microsoft Entra ID для управления ресурсами. Однако если роли не соответствуют потребностям организации или свести к минимуму привилегии для администраторов, создайте пользовательскую роль. Предоставьте пользовательским ролям детализированные разрешения для управления пользователями, группами, устройствами, приложениями и т. д. - Административные единицы пользовательских ролей — это ресурс Microsoft Entra, содержащий другие ресурсы Microsoft Entra, такие как пользователи, группы или устройства. Используйте административные единицы для делегирования разрешений подмножества администраторов на основе структуры организации. - Административные единицы управления с ограниченными правами управления создают или удаляют административные единицы - привилегированных удостоверений с помощью обнаружения PIM и аналитики для управления привилегиями и уменьшения числа администраторов. - Настройте оповещения PIM при назначении привилегированных ролей за пределами PIM. - Привилегированный доступ для оповещений гибридной и облачной - безопасности для оповещений системы безопасности ролей Microsoft Entra для ролей - Azure Microsoft Defender для облака Разрешения на проверку приложений. Изучите рискованные приложения OAuth в Defender для облака Apps. - Просмотрите разрешения, предоставленные приложениям - Для анализа рискованных приложений OAuth Microsoft Sentinel , используйте PIM для назначения ролей Azure для доступа Sentinel и периодически проверяйте запросы и действия. - Аудит запросов и действий |
1.8 Непрерывная проверка подлинности
Идентификатор Microsoft Entra использует короткие и длительные маркеры для периодической проверки подлинности пользователей в приложениях и службах, защищенных Microsoft Entra. Идентификатор Microsoft Entra имеет механизм оценки непрерывного доступа (CAE) для улучшения стандартного протокола. Подсистема политик реагирует на изменения окружающей среды практически в режиме реального времени и применяет политики адаптивного доступа.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.8.1 с одной проверкой подлинностиОрганизации DoD используют базовые процессы проверки подлинности для проверки подлинности пользователей и NPEs по крайней мере один раз на сеанс (например, вход в систему). Важно, чтобы пользователи, прошедшие проверку подлинности, управляются параллельным действием "MFA/IDP организации" с поставщиком удостоверений организации (IdP) и используют удостоверения и группы на основе приложений и служб. Результат: - Проверка подлинности, реализованная в приложениях на сеанс |
Идентификатор Microsoft Entra IDMicrosoft Entra — это централизованный поставщик удостоверений (IdP), который упрощает единый вход между облачными приложениями Майкрософт и приложениями, которые используются вашей организацией. - Метод проверки подлинности единого входа(SSO) Microsoft Entra ID позволяет пользователям использовать учетные данные идентификатора Microsoft Entra для проверки подлинности приложений и служб. Приложения могут быть SaaS, пользовательские бизнес-приложения или локальные приложения. Используйте возможности проверки подлинности Microsoft Entra и нулевого доверия, чтобы обеспечить безопасный и простой доступ к приложениям. - Что такое единый вход? - Интеграция Microsoft Entra с протоколами проверки подлинности microsoft Entra для подготовки приложений Microsoft Entra создает, обновляет и удаляет пользователей, ролей и групп в приложениях SaaS и пользовательских или локальных приложениях. Используйте идентификатор Microsoft Entra в качестве централизованного источника удостоверений для приложений. Свести к минимуму удостоверения приложения или службы и пользователей. - Автоматическая подготовка- приложений для подготовки субъектов-служб рабочей нагрузки Идентификатора Microsoft Entra ID и управляемых удостоверений — это удостоверения, не являющиеся сущностями NPE в Microsoft Entra. Используйте субъекты-службы для автоматического (неинтерактивного) доступа к API, защищенным Microsoft Entra. - Идентификаторы удостоверений рабочей нагрузки - в идентификаторе Microsoft Entra |
Target1.8.2 Периодической проверки подлинностиОрганизации DoD предоставляют требования к проверке подлинности за период для приложений и служб. Традиционно они основаны на продолжительности и /или длительности ожидания, но другие аналитические данные на основе периода можно использовать для выполнения повторной проверки подлинности сеансов пользователей. Результат: — проверка подлинности, реализованная несколько раз в сеансе на основе атрибутов безопасности |
Приложения Microsoft Entra для приложений Microsoft Entra автоматически управляют обновлением сеанса без взаимодействия с пользователем. См. рекомендации Майкрософт в версии 1.8.1. Условный доступ настраивает элемент управления сеанса частоты входа в условном доступе для повторной проверки подлинности сеансов пользователей. Используйте эту функцию, если вход является рискованным, или устройство пользователя неуправляемо или не соответствует требованиям. - Настройка политик доступа к сеансам - проверки подлинности в приложениях Defender для облака |
Advanced1.8.3 Непрерывная проверка подлинности Pt1Приложения и службы DoD Organizations используют несколько аутентификаций сеансов на основе атрибутов безопасности и запрошенного доступа. Изменения привилегий и запросы транзакций связи требуют дополнительных уровней проверки подлинности, таких как многофакторная проверка подлинности (MFA) отправляет пользователям. Результат: - Проверка подлинности транзакций, реализованная для каждого сеанса на основе атрибутов безопасности |
ЦС оценки непрерывного доступа основан на стандарте OpenID, который улучшает срок действия маркера на основе времени и механизмы обновления для достижения более быстрого реагирования на нарушения политики. Для ЦС требуется новый маркер доступа в ответ на критические события, например пользователь, перемещающийся из надежного сетевого расположения в ненадежное. Реализуйте ЦС с клиентскими приложениями и API серверной службы. - Оценка критически важных событий непрерывного доступа- в microsoft Приложение Office lications, использующих API Microsoft Graph, API Outlook Online и API SharePoint Online, поддерживают CAE. Разработка приложений с помощью последних библиотек проверки подлинности Майкрософт (MSAL) для доступа к API с поддержкой ЦС. - CAE для API с поддержкой ЦС Microsoft 365- в приложениях определяют и используют контекст проверки подлинности условного доступа для защиты конфиденциальных сайтов SharePoint, Microsoft Teams, Microsoft Defender для облака приложений, защищенных приложений, активации ролей PIM и пользовательских приложений. - Политика контекста - проверки подлинности для сайтов SharePoint и политик сеансов OneDrive- в Defender для облака Приложения- требуют контекст проверки подлинности для контекста проверки подлинности PIM- , используйте защищенные действия для добавления другого уровня защиты при выполнении администраторами действий, требующих разрешения с высоким уровнем привилегий в Идентификатор Microsoft Entra, например управление политиками условного доступа и параметрами доступа между клиентами. Защита действий пользователей, таких как регистрация сведений о безопасности и присоединение устройств. - Защищенные действия- — целевой ресурс управление привилегированными пользователями Контекст проверки подлинностиRequire для активации роли PIM. См. руководство майкрософт по версии 1.4.4. |
Advanced1.8.4 Непрерывная проверка подлинности Pt2DoD Организации продолжают использовать проверку подлинности на основе транзакций, чтобы включить интеграцию, например шаблоны пользователей. Результат: - Проверка подлинности транзакций, реализованная на сеанс на основе атрибутов безопасности, включая шаблоны пользователей |
Защита идентификации Microsoft Entra When Защита идентификации Microsoft Entra обнаруживает аномальное, подозрительное или рискованное поведение, увеличивается уровень риска пользователя. Создайте политики условного доступа с помощью условий риска, увеличивая защиту с уровнем риска. - Обнаружения рисков см. в руководстве Майкрософт по версии 1.3.3. Увеличение уровня риска непрерывного доступа является критически важным событием ЦС. Службы, реализующие ЦС, например API Exchange Online, требуют повторной проверки подлинности клиента (Outlook) для следующей транзакции. Политики условного доступа для повышенного уровня риска удовлетворены, прежде чем идентификатор Microsoft Entra ID выдает новый маркер доступа для доступа Exchange Online. - Оценка критических событий |
1.9 Интегрированная платформа ICAM
Идентификатор Microsoft Entra поддерживает проверку подлинности сертификатов с сертификатами, выданными инфраструктурой внешних открытых ключей (PKI) для сущностей пользователей и нелиперсонов (NPE). NPEs в идентификаторе Microsoft Entra — это удостоверения приложений и устройств. Внешняя идентификация Microsoft Entra параметры доступа между клиентами помогают мультитенантным организациям, таким как DoD, легко сотрудничать между клиентами.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target1.9.1 Корпоративная PKI/IDP Pt1DoD Enterprise работает с организациями для реализации решений корпоративной инфраструктуры открытых ключей (PKI) и поставщика удостоверений (IdP) в централизованном и (или) федеративном режиме. Решение корпоративного PKI использует один или набор корневых центров сертификации корпоративного уровня, которые затем могут быть доверенными организациями для создания промежуточного ЦС отключено. Решение поставщика удостоверений может быть одним решением или федеративными наборами поставщиков удостоверений с стандартным уровнем доступа между организациями и стандартным набором атрибутов. Поставщики удостоверений организаций и центры сертификации PKI интегрируются с решениями Enterprise IdP и PKI. Результаты: - Компоненты используют idP с MFA для всех приложений и служб : MFA/PKI организации, интегрированных с Корпоративным MFA/PKI- Стандартизированный PKI для всех служб. |
Методы проверки подлинности Microsoft Entra ID используют политику методовпроверки подлинности в идентификаторе Microsoft Entra для управления методами проверки подлинности пользователей. - Microsoft Entra CBA см. руководство майкрософт в версии 1.3.1. Сила проверки подлинности используется для управления доступом пользователей к ресурсам. - Надежность проверки подлинности Внешняя идентификация Microsoft Entra Настройка межтенантного доступа для клиентов идентификатора DoD Microsoft Entra ID. Используйте параметры доверия для принятия утверждений MFA и совместимых устройств для внешних удостоверений из доверенных клиентов DoD. - Политика управления приложениями между клиентами — это платформа для реализации рекомендаций по безопасности для приложений в клиенте. Используйте политику, чтобы ограничить учетные данные приложения сертификатами, выданными доверенным PKI. Чтобы создать цепочку сертификатов доверия, добавьте новую коллекцию центра сертификации (ЦС) в промежуточные и корневые сертификаты ЦС для корпоративного PKI. - Тип ресурса certificateBasedApplicationConfiguration, чтобы создать политику управления приложениями, чтобы требовать сертификаты, выданные доверенными центрами сертификации, настройте ограничения, чтобы запретить парольAddition и требовать trustedCertificateauthority. Укажите созданный идентификатор коллекции доверенного ЦС. - API методов проверки подлинности приложений Microsoft Intune поддерживает сертификаты частных и открытых ключей (PKCS). - Сертификаты PKCS |
Advanced1.9.2 Корпоративная PKI/IDP Pt2Организации DoD обеспечивают биометрическую поддержку в поставщике удостоверений (IdP) для критически важных приложений и служб, критически важных для задач. Биометрические функции перемещаются из организационных решений в предприятие. Многофакторная организация (MFA) и инфраструктура открытых ключей (PKI) будут выведены из эксплуатации и перенесены в Корпоративную по мере необходимости. Результаты: - Критически важные организационные службы, интегрированные w/ Биометрические данные— decommission организации MFA/PKI в соответствии с требованиями корпоративной MFA/PKI - Корпоративные биометрические функции, реализованные |
Microsoft Entra IDМайкрософт поддерживает биометрические данные в нескольких компонентах, совместимых с проверкой подлинности Идентификатора Microsoft Entra. Методы проверки подлинности Microsoft Entra ID поддерживают аппаратные ключи доступа (ключи безопасности FIDO2), использующие наличие или отпечатки пальцев. - Ключи безопасности FIDO Windows Hello для бизнеса Windows Hello для бизнеса используют биометрические жесты, такие как сканирование отпечатков пальцев и лиц. - Параметры профиля защиты идентификации для устройств MacOS MacOS имеют биометрические данные, такие как Touch ID, для входа с помощью учетных данных, привязанных к устройству. - Подключаемый модуль единого входа для устройств Apple Authenticator Mobile и Authenticator используют сенсорный ввод и лицо для проверки подлинности без пароля. Поддержка секретного ключа — это еще один метод проверки подлинности, устойчивый к фишингу, в Authenticator. - Проверка подлинности без пароля при входе в- расширенную фишинговую проверку подлинности - |
Advanced1.9.3 Корпоративная PKI/IDP Pt3DoD Organizations интегрируют остальные приложения и службы с функциональными возможностями биометрических данных. Можно использовать альтернативные маркеры многофакторной идентификации. Результат: - Все службы организации интегрируют биометрические данные w/биометрии |
Проверенные учетные данные Microsoft Entra Сценарии идентификации с использованием проверенного идентификатора могут требовать проверки лица при презентации учетных данных. - Проверка лиц с идентификатором verfied - |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD: