Стратегия "Никому не доверяй" Министерства обороны США для пользовательского столпа

Стратегия и Дорожная карта DoD "Никому не доверяй" описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов "Никому не доверяй". "Никому не доверяй" устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям "Никому не доверяй" в дорожной карте выполнения возможностей DoD "Никому не доверяй". Разделы соответствуют семи основным элементам модели DoD "Никому не доверяй".

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

  • Введение
  • Пользователь
  • Устройство
  • Приложения и рабочие нагрузки
  • Данные
  • Сеть
  • Автоматизация и оркестрация
  • Видимость и аналитика

1 Пользователь

В этом разделе представлены рекомендации и руководства Microsoft по действиям в рамках "Никому не доверяй" модели Минобороны США в контексте пользовательского уровня. Дополнительные сведения см. в разделе Securing identity with "Никому не доверяй".

1.1 Инвентаризация пользователей

Microsoft Entra ID — это необходимая платформа удостоверений для облачных служб Майкрософт. Microsoft Entra ID — это поставщик удостоверений (IdP) и платформа управления для поддержки многооблачных и гибридных удостоверений. Вы можете использовать Microsoft Entra ID для управления доступом к облакам, не относящихся к Microsoft, таким как Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) и многое другое. Microsoft Entra ID использует стандартные протоколы удостоверений, что делает его подходящим поставщиком удостоверений для программного обеспечения как службы (SaaS), современных веб-приложений, настольных и мобильных приложений, и устаревших локальных приложений.

Используйте Microsoft Entra ID для проверки пользователей и сущностей, не являющихся лицами (NPE), непрерывно авторизовать доступ к приложениям и данным, контролировать удостоверения и их права, следуя принципам наименьших привилегий, и осуществлять JIT-администрирование.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
Пользователь инвентаризации 1.1.1Организации DoD устанавливают и обновляют инвентаризацию пользователей вручную при необходимости, подготавливаясь к автоматическому подходу на последующих этапах. Учетные записи, которые централизованно управляются IdP/ICAM, а также те, что локально управляются на системах, будут идентифицированы и инвентаризированы. Привилегированные учетные записи будут идентифицированы для будущего аудита, и стандартные и привилегированные учетные записи пользователей, локальные для приложений и систем, будут определены для будущей миграции и (или) вывода из эксплуатации. Результаты:— Идентифицированы управляемые обычные пользователи— Идентифицированы управляемые привилегированные пользователи— Идентифицированы приложения, использующие собственное управление учетными записями для неадминистративных и административных учетных записей. Microsoft Entra ID
Идентифицируйте регулярных и привилегированных пользователей в вашей организации с помощью административного центра #REF! или Microsoft API Graph. Действия пользователя фиксируются в журналах входа и аудита Microsoft Entra ID, которые можно интегрировать с системами мониторинга событий безопасности (SIEM), такими как Microsoft Sentinel.
- Принятие Microsoft Entra ID
- Microsoft API Graph: список пользователей
- Интеграция журнала действий #REF!

Роли #REF! и #REF!
Пользователи с привилегиями — это удостоверения, назначенные ролям Microsoft Entra ID, ролям #REF! или группам безопасности Microsoft Entra ID, предоставляющие привилегированный доступ к Microsoft 365 или другим приложениям. Мы рекомендуем использовать пользователей облака для привилегированного доступа.
- Встроенные роли

Microsoft Defender для облачных приложений
Используйте для обнаружения неутвержденных приложений с помощью собственного хранилища удостоверений.
- Обнаружение и управление теневым ИТ

Microsoft Defender для Identity
Развертывание и настройте датчики Microsoft Defender для Identity для создания инвентаризации активов удостоверений в локальных средах доменные службы Active Directory.
- Обзор Microsoft Defender для Identity
- Развертывание Microsoft Defender для Identity
- Исследуйте активы

1.2 Условный доступ пользователей

Microsoft Entra ID помогает вашей организации реализовать условный, динамический доступ пользователей. Функции, поддерживающие эту возможность, включают #REF! Условный доступ, Управление Microsoft Entra ID, пользовательские роли, динамические группы безопасности, роли приложения и настраиваемые атрибуты безопасности.

Условный доступ — это подсистема политики "Никому не доверяй" в режиме реального времени в Microsoft Entra ID. Политики условного доступа используют сигналы безопасности от пользователя, устройства, приложения, сеанса, риска и многого другого, чтобы применить адаптивную динамическую авторизацию для ресурсов, защищенных Microsoft Entra ID.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.2.1 Реализация разрешений на основе приложений на предприятиеКомпания DoD, работающая с организациями, устанавливает базовый набор атрибутов пользователей для проверки подлинности и авторизации. Они интегрированы с процессом "Управление жизненным циклом идентификаций предприятия Часть 1", чтобы соответствовать полному корпоративному стандарту. Решение по управлению идентификацией, учетными данными и доступом (ICAM) поддерживает функциональность самообслуживания для добавления и обновления атрибутов. Остальные действия управления привилегированным доступом (PAM) полностью переносятся в решение PAM. Результаты. Корпоративные роли и атрибуты, необходимые для авторизации пользователей в функциях приложений и (или) данные зарегистрированы в корпоративной службе ICAM - DoD Enterprise ICAM имеет самостоятельный атрибут/службу регистрации ролей, которая позволяет владельцам приложений добавлять атрибуты или использовать существующие корпоративные атрибуты. Привилегированные действия полностью переносятся в PAM. #REF! Connect
Создайте гибридную идентичность с помощью #REF! Connect для заполнения Microsoft Entra ID тенантов данными атрибутов пользователя из текущих систем каталогов.
- #REF! Connect

Приложения #REF!
Интегрируйте приложения с Microsoft Entra ID. Проектирование моделей авторизации и разрешений приложений с помощью групп безопасности и ролей приложений. Чтобы делегировать управление приложениями, назначьте владельцев для управления конфигурацией приложения, регистрации и назначения ролей приложения.
- Интеграция приложений с Microsoft Entra ID
- Динамические группы безопасности
- Роли приложений

Управление идентификацией Microsoft Entra ID
Настройте пакеты доступа в управлении правами, чтобы пользователи могли запрашивать доступ к ролям приложения или группам.
- Управление доступом к приложениям
- Делегирование управления пакетами доступа

Условный доступ
Настройте политики условного доступа для динамической авторизации в приложениях и службах, защищённых с помощью Microsoft Entra ID. В политиках условного доступа используйте настраиваемые атрибуты безопасности и фильтры для приложений, чтобы определить область действия авторизации атрибутов безопасности, назначенных объектам приложений, например, таких как чувствительность.
- Условный доступ
- Настраиваемые атрибуты безопасности
- Фильтр для приложений

Управление Привилегированными Идентификациями
Используйте функции PIM Discovery и Insights для идентификации привилегированных ролей и групп. Используйте PIM для управления обнаруженными привилегиями и преобразования назначений пользователей из постоянного в допустимый.Обнаружение и аналитика PIM
1.2.2. Динамический доступ на основе правил Pt1Организации DoD используют правила из действия "Периодической проверки подлинности" для создания основных правил включения и отключения привилегий динамически. Учетные записи пользователей с высоким риском используют решение PAM для перехода на динамический привилегированный доступ с помощью JIT-доступа и методов Just Enough-Administration. Результаты.- Доступ к функциям или службам приложения и /или данным ограничен пользователями с соответствующими корпоративными атрибутами. Все возможные приложения используют разрешения JIT/JEA для административных пользователей Microsoft Entra ID
Использовать функции авторизации и управления Microsoft Entra ID, чтобы ограничить доступ к приложениям на основе атрибутов пользователей, назначений ролей, рисков и сеансов.

See Microsoft guidance in 1.2.1.

управление привилегированными пользователями
Использовать PIM для ролей #REF! и #REF!. Расширьте PIM на другие приложения Microsoft Entra ID с помощью PIM для Групп.
- PIM для ролей #REF!
- PIM для ролей #REF!
- PIM для групп

1.2.3. Динамический доступ на основе правил Pt2Организации DoD расширяют разработку правил для принятия решений по динамическому доступу, учитывая риск. Решения, используемые для динамического доступа, интегрированы с междисциплинарными функциями машинного обучения и искусственного интеллекта, позволяющими автоматически управлять правилами. Результаты:- Компоненты и службы полностью используют правила для обеспечения динамического доступа к приложениям и службам- Технология, используемая для правило-основанного динамического доступа, поддерживает интеграцию со средствами ИИ/МО Защита Microsoft Entra ID
Защита Microsoft Entra ID использует алгоритмы машинного обучения для обнаружения пользователей и риска входа. Используйте условия риска в политиках условного доступа для динамического доступа на основе уровня риска.
- Защита Microsoft Entra ID
- Обнаружение риска
- Политики доступа на основе риска

#REF!
#REF! — это комплексное решение для расширенного обнаружения и ответа (XDR). Разверните Microsoft Defender для Endpoint и Microsoft Defender для облачных приложений и настройте интеграции.
- Интегрируйте Defender для Endpoint с Defender для облачных приложений

1.2.4 Корпоративные роли и разрешения Pt1Организации DoD федеративно обрабатывают оставшиеся атрибуты пользователей и групп в подходящем формате для решения Enterprise Identity, Credential и Access Management (ICAM). Обновленный набор атрибутов используется для создания универсальных ролей для использования организациями. Основные функции поставщика удостоверений (IdP) и удостоверений, учетных данных и управления доступом (ICAM) переносятся в облачные службы и (или) среды, обеспечивающие повышенную устойчивость и производительность. Результаты:- Атрибуты компонентов и репозиторий данных ролей объединены с корпоративной системой управления удостоверениями ICAM- Облачная корпоративная система IdP может использоваться как облачными, так и локальными приложениями- Стандартный набор ролей и разрешений создается и согласовывается с атрибутами. Microsoft Entra ID
Microsoft Entra ID — это многооблачная централизованно управляемая платформа управления идентификацией, учетными данными и доступом (ICAM) и поставщик удостоверений (IdP). Установите гибридное удостоверение с помощью #REF! Connect, чтобы заполнить пользовательские данные в каталоге.Microsoft Entra IDГибридное удостоверениеПриложения #REF!Интегрируйте приложения с помощью Microsoft Entra ID, используя динамические группы безопасности, роли приложений и настраиваемые атрибуты безопасности для управления доступом к приложениям.Управление приложениямиУправляйте доступом к приложениямПроксирование приложений #REF!Для использования Microsoft Entra ID в приложениях с устаревшими протоколами проверки подлинности, разверните и настройте прокси-сервер приложения или интегрируйте решения партнеров безопасного гибридного доступа (SHA).SHA: защита устаревших приложений
1.2.5 Роли и разрешения корпоративного управления Pt2Организации DoD перемещают все возможные функции поставщика удостоверений (IdP) и удостоверений, учетных данных и управления доступом (ICAM) в облачные среды. Локальные возможности сред анклава/DDIL для поддержки отключенных функций, но в конечном итоге управляются централизованными решениями управления идентификацией, учетными данными и доступом (ICAM). Обновленные роли теперь обязательны для использования, а исключения рассматриваются в соответствии с подходом, основанным на рисках. Результаты.- Большинство компонентов используют функциональность облачного поставщика удостоверений, где возможно, локальные поставщики удостоверений выведены из эксплуатации. Разрешения и роли обязательны для использования при оценке атрибутов. #REF! приложения
Перемещение современных приложений из службы федерации Active Directory (AD FS) (AD FS) в Microsoft Entra ID, а затем вывести из эксплуатации инфраструктуру AD FS.
- Переведите аутентификацию приложений из AD FS в Microsoft Entra ID

#REF! подготовка приложений
Перемещение оставшихся процессов аутентификации и подготовки ICAM и приложений из локальных систем управления удостоверениями в Microsoft Entra ID.
- Подготовка входящих данных на основе API
- Подготовка приложений

1.3 Многофакторная проверка подлинности

Microsoft Entra ID поддерживает проверку подлинности на основе сертификатов (CBA), включая Общие карточки доступа DoD (CAC) и проверку личных удостоверений (PIV) без федерации с другим поставщиком удостоверений для облачных и гибридных (синхронизированных) пользователей. Microsoft Entra ID поддерживает несколько стандартных мультифакторных методов проверки подлинности без пароля включая CBA, #REF!, ключи безопасности FIDO2 и секретные ключи.

Политики условного доступа можно создать для обеспечения надежности проверки подлинности и динамической авторизации доступа на основе условий пользователя, устройства и среды, включая уровень риска.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.3.1 Организация MFA/IDPОрганизации DoD приобретают и реализуют централизованное решение поставщика удостоверений (IdP) и многофакторное решение (MFA). Решение IdP и MFA может объединяться в одном приложении или отделяться по мере необходимости, при условии, что автоматическая интеграция поддерживается обоими решениями. Оба компонента, IdP и MFA, поддерживают интеграцию с возможностями Enterprise PKI и позволяют, чтобы пары ключей подписывались доверенными корневыми центрами сертификации. Критически важные для задач приложения и службы используют решение IdP и MFA для управления пользователями и группами. Результаты. Компонент использует поставщик удостоверений с MFA для критически важных приложений и служб. Компоненты реализовали поставщик удостоверений (IdP), который обеспечивает многофакторную проверку подлинности DoD PKI — стандартизованный PKI организации для критически важных служб методы проверки подлинности #REF!
Настройка CBA #REF! с использованием PKI DoD. Задайте для глобального уровня защиты однофакторную проверку подлинности. Создайте правила для каждого удостоверяющего центра DoD или объекта идентификации политики (OID), чтобы определить PKI DoD как уровень защиты многофакторной аутентификации. После настройки пользователи входят в #REF! с помощью DoD CAC.
- Аутентификация в Microsoft Entra ID
- #REF! CBA
- Настроить CBA

Поэтапное развертывание
Используйте поэтапное развертывание для переноса аутентификации пользователей из локальной службы федерации в #REF! CBA.

См. руководство Майкрософт в 1.2.4.

Надёжность аутентификации #REF!
Создайте новую силу проверки подлинности с именем DoD CAC. Выберите проверку подлинности на основе сертификатов (многофакторная). Настройте дополнительные параметры и выберите издателей сертификатов для DoD PKI.
- Уровень надёжности аутентификации
- Пользовательские уровни надёжности аутентификации

#REF!
#REF! поддерживает два метода использования сертификатов на мобильном устройстве: производные учётные данные (сертификаты на устройстве) и аппаратные ключи безопасности. Чтобы использовать учетные данные, производные от PKI Министерства обороны США, на управляемых мобильных устройствах, используйте Intune для развертывания DISA Purebred.Производные учетные данные
CBA на устройствах iOS
CBA на устройствах Android
1.3.2 Альтернативный гибкий МФА Pt1Поставщик удостоверений организации DoD (IdP) поддерживает альтернативные методы многофакторной аутентификации, соответствующие требованиям кибербезопасности (например, FIPS 140-2, FIPS 197 и т. д.). Альтернативные токены можно использовать для проверки подлинности, основанной на приложениях. Многофакторные опции поддерживают биометрические возможности и могут управляться с использованием самообслуживания. Когда возможные многофакторные поставщики перемещаются в облачные службы, а не размещаются в локальной среде. Результаты:- IdP предоставляет пользователям возможность самостоятельного управления альтернативными токенами- IdP предоставляет альтернативные токены MFA для одобренных приложений согласно политике. Методы проверки подлинности #REF!
Настройте методы проверки подлинности #REF! для пользователей, чтобы зарегистрировать ключи доступа (ключи безопасности FIDO2). Используйте необязательные параметры, чтобы настроить политику ограничений ключей для ключей, совместимых с FIPS 140-2.
Вход без пароля
Методы проверки подлинностивременного доступапозволяют настроить временный код доступа (TAP) для пользователей, чтобы они могли зарегистрировать альтернативные аутентификаторы без пароля без необходимости использования CAC.
Настройте TAPСоздайте политику условного доступа, чтобы требовать определённую надежность аутентификации: DoD CAC для регистрации сведений о безопасности. Политика требует, чтобы CAC регистрирует другие средства проверки подлинности, такие как ключи безопасности FIDO2.
Регистрация сведений безопасностисм. раздел 1.3.1 в руководстве Microsoft.

#REF!
Используйте #REF! с ПИН-кодом или биометрическим жестом для входа в #REF!. Используйте политики управления устройствами для регистрации #REF! для корпоративных #REF! устройств.
- #REF!

1.3.3 Альтернативный гибкий MFA Pt2Альтернативные токены используют шаблоны активности пользователей, собранные в результате междисциплинарной деятельности, такой как "Мониторинг активности пользователей (UAM) и Аналитика поведения пользователей и сущностей (UEBA)", чтобы содействовать принятию решений о доступе (например, отказ в доступе при отклонении от шаблона). Кроме того, эта функция расширяется на альтернативные маркеры с поддержкой биометрических данных. Результат:
— Реализованные шаблоны действий пользователей
Защита Microsoft Entra ID
Защита Microsoft Entra ID использует машинное обучение (ML) и аналитику угроз для обнаружения рискованных пользователей и событий входа. Используйте условия входа и пользовательского риска для нацеливания политик условного доступа на уровни риска. Начните с базовой защиты, требующей многофакторной проверки подлинности для рискованных входов.
- Защита Microsoft Entra ID
Разверните условный доступ для защиты идентификационной информацииСоздайте набор политик условного доступа на основе уровня риска, которые используют элементы управления разрешениями и сеансами для обеспечения более надежной защиты по мере увеличения риска.
Настройка и включение политик риска
Условный доступ: сеанс
Условный доступ: предоставление разрешения
Примеры политики условного доступа на основе рисков:
Средний риск входа
— требуется сила аутентификации: устойчивый к фишингу MFA
— требуется соответствующее устройство
— частота входа: 1 час
Высокий риск входа
— требуется сила аутентификации: устойчивый к фишингу MFA
— требуется соответствующее устройство
— частота входа: каждый раз

Высокий риск пользователя
— требуется сила аутентификации: устойчивый к фишингу MFA
— требуется соответствующее устройство
— Частота входа: каждый раз. Настройте правило аналитики Sentinel и плейбук, чтобы создавать инциденты для оповещений Entra ID Protection, когда риск пользователя высок.
Защита Microsoft Entra ID соединитель для Sentinel
Пользователь:revokeSignInSessions

1.4 Управление привилегированным доступом

Управление Microsoft Entra ID включает функции PAM, включая JIT-администрирование, управление правами и периодические проверки доступа. #REF! управление привилегированными пользователями (PIM) помогает узнать, как назначаются роли в организации. Используйте PIM для преобразования постоянных назначений ролей в JIT, настройки требований к назначению и активации ролей, а также для планирования проверок доступа.

Условный доступ обеспечивает надежность проверки подлинности, уровень риска и соответствующее устройство рабочей станции привилегированного доступа (PAW) для привилегированного доступа. Административные действия в Microsoft Entra ID записываются в журналы аудита #REF!.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.4.1 Реализация системы и миграции привилегированных пользователей Pt1
Организации DoD получают и реализуют решение управления привилегированным доступом (PAM) для поддержки всех критически важных вариантов использования привилегированных прав. Точки интеграции приложений и служб определяются для определения состояния поддержки решения PAM. Приложения и службы, которые легко интегрируются с решением PAM, переходят на использование решения и статических и прямых привилегированных разрешений.

Результаты:
— средства управления привилегированным доступом (PAM) реализованы
— Приложения и устройства, которые поддерживают и не поддерживают средства PAM, были определены.
— Приложения, поддерживающие PAM, теперь используют PAM для управления учетными записями аварийных и встроенных типов
управление привилегированными пользователями
Разверните PIM для защиты Microsoft Entra ID и ролей #REF!. Используйте "Обнаружение и анализ PIM", чтобы идентифицировать привилегированные роли и группы. Используйте Privileged Identity Management (PIM) для управления обнаруженными привилегиями и преобразования назначений пользователей из постоянных в правомочные.
Обзор PIM
Выявление и анализ ролей
- #REF! ресурсы

#REF!
Разверните управляемую с помощью Intune рабочую станцию с привилегированным доступом (PAW) для администрирования #REF!, Microsoft 365 и #REF!.
Стратегия привилегированного доступа

Условный доступ
Используйте политику условного доступа, чтобы требовать соответствующие устройства. Чтобы применить PAW, используйте фильтры устройств в контроле предоставления разрешений для условного доступа совместимого устройства.
Фильтры для устройств

1.4.2 Реализация системы и миграции привилегированных пользователей Pt2
Организации DoD используют инвентаризацию поддерживаемых и неподдерживаемых приложений и служб для интеграции с решением управления привилегированным доступом (PAM) для расширения интеграции. PAM интегрирован с более сложными приложениями и службами, чтобы максимально увеличить охват решения PAM. Исключения управляются с помощью методического подхода, основанного на оценке рисков, с целью отказа от использования и/или вывода из эксплуатации приложений и служб, которые не поддерживают решения PAM.

Результат:
— Привилегированные действия переносятся в PAM и доступ полностью управляется
управление привилегированными пользователями
Использовать группы привилегированного доступа и PIM для групп для расширения JIT-доступа за пределами Microsoft Entra ID и #REF!. Используйте группы безопасности в Microsoft 365, #REF! или сопоставленные с утверждениями привилегированных ролей для приложений, не связанных с Microsoft, и интегрированных с Microsoft Entra ID.
Группы с назначаемыми ролями
Перенос групп в PIM
Назначение пользователей и групп приложению

Conditional Access
Использовать защищенные действия для добавления другого уровня защиты при выполнении администраторами действий, требующих разрешения с высоким уровнем привилегий в Microsoft Entra ID. Например, управляйте политиками условного доступа и параметрами доступа между клиентами.
Защищенные действия

Создайте политику условного доступа для пользователей с активной ролью в #REF!. Требуется надежность проверки подлинности: устойчивое к фишингу многофакторное аутентификационное средство и соответствующее требованиям устройство. Используйте фильтры устройств, чтобы требовать соответствия PAW стандартам.
Требовать MFA для администраторов
Фильтрация для устройств

1.4.3 Утверждения в режиме реального времени и анализ JIT/JEA, Часть 1
Идентификация необходимых атрибутов (пользователи, группы и т. д.) автоматизирована и интегрирована в решение управления привилегированным доступом (PAM). Запросы на доступ к привилегиям переносятся в решение PAM для автоматических утверждений и отказов.

Результаты:
— Идентифицированные учетные записи, приложения, устройства и данные, представляющие наибольший риск для миссии Министерства обороны.
— Использование средств PAM, предоставление JIT/JEA доступа к учетным записям высокого риска
— запросы привилегированного доступа автоматизируются по мере необходимости.
Privileged Identity Management
Определите роли с высоким риском в вашей среде, такие как роли #REF!, роли #REF!, такие как владелец и администратор доступа пользователей, а также привилегированные группы безопасности.
Рекомендации по ролям
Привилегированные роли

Настройте параметры роли PIM, чтобы требовать утверждения.
- Настройки роли ресурса #REF!
- Параметры ролей #REF!
Параметры PIM для групп

Управление Microsoft Entra ID
Используйте пакеты доступа для управления группами безопасности с целью назначения ролей. Этот механизм управляет администраторами, имеющими право; он добавляет запросы на самообслуживание, утверждения и проверки доступа для выявления соответствия ролям.
Управление правами

Создайте группы с возможностью назначения ролей для привилегированных ролей, чтобы настроить запросы на соответствие требованиям и утверждения. Создайте каталог с именем "Администраторы, имеющие право на привилегированные роли". Добавьте группы, назначаемые по ролям, как ресурсы.
Группы с назначаемыми ролями
Создание каталогов ресурсов и управление ими

Создайте пакеты доступа для групп, которым можно назначать роли, в каталоге привилегированных администраторов, имеющих право на роль. Вы можете требовать утверждения, если пользователи запрашивают право на управление правами, требуют утверждения при активации в PIM или обоих.
Доступ к пакетам

1.4.4 Утверждения в режиме реального времени и JIT/JEA Аналитика Часть 2
Организации DoD интегрируют решения аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM) с решением управления привилегированным доступом (PAM), предоставляющим аналитику шаблонов пользователей для принятия решений.

Результат:
— UEBA или аналогичная система аналитики, интегрированная с средствами PAM для утверждений учетной записи JIT/JEA
Условный доступ
Определите контекст проверки подлинности для привилегированного доступа. Создайте одну или несколько политик условного доступа, предназначенных для контекста проверки подлинности привилегированного доступа. Используйте условия риска в политике и применяйте элементы управления предоставлением и сеансом для привилегированного доступа. Рекомендуется требовать силу аутентификации: фишингозащищенная многофакторная аутентификация, рабочая станция с привилегированным доступом.
Настройка контекста проверки подлинности

См. руководство майкрософт в версии 1.4.1.

Чтобы заблокировать привилегированный доступ при высоком риске входа, создайте дополнительные политики условного доступа, предназначенные для контекста проверки подлинности привилегированного доступа с условием высокого риска входа. Повторите этот шаг с политикой для высокого риска пользователей.
Развертывание политики

управление привилегированными пользователями
Настройте параметры роли PIM для требования аутентификационного контекста. Этот параметр применяет политики условного доступа для выбранного контекста проверки подлинности при активации роли.
Требовать контекст проверки подлинности

1.5 Федерация идентификации и учетные данные пользователей

Microsoft Entra ID играет ключевую роль в управлении жизненным циклом удостоверений (ILM). Клиент #REF! — это гипермасштабированная облачная служба каталогов, решение для управления удостоверениями, учетными данными и доступом (ICAM), а также поставщик удостоверений (IdP). Она поддерживает межкаталожное предоставление и управление приложениями для управления жизненным циклом внутренних пользователей в Microsoft Entra ID и других приложениях.

Управление Microsoft Entra ID функции помогают управлять жизненным циклом доступа для таких прав, как приложения, #REF! и членство в группах безопасности. Управление доступом также можно использовать для работы с внешними гостями. При удалении последнего пакета доступа можно заблокировать доступ и удалить объекты гостевых пользователей. Сведения о переносе функций ILM в Microsoft Entra ID см. в статье Road в облако.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.5.1 Управление жизненным циклом идентификации организации
Организации DoD устанавливают процесс управления жизненным циклом пользователей, как привилегированных, так и стандартных. Используя поставщика удостоверений организации (IdP), процесс реализуется и соблюдается наибольшим количеством пользователей. Все пользователи, которые выходят за пределы стандартного процесса, утверждены с помощью исключений на основе рисков, которые будут оцениваться регулярно для вывода из эксплуатации.

Результат:
— Стандартизированный процесс жизненного цикла удостоверений
Microsoft Entra ID
Стандартизируйте жизненный цикл учетной записи для удостоверений, включая пользователей, администраторов, внешних пользователей и удостоверений приложений (основные службы).
-
- Идентификация и управление доступом операций

Microsoft Entra ID Управление
Установите регулярные проверки доступа для привилегированных пользователей и приложений в клиенте.
- Проверки доступа

1.5.2 Enterprise Identity Life-Cycle Management Pt1DoD Enterprise работает с организациями для проверки и согласования существующих процессов жизненного цикла удостоверений, политик и стандартов. Разработаны и соблюдаются завершенная согласованная политика и поддерживающий процесс, следуемые организациями DoD. Используя централизованные или федеративные решения поставщика удостоверений (IdP) и управления удостоверениями и доступом (IdAM), организации Министерства обороны реализуют процесс управления жизненным циклом предприятия для максимального охвата удостоверений, групп и разрешений. Исключения из политики управляются методическим подходом, основанным на оценке рисков. Результаты:- Автоматизированные процессы жизненного цикла удостоверений
— Интеграция с корпоративным процессом и инструментами ICAM
Microsoft Entra IDЕсли Ваша организация использует Active Directory, синхронизируйте пользователей с Microsoft Entra ID с #REF! Connect Sync или #REF! Cloud Sync. Примечание: не синхронизируйте привилегированные учетные записи Active Directory или назначайте привилегированные облачные роли для синхронизированных учетных записей.Connect SyncCloud SyncЗащите Microsoft 365 от локальных атакСократите площадь атакуемой поверхностиуправление привилегированными пользователями
Управление административным доступом с помощью PIM. Установите периодичность проверки доступа для привилегированных учетных записей #REF! и #REF! ролей.
- Привилегированные учетные записи

Методы аутентификации #REF!
Используйте облачные устойчивые к фишингу методы MFA. Настройте проверку подлинности на основе сертификатов #REF! (CBA) с помощью CAC Министерства обороны для регистрации других учетных данных без пароля.

См. руководство Microsoft в разделе 1.3.2.

1.5.3 Enterprise Identity Life-Cycle Management Pt2Организации DoD дополнительно интегрируют критически важные функции автоматизации решений поставщика удостоверений (IdP) и управления удостоверениями, учетными данными и доступом (ICAM) в соответствии с процессом управления жизненным циклом предприятия, чтобы обеспечить автоматизацию и аналитику на уровне предприятия. Основные процессы управления жизненным циклом удостоверений интегрируются в облачное решение ICAM enterprise. Результаты:- Интеграция с критическими функциями IDM/IDP— основные функции ILM основаны на облаке Управление Microsoft Entra ID
Использовать управление правами и проверки доступа для управления жизненными циклами доступа пользователей вашей организации и жизненными циклами внешних гостевых удостоверений. Управление правамиУправление доступом внешних пользователейУправляемые удостоверения Используйте управляемые удостоверения для ресурсов #REF! и федерации идентификаторов рабочей нагрузки, чтобы снизить риск управления учетными данными приложения.Управляемые удостоверенияФедерация идентификаторов рабочей нагрузкиПолитика управления приложениямиНастройте политики управления приложениями для контроля типов учетных данных, добавляемых в приложения в вашем клиенте. Используйте ограничение passwordAddition, чтобы требовать учетные данные сертификата для приложений.Методы приложений APIУчетные данные сертификата проверки подлинности приложения
1.5.4 Enterprise Identity Life-Cycle Management Pt3Организации DoD интегрируют оставшиеся процессы управления жизненным циклом удостоверений с решением корпоративного удостоверения, учетных данных и управления доступом. Среды Enclave/DDIL, которые по-прежнему разрешены для работы, интегрируются с Корпоративным ICAM через локальные соединители в облачной среде. Результаты:- Все функции ILM перенесены в облако по мере необходимости- Интеграция со всеми функциями IDM/IDP #REF! предоставление приложений
Используйте предоставление приложений #REF! для синхронизации удостоверений с приложениями SCIM, SQL, LDAP, PowerShell и веб-службам. Используйте приложение на основе API для подготовки пользователей в разрозненные экземпляры Active Directory.
- Подготовка приложений
- Подготовка локальных приложений
- Настройка приложения на основе API для подготовки

1.6 Поведение, контекстный идентификатор и биометрические данные

Защита Microsoft Entra ID помогает обнаруживать, устранять и предотвращать угрозы идентификации с помощью машинного обучения и аналитики угроз. Эта функция обнаруживает риски в режиме реального времени при входе пользователей и риски, возникающие в офлайн-режиме, которые вычисляются в течение времени. К рискам относятся аномалии маркеров, необычные свойства входа, невозможное путешествие, подозрительное поведение пользователя и многое другое.

Защита идентификации интегрирована с #REF! для отображения рисков идентификации, обнаруженных другими компонентами в семействе продуктов Microsoft Defender.

Дополнительные сведения см. в статье "Что такое обнаружение рисков"

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.6.1 Реализация аналитики поведения пользователей и сущностей(UEBA) и средства мониторинга активности пользователей (UAM) организации DoD приобретают и реализуют решения аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM). Начальная точка интеграции с Enterprise IdP завершена, что позволяет принимать решения в будущем. Результат:- Функции UEBA и UAM реализованы для корпоративного ПУ (Поставщика удостоверений) Защита Microsoft Entra ID
Разверните Защита Microsoft Entra ID для получения обнаружения рисков в реальном времени и офлайн для пользователей и событий входа. Расширьте обнаружение рисков идентификации для удостоверений приложений (субъектов-служб) с помощью Идентификация рабочей нагрузки Microsoft Entra, Удостоверения рабочей нагрузки Premium.
- Защитите удостоверения рабочей нагрузки
- Политика, основанная на риске, для удостоверений рабочей нагрузки

См. руководство Microsoft в 1.3.3.

Microsoft Defender для облачных приложений
Разверните Microsoft Defender для облачных приложений и настройте интеграции с Microsoft Defender для Endpoint и внешними решениями. Настройка политик обнаружения аномалий в Defender для облачных приложений.
- Интеграция Defender для конечной точки с помощью Defender для облачных приложений
- Интеграция внешних решений
- Обнаружение подозрительной активности пользователей с помощью UEBA

Microsoft Defender для конечной точки
Подключение конечных точек к Defender для конечной точки. Настройте интеграцию между Защитник для конечной точки и #REF!.
- Защитник для конечной точки и другие решения

#REF!
Настройте интеграцию с Защитником для конечных точек и используйте оценку риска устройства в политике соответствия устройств.
- правила Защитника для конечных точек

Условный доступ
Создайте политики условного доступа, чтобы требовать соответствие устройств. Перед предоставлением доступа элемент управления требует, чтобы устройство помечалось как соответствующее в #REF!. Интеграция Defender для конечной точки и Intune предоставляет общее представление о работоспособности устройств и уровне риска на основе состояния соответствия.
- Политики соответствия для задания правил для управляемых устройств Intune

Microsoft Sentinel
Подключите источники данных к Sentinel и включите UEBA для журналов аудита, журналов входа, действий #REF! и событий безопасности.
- Включите UEBA
- Продвинутые угрозы с UEBA

1.6.2 Мониторинг активности пользователей Pt1Организации DoD интегрируют решения Аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM) с поставщиками удостоверений организации (IdP) для расширенной видимости по мере необходимости. Аналитика и данные, созданные UEBA и UAM для критически важных приложений и служб, интегрируются с решением Just-in-Time и Just-Enough-Access, что дополнительно улучшает процесс принятия решений. Результаты: - UEBA интегрирован с идентификаторами организаций, как целесообразно- UEBA интегрирован с JIT/JEA для критически важных служб управление привилегированными пользователями
Развертывание PIM и добавление привилегированных ролей. Определите контекст проверки подлинности для привилегированного доступа. Используйте условия риска в контексте проверки подлинности и настройте параметры роли PIM, чтобы требовать контекст проверки подлинности при активации.

См. руководство Microsoft в разделе 1.4.4.

Microsoft Sentinel
Подключите источники данных к Sentinel и включите UEBA для журналов аудита, журналов входа, действий #REF! и событий безопасности.
- Включите UEBA
- Расширенные функции с UEBA

Microsoft Defender for Cloud Apps
Контролируйте и управляйте сеансами в облачных приложениях с помощью Defender для облачных приложений.
- Защищайте приложения с App Control
- Политики сеансов
- Исследуйте рискованных пользователей

1.6.3 Мониторинг активности пользователей Pt2Организации DoD продолжают использовать аналитические данные из решений для аналитики поведения пользователей и сущностей (UEBA) и мониторинга активности пользователей (UAM), применяя сгенерированные данные ко всем отслеживаемым приложениям и службам при принятии решений в рамках решения «Доступ ровно вовремя» и «Доступ в необходимом объеме». Результат: UEBA/Entity Monitoring интегрирован с JIT/JEA для всех служб управление привилегированными пользователями
Используйте PIM для групп, чтобы расширить JIT-доступ к приложениям с применением ролей приложений. Назначьте группы, управляемые PIM, на привилегированные роли приложений.PIM для группДобавление ролей приложений в приложение

1.7 Минимальный привилегированный доступ

Доступ к приложениям с помощью Microsoft Entra ID по умолчанию запрещен. Управление Microsoft Entra ID такие функции, как управление правами и проверки доступа, гарантируют, что доступ ограничен временем, соответствует принципу наименьших привилегий и применяет элементы управления для разделения обязанностей.

Используйте встроенные роли #REF!, чтобы назначать разрешения с минимальными привилегиями по конкретной задаче. Административные единицы позволяют определять разрешения для пользователей и устройств Microsoft Entra ID в зависимости от ресурсов.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.7.1 Политика отказа пользователям по умолчаниюОрганизации DoD проводят аудит использования внутренних пользователей и групп в отношении разрешений и отзывают разрешения, когда это возможно. Это действие включает отзыв и отключение избыточных разрешений и доступов для удостоверений и групп, основанных на приложениях или службах. Где это возможно, статические привилегированные пользователи выводятся из эксплуатации или сокращаются их привилегии в рамках подготовки к будущему доступу, основанному на правилах или динамике. Результаты:- Приложения обновлены так, чтобы по умолчанию отказывать в доступе к функциям и данным, которые требуют определенных ролей и атрибутов - Уменьшенные уровни разрешений по умолчанию реализованы - Приложения/службы проверили и аудировали всех привилегированных пользователей и удалили тех, кто не нуждается в таком уровне доступа. Microsoft Entra ID
Просмотрите, а затем ограничьте разрешения пользователей и гостей по умолчанию в Microsoft Entra ID. Ограничьте согласие пользователей на приложения и просмотрите текущее согласие в вашей организации.
- Разрешения пользователей по умолчанию
- Ограничьте разрешения на согласие пользователей

Приложения #REF!
Доступ к приложениям #REF! запрещён по умолчанию. Microsoft Entra ID проверяет права и применяет политики условного доступа для авторизации доступа к ресурсам.
- Интеграция приложений
- Интеграция приложений

Управление Microsoft Entra ID
Используйте функцию управления правами и удостоверениями для управления жизненным циклом идентификации и доступа. Найдите рабочие процессы автоматического запроса доступа, назначений доступа, проверок и сроков истечения.
- Управление правами доступа
- Проверки доступа

Пользовательские роли
Используйте встроенные роли Microsoft Entra ID для управления ресурсами. Однако если роли не соответствуют потребностям организации или если необходимо свести к минимуму привилегии администраторов, создайте пользовательскую роль. Предоставьте пользовательским ролям подробные разрешения для управления пользователями, группами, устройствами, приложениями и многим другим.
- Пользовательские роли

Административные единицы
Административная единица — это ресурс #REF!, содержащий другие ресурсы #REF!, такие как пользователи, группы или устройства. Используйте административные единицы для делегирования разрешений подмножества администраторов на основе структуры организации.Административные единицыАдминистративные единицы с ограниченным управлениемСоздание или удаление административных единицПривилегированное управление идентичностямиИспользуйте PIM Discovery и Insights для управления привилегиями и сокращения числа администраторов. Настройте оповещения PIM при назначении привилегированных ролей вне PIM.
- Привилегированный доступ для гибридных и облачных систем
- Оповещения безопасности для ролей #REF!
- Оповещения безопасности для ролей #REF!

Microsoft Defender for Cloud Apps
Проверьте разрешения, предоставленные приложениям. Изучение рискованных приложений OAuth в Defender для облачных приложений.
- Обзор разрешений, предоставленных приложениям
- Изучение рискованных приложений OAuth

Microsoft Sentinel
Использовать PIM для назначения ролей #REF! для доступа к Sentinel и периодического аудита запросов и действий.
- Аудит запросов и действий

1.8 Непрерывная проверка подлинности

Microsoft Entra ID использует короткие и длительные маркеры для периодической проверки подлинности пользователей в приложениях и службах, которые #REF! защищает. Microsoft Entra ID имеет механизм оценки непрерывного доступа (CAE) для улучшения стандартного протокола. Подсистема политик реагирует на изменения окружающей среды практически в режиме реального времени и применяет политики адаптивного доступа.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.8.1 Единственная аутентификацияОрганизации DoD используют базовые процессы аутентификации для проверки подлинности пользователей и неперсональных сущностей (например, вход в систему) как минимум один раз за сеанс. Важно, что процесс аутентификации пользователей управляется параллельным действием "MFA/IDP организации" посредством поставщика удостоверений организации (IdP), а не с использованием удостоверений и групп на основе приложений и служб. Результат:- Проверка подлинности, реализованная в приложениях на сеанс Microsoft Entra ID
Microsoft Entra ID — это централизованный поставщик удостоверений (IdP), который упрощает единый вход между облачными приложениями Майкрософт и приложениями, которые ваша организация использует.
- Microsoft Entra ID

Single sign-on
The single sign-on (SSO) позволяет пользователям использовать свои Microsoft Entra ID учетные данные для проверки подлинности приложений и служб. Приложения могут быть SaaS, пользовательские бизнес-приложения или локальные приложения. Используйте возможности проверки подлинности #REF! и "Никому не доверяй", чтобы обеспечить безопасный и простой доступ к приложениям.
- Что такое SSO?
- Интеграции #REF! с протоколами проверки подлинности

Подготовка приложений #REF!
Подготовка приложений #REF! создает, обновляет и удаляет пользователей, роли и группы в приложениях SaaS, а также пользовательские или локальные приложения. Используйте Microsoft Entra ID в качестве централизованного источника удостоверений для приложений. Свести к минимуму удостоверения приложений или служб и пользователей.
- Автоматизированное предоставление
- Предоставление приложений

Рабочие нагрузки Microsoft Entra ID
Сервисные принципы и управляемые удостоверения являются не персональными сущностями (NPE) в #REF!. Используйте служебные принципы для автоматического (неинтерактивного) доступа к API, защищенным #REF!.
- Удостоверения рабочей нагрузки
- Служебные принципы в Microsoft Entra ID

1.8.2 Периодической проверки подлинностиОрганизации DoD предоставляют требования к проверке подлинности за период для приложений и служб. Традиционно они основаны на продолжительности и /или длительности ожидания, но другие аналитические данные на основе периода можно использовать для выполнения повторной проверки подлинности сеансов пользователей. Результат:— проверка подлинности, реализованная несколько раз в сеансе на основе атрибутов безопасности Приложения #REF!
Приложения #REF! автоматически управляют обновлением сеанса без взаимодействия с пользователем.

См. инструкцию Microsoft в 1.8.1.

Условный доступ
Настройте управление частотой входа в систему в Условном доступе, чтобы повторно проверять подлинность сеансов пользователей. Используйте эту функцию, если вход является рискованным или устройство пользователя неуправляемо или не соответствует требованиям.Настройка управления сеансами аутентификацииполитики доступа в приложениях Defender для облака
1.8.3 Непрерывная проверка подлинности Pt1Приложения и службы DoD Organizations используют несколько аутентификаций сеансов на основе атрибутов безопасности и запрошенного доступа. Изменения привилегий и ассоциативные запросы транзакций требуют дополнительных уровней аутентификации, таких как многофакторная аутентификация (MFA), которые посылают пользователям. Результат:- Проверка подлинности транзакций, реализованная для каждого сеанса на основе атрибутов безопасности Оценка непрерывного доступа (CAE)основана на стандарте OpenID, который улучшает механизмы истечения срока действия токенов и их обновление для более оперативного реагирования на нарушения политики. Для ЦС требуется новый маркер доступа в ответ на критические события, такие как переход пользователя из доверенного сетевого расположения в недоверенное. Реализуйте CAE с клиентскими приложениями и API серверной службы.
- непрерывный доступ
- оценка критических событий

Приложения Microsoft Office, использующие Microsoft API Graph, #REF! Online API и #REF! Online API, поддерживают CAE. Разработка приложений с помощью последних библиотек проверки подлинности Майкрософт (MSAL) для доступа к API с поддержкой CAE.
- CAE для Microsoft 365
- API с поддержкой CAE в приложениях

Условный доступ (Conditional Access)
Определите и используйте контекст проверки подлинности условного доступа для защиты конфиденциальных сайтов #REF!, #REF!, защищенных приложений Microsoft Defender для облачных приложений, активации ролей PIM и пользовательских приложений.
- Контекст проверки подлинности
- Политика для сайтов #REF! и #REF!
- Политики сеансов в Microsoft Defender для облачных приложений
- Требовать контекст проверки подлинности для ролей PIM
- Руководство по контексту проверки подлинности

Используйте защищенные действия для добавления другого уровня защиты, когда администраторы выполняют действия, требующие высоко привилегированных разрешений в Microsoft Entra ID, например, управление политиками условного доступа и настройками межклиентского доступа. Защита действий пользователей, таких как регистрация сведений о безопасности и присоединение устройств.
- Защищенные действия
- Целевой ресурс

Управление привилегиями идентичности
Требовать контекста аутентификации для активации роли PIM.

См. руководство Microsoft в 1.4.4.

1.8.4 Непрерывная проверка подлинности Pt2Организации Министерства обороны США продолжают использовать проверку подлинности на основе транзакций, включая интеграцию таких аспектов, как шаблоны пользователей. Результат:- Проверка подлинности транзакций, реализованная на сеанс на основе атрибутов безопасности, включая шаблоны пользователей Защита Microsoft Entra ID
When Защита Microsoft Entra ID обнаруживает аномальное, подозрительное или рискованное поведение, увеличивается уровень риска пользователя. Создайте политики условного доступа, используя условия риска, усиливая защиту уровня риска.Обнаружение рисковсм. руководство Microsoft в версии 1.3.3.Увеличение уровня риска — это критически важное событие при непрерывной оценке доступа (CAE). Службы, реализующие ЦС, например API #REF!, требуют повторной проверки подлинности клиента (#REF!) для следующей транзакции. Политики условного доступа для повышенного уровня риска удовлетворяются до того, как Microsoft Entra ID выдаст новый токен доступа для доступа к #REF!.
- Critical event evaluation

1.9 Интегрированная платформа ICAM

Microsoft Entra ID поддерживает аутентификацию по сертификатам с сертификатами, выданными внешней инфраструктурой открытых ключей (PKI) для пользователей и неперсональных сущностей (NPE). NPEs в Microsoft Entra ID — это идентификаторы приложений и устройств. Внешняя идентификация Microsoft Entra параметры доступа между арендаторами помогают мультиарендаторным организациям, таким как Минобороны США, беспрепятственно сотрудничать между арендаторами.

Описание и результат действия DoD Руководства и рекомендации Майкрософт
1.9.1 Корпоративная PKI/IDP Pt1DoD Enterprise работает с организациями для реализации решений корпоративной инфраструктуры открытых ключей (PKI) и поставщика удостоверений (IdP) в централизованном и (или) федеративном режиме. Решение корпоративного PKI использует один или набор корневых центров сертификации корпоративного уровня, которым организации могут доверять для построения промежуточных ЦС. Решение поставщика удостоверений может быть либо единым решением, либо набором федеративных поставщиков организационных удостоверений с единообразным уровнем доступа в разных организациях и унифицированным набором атрибутов. Решения IdP и центры сертификации PKI организаций интегрированы с решениями Enterprise IdP и PKI. Результаты:- Компоненты используют IdP с MFA для всех приложений и служб- Организационные MFA/PKI интегрированы с Корпоративными MFA/PKI- Организационный стандартизированный PKI для всех служб. методы проверки подлинности Microsoft Entra ID
Используйте политику методов проверки подлинности в Microsoft Entra ID для управления методами проверки подлинности пользователей.
- #REF! CBA
Откройте инструкцию от Microsoft в 1.3.1.

Уровень проверки подлинности
Используйте уровень проверки подлинности для управления доступом пользователей к ресурсам.
- Внешняя идентификация Microsoft Entra
Настройте перекрестный доступ для клиентов Microsoft Entra ID DoD. Используйте параметры доверия для принятия утверждений MFA и требований к совместимым устройствам для внешних удостоверений от доверенных арендаторов DoD.Межклиентский доступПолитика управления приложениями— это основа для реализации наилучших практик безопасности приложений в арендаторе. Используйте политику, чтобы ограничить данные авторизации приложения сертификатами, выданными доверенным PKI.Для создания цепочки сертификации добавьте новую коллекцию удостоверяющих центров (УЦ) к промежуточным и корневым сертификатам УЦ для корпоративного PKI.Тип ресурса, относящийся к конфигурации приложений на основе сертификатов, чтобы создать политику управления приложениями, требующую сертификаты, выданные доверенными УЦ, настройте ограничения для запрета добавления пароля и требования доверенной сертифицирующей власти. Укажите созданный идентификатор коллекции доверенных УЦ.
- API методов аутентификации приложений

#REF!
Intune поддерживает сертификаты на основе стандартов криптографии с открытым ключом (PKCS).
- сертификаты PKCS
1.9.2 Корпоративная PKI/IDP Pt2Организации DoD обеспечивают биометрическую поддержку в поставщике удостоверений (IdP) для приложений и служб, критически важных для выполнения миссии/задачи. Биометрические функции перемещаются из организационных решений в предприятие. Многофакторная аутентификация (MFA) и инфраструктура открытых ключей (PKI) выводятся из эксплуатации и при необходимости переходят на корпоративный уровень. Результаты:- Критически важные организационные службы, интегрированные с биометрией— Выведение из эксплуатации организационных MFA/PKI и их замена корпоративными MFA/PKI, если это уместно- Корпоративные биометрические функции, реализованные Microsoft Entra ID
Microsoft поддерживает биометрические данные в нескольких компонентах, совместимых с Microsoft Entra ID аутентификация.

Методы аутентификации
Microsoft Entra ID поддерживает аппаратные ключи безопасности (FIDO2 security keys), использующие присутствие или отпечаток пальца.
- FIDO-ключи безопасности

#REF!
#REF! использует биометрические жесты, такие как отпечаток пальца и сканирование лица.
- Параметры профиля защиты идентичности

MacOS
MacOS имеют биометрические данные, например Touch ID, чтобы войти с помощью учетных данных, привязанных к устройству.
- SSO для устройств Apple

#REF!
Mobile устройства и Authenticator используют сенсорный ввод и лицо для проверки подлинности без пароля. Поддержка секретного ключа — это еще один метод проверки подлинности, устойчивый к фишингу, в Authenticator.AuthenticatorВход без пароляУлучшенная проверка подлинности, устойчивая к фишингу
1.9.3 Корпоративная PKI/IDP Pt3Организации Министерства обороны США интегрируют остальные приложения и службы с функциональными возможностями биометрических данных. Можно использовать альтернативные токены многофакторной аутентификации. Результат:- Все службы организации интегрируются с биометрией #REF!
Сценарии децентрализованной идентификации с использованием Verified ID могут потребовать проверки лица при предъявлении учетных данных. Проверенный IDПроверка лица

Следующие шаги

Настройте облачные службы Майкрософт для стратегии doD "Никому не доверяй":

  • Введение
  • Пользователь
  • Устройство
  • Приложения и рабочие нагрузки
  • Данные
  • Сеть
  • Автоматизация и оркестрация
  • Видимость и аналитика