Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.
Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Gegevens
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse
1 Gebruiker
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de gebruikerspijler. Zie Identiteit beveiligen met Zero Trust voor meer informatie.
1.1 Gebruikersinventaris
Microsoft Entra ID is het vereiste identiteitsplatform voor Microsoft-cloudservices. Microsoft Entra ID is een id-provider (IdP) en governanceplatform ter ondersteuning van multicloud- en hybride identiteiten. U kunt Microsoft Entra ID gebruiken om toegang te beheren tot niet-Microsoft-clouds, zoals Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) en meer. Microsoft Entra ID maakt gebruik van standaardidentiteitsprotocollen, waardoor het een geschikte IdP is voor SaaS (Software as a Service), moderne webtoepassingen, desktop- en mobiele apps, ook verouderde on-premises toepassingen.
Gebruik De Microsoft Entra-id om gebruikers en niet-personentiteiten (NPE) te verifiëren, continu toegang te verlenen tot apps en gegevens, identiteiten en hun rechten te beheren volgens de beginselen van minimale bevoegdheden en just-in-time-beheer (JIT) uit te voeren.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.1.1 InventarisgebruikerDoD-organisaties stellen indien nodig handmatig een gebruikersinventaris in en werken deze bij, waarbij ze zich in latere fasen voorbereiden voor geautomatiseerde aanpak. Accounts die zowel centraal worden beheerd door een IdP/ICAM als lokaal op systemen, worden geïdentificeerd en geïnventariseerd. Bevoegde accounts worden geïdentificeerd voor toekomstige controle en zowel standaard- als bevoegde gebruikersaccounts die lokaal zijn voor toepassingen en systemen, worden geïdentificeerd voor toekomstige migratie en/of buiten gebruik stellen. Resultaten: - Geïdentificeerde beheerde reguliere gebruikers - Geïdentificeerde beheerde bevoegde gebruikers - geïdentificeerde toepassingen met behulp van hun eigen gebruikersaccountbeheer voor niet-beheerders- en beheerdersaccounts |
Microsoft Entra ID Identificeer normale en bevoegde gebruikers in uw organisatie met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API. Gebruikersactiviteit wordt vastgelegd in aanmeldings- en auditlogboeken van Microsoft Entra ID, die kunnen worden geïntegreerd met SIEM-systemen (Security Information Event Monitoring), zoals Microsoft Sentinel. - Microsoft Entra ID - Microsoft Graph API aannemen: lijst met gebruikers - van Microsoft Entra-activiteitenlogboekintegratie Microsoft Entra- en Azure-rollen Bevoegde gebruikers zijn identiteiten die zijn toegewezen aan Microsoft Entra ID-rollen, Azure-rollen of Microsoft Entra ID-beveiligingsgroepen die bevoegde toegang verlenen tot Microsoft 365 of andere toepassingen. U wordt aangeraden alleen cloudgebruikers te gebruiken voor bevoegde toegang. - Ingebouwde rollen gebruiken Defender voor Cloud Apps om niet-goedgekeurde apps te detecteren met behulp van hun eigen identiteitsarchief. - Deploy en configureer Microsoft Defender for Identity-sensoren om een inventaris van identiteitsassets te maken voor on-premises Active Directory-domein Services-omgevingen. Overzicht van - |
1.2 Voorwaardelijke gebruikerstoegang
Microsoft Entra ID helpt uw organisatie bij het implementeren van voorwaardelijke, dynamische gebruikerstoegang. Functies die deze mogelijkheid ondersteunen, zijn onder andere voorwaardelijke toegang van Microsoft Entra, Microsoft Entra ID-governance, aangepaste rollen, dynamische beveiligingsgroepen, app-rollen en aangepaste beveiligingskenmerken.
Voorwaardelijke toegang is de realtime Zero Trust-beleidsengine in Microsoft Entra-id. Beleidsregels voor voorwaardelijke toegang gebruiken beveiligingssignalen van gebruikers, apparaten, toepassingen, sessies, risico's en meer om adaptieve dynamische autorisatie toe te passen voor resources die worden beveiligd door Microsoft Entra ID.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.2.1 Machtigingen op basis van apps per ondernemingimplementerenDe DoD-onderneming die met de organisaties werkt, stelt een basisset gebruikerskenmerken in voor verificatie en autorisatie. Deze zijn geïntegreerd met het activiteitenproces Enterprise Identity Life-Cycle Management Pt1 voor een volledige bedrijfsstandaard. De ICAM-oplossing (Enterprise Identity, Credential, and Access Management) is ingeschakeld voor selfservicefunctionaliteit voor het toevoegen/bijwerken van kenmerken in de oplossing. Resterende PAM-activiteiten (Privileged Access Management) worden volledig gemigreerd naar de PAM-oplossing. Resultaten: - Ondernemingsrollen/-kenmerken die nodig zijn voor gebruikersautorisatie voor toepassingsfuncties en/of gegevens zijn geregistreerd bij enterprise ICAM - DoD Enterprise ICAM heeft selfservicekenmerk/rolregistratieservice waarmee toepassingseigenaren kenmerken kunnen toevoegen of bestaande ondernemingskenmerken kunnen gebruiken- Geprivilegieerde activiteiten worden volledig gemigreerd naar PAM |
Microsoft Entra Connectmaak een hybride identiteit met Microsoft Entra Connect om Microsoft Entra ID-tenants te vullen met gebruikerskenmerkgegevens uit huidige directorysystemen. - Microsoft Entra Connect Microsoft Entra-toepassingen integreren toepassingen met Microsoft Entra-id. Ontwerp modellen voor toepassingsautorisatie en machtigingen met behulp van beveiligingsgroepen en app-rollen. Als u app-beheer wilt delegeren, wijst u eigenaren toe om app-configuratie te beheren, registreert en wijst u app-rollen toe. - Toegangspakketten configureren in rechtenbeheer, zodat gebruikers toegang kunnen aanvragen tot toepassingsrollen of -groepen. - Toegang tot apps - beheren Voorwaardelijke toegangsbeheer voor voorwaardelijke toegang configureren voor dynamische autorisatie voor toepassingen en services die worden beveiligd door Microsoft Entra-id. Gebruik in beleid voor voorwaardelijke toegang aangepaste beveiligingskenmerken en toepassingsfilters om de autorisatie van beveiligingskenmerken te beperken die zijn toegewezen aan toepassingsobjecten, zoals gevoeligheid. - Aangepaste beveiligingskenmerken - - Filteren voor apps Privileged Identity Management Maken gebruik van PIM Discovery en Insights om bevoorrechte rollen en groepen te identificeren. Gebruik PIM om gedetecteerde bevoegdheden te beheren en gebruikerstoewijzingen te converteren van permanent naar in aanmerking komend. - PIM-detectie en -inzichten |
Target
1.2.2 Op regels gebaseerde dynamische toegang pt1DoD-organisaties maken gebruik van de regels van de activiteit Periodieke verificatie om basisregels te bouwen waarmee bevoegdheden dynamisch worden ingeschakeld en uitgeschakeld. Gebruikersaccounts met een hoog risico maken gebruik van de PAM-oplossing om over te stappen op dynamische bevoegde toegang met Behulp van Just-In-Time-toegang en Just Enough-Administration-methoden. Resultaten: - Toegang tot de functies en/of gegevens van de toepassing zijn beperkt tot gebruikers met de juiste bedrijfskenmerken : alle mogelijke toepassingen gebruiken JIT/JEA-machtigingen voor gebruikers met beheerdersrechten |
Microsoft Entra-id Gebruik Microsoft Entra ID-autorisatie- en governancefuncties om de toegang tot toepassingen te beperken op basis van gebruikerskenmerken, roltoewijzingen, risico en sessiedetails. Zie de Richtlijnen van Microsoft in 1.2.1. Privileged Identity Management : PIM gebruiken voor Microsoft Entra- en Azure-rollen. Breid PIM uit naar andere Microsoft Entra ID-toepassingen met PIM voor groepen. - - |
Advanced
1.2.3 Op regels gebaseerde dynamische toegang pt2DoD-organisaties breiden de ontwikkeling van regels voor dynamische toegangsbesluitvorming voor risico's uit. Oplossingen die worden gebruikt voor dynamische toegang zijn geïntegreerd met machine learning en kunstmatige intelligentiefunctionaliteit die geautomatiseerd regelbeheer mogelijk maakt. Resultaten: - Onderdelen en services maken volledig gebruik van regels om dynamische toegang tot toepassingen en services mogelijk te maken- Technologie die wordt gebruikt voor dynamische toegang op basis van regels ondersteunt integratie met AI/ML-hulpprogramma's |
Microsoft Entra ID Protection Microsoft Entra ID Protection maakt gebruik van machine learning-algoritmen (ML) om gebruikers en aanmeldingsrisico's te detecteren. Gebruik risicovoorwaarden in beleid voor voorwaardelijke toegang voor dynamische toegang op basis van risiconiveau. - Microsoft Entra ID Protection - Risk detections - Risk based access policies Microsoft Defender XDR Microsoft Defender XDR is een uitgebreide detectie- en responsoplossing (XDR). Implementeer Microsoft Defender voor Eindpunt en Microsoft Defender voor Cloud Apps en configureer integraties. - Defender voor Eindpunt integreren met Defender voor Cloud-apps |
Advanced
1.2.4 Enterprise Governance-rollen en -machtigingen Pt1DoD-organisaties federatieve resterende gebruikers- en groepskenmerken die geschikt zijn voor de ICAM-oplossing (Enterprise Identity, Credential, and Access Management). De bijgewerkte kenmerkset wordt gebruikt om universele rollen te maken die organisaties kunnen gebruiken. Kernfuncties van de ICAM-oplossingen (Identity Provider) en Identity, Credential, and Access Management (ICAM) worden gemigreerd naar cloudservices en/of omgevingen die verbeterde tolerantie en prestaties mogelijk maken. Resultaten: - Onderdeelkenmerk en rolgegevensopslagplaats die zijn gefedereerd met enterprise ICAM - Op de cloud gebaseerde Enterprise IdP kan worden gebruikt door cloud- en on-premises toepassingen - Gestandaardiseerde set rollen en machtigingen worden gemaakt en afgestemd op kenmerken |
Microsoft Entra ID Microsoft Entra ID is een centraal beheerde identiteit, referentie en toegangsbeheer (ICAM) platform en id-provider (IdP) met meerdere clouds. Stel een hybride identiteit in met Microsoft Entra Connect om gebruikersgegevens in de map te vullen. - Microsoft Entra ID - Hybride identiteit integreren toepassingen met Microsoft Entra ID en dynamische beveiligingsgroepen, toepassingsrollen en aangepaste beveiligingskenmerken gebruiken om de toegang tot toepassingen te beheren. - |
Advanced
1.2.5 Enterprise Governance-rollen en -machtigingen Pt2DoD-organisaties verplaatsen alle mogelijke functies van de id-provider (IdP) en identiteits-, referentie- en toegangsbeheeroplossingen (ICAM) naar cloudomgevingen. Enclave-/DDIL-omgevingen lokale mogelijkheden ter ondersteuning van niet-verbonden functies, maar uiteindelijk worden beheerd door de gecentraliseerde ICAM-oplossingen (Identity, Credential and Access Management). Bijgewerkte rollen worden nu verplicht voor gebruik en uitzonderingen worden beoordeeld volgens een op risico's gebaseerde benadering. Resultaten: - De meeste onderdelen maken gebruik van cloud-IdP-functionaliteit, waar mogelijk on-premises IdP wordt buiten gebruik gesteld - Machtigingen en rollen worden verplicht voor gebruik bij het evalueren van kenmerken |
Microsoft Entra-toepassingen migreren moderne toepassingen van Active Directory Federation Services (AD FS) naar Microsoft Entra ID en buiten gebruik stellen van AD FS-infrastructuur. - Migreer app-verificatie van AD FS naar Microsoft Entra ID van on-premises identiteitsbeheersystemen naar Microsoft Entra ID. - - |
1.3 Meervoudige verificatie
Microsoft Entra ID ondersteunt verificatie op basis van certificaten (CBA), waaronder DoD Common Access Cards (CAC) en Personal Identity Verification (PIV) zonder federatie met een andere IdP, voor cloud- en hybride (gesynchroniseerde) gebruikers. Microsoft Entra ID ondersteunt meerdere industriestandaard meervoudige verificatiemethoden zonder wachtwoord, waaronder CBA, Windows Hello voor Bedrijven, FIDO2-beveiligingssleutels en wachtwoordsleutels.
U kunt beleid voor voorwaardelijke toegang maken om verificatiesterkte af te dwingen en dynamisch toegang te autoriseren op basis van gebruikers-, apparaat- en omgevingsomstandigheden, inclusief risiconiveau.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.3.1 Organisatie-MFA/IDPDoD-organisaties kopen en implementeren een gecentraliseerde IdP-oplossing (IdP) en MFA-oplossing (Multi-Factor). De IdP- en MFA-oplossing kunnen worden gecombineerd in één toepassing of worden gescheiden, mits geautomatiseerde integratie wordt ondersteund door beide oplossingen. Zowel IdP- als MFA-ondersteuning voor integratie met de Enterprise PKI-functie en zorgen ervoor dat sleutelparen kunnen worden ondertekend door de vertrouwde basiscertificeringsinstanties. Missie/Taakkritieke toepassingen en services maken gebruik van de IdP- en MFA-oplossing voor het beheer van gebruikers en groepen. Resultaten: - Onderdeel maakt gebruik van IdP met MFA voor kritieke toepassingen/services - Onderdelen hebben een id-provider (IdP) geïmplementeerd waarmee DoD PKI meervoudige verificatie mogelijk is- Gestandaardiseerde PKI voor kritieke services |
Microsoft Entra-verificatiemethoden Configureer Microsoft Entra CBA met behulp van DoD PKI. Stel het globale beveiligingsniveau in op verificatie met één factor. Maak regels voor elke DoD verlenende CA of Beleids-OID om DoD PKI te identificeren als beveiligingsniveau voor meervoudige verificatie. Na de configuratie melden gebruikers zich aan bij Microsoft Entra met een DoD CAC. - Verificatie in Microsoft Entra ID - Microsoft Entra CBA configureren: gebruik een gefaseerde implementatie om gebruikersverificatie te migreren van een on-premises federatieservice naar Microsoft Entra CBA.- Zie de Richtlijnen van Microsoft in met de naam DoD CAC. Kies verificatie op basis van certificaten (multifactor). Configureer geavanceerde opties en selecteer certificaatverleners voor DoD PKI. - Verificatiesterkte - Aangepaste verificatiesterkten Microsoft Intune Microsoft Entra ondersteunt twee methoden voor het gebruik van certificaten op een mobiel apparaat: afgeleide referenties (certificaten op apparaat) en hardwarebeveiligingssleutels. Als u doD PKI-afgeleide referenties wilt gebruiken op beheerde mobiele apparaten, gebruikt u Intune om DISA Purebred te implementeren. - Afgeleide referenties - CBA op iOS-apparaten - CBA op Android-apparaten |
Advanced
1.3.2 Alternatief flexibele MFA Pt1IdP (Identity Provider) van DoD Organization ondersteunt alternatieve methoden voor meervoudige verificatie die voldoen aan de vereisten voor cyberbeveiliging (bijvoorbeeld FIPS 140-2, FIPS 197, enzovoort). Alternatieve tokens kunnen worden gebruikt voor verificatie op basis van toepassingen. Multi-Factor Options bieden ondersteuning voor biometrische mogelijkheden en kunnen worden beheerd met behulp van een selfservicebenadering. Waar mogelijk multi-factor provider(s) wordt verplaatst naar cloudservices in plaats van on-premises te worden gehost. Resultaten: - IdP biedt selfservice alternatieve token voor gebruikers- IdP biedt alt-token MFA voor goedgekeurde toepassingen per beleid |
Microsoft Entra-verificatiemethoden Configureren Microsoft Entra-verificatiemethoden voor gebruikers om wachtwoordsleutels (FIDO2-beveiligingssleutels) te registreren. Gebruik optionele instellingen om een sleutelbeperkingsbeleid te configureren voor sleutels die compatibel zijn met FIPS 140-2. - Aanmelden met een wachtwoordloze beveiligingssleutel - Verificatiemethoden Tijdelijke toegangspas Configureer een tijdelijke toegangspas (TAP) voor gebruikers om alternatieve wachtwoordloze verificators te registreren zonder een CAC. - Configureer TAP Voorwaardelijke toegang Maak een beleid voor voorwaardelijke toegang om verificatiesterkte te vereisen: DoD CAC voor registratie van beveiligingsgegevens. Voor het beleid moet CAC andere authenticators, zoals FIDO2-beveiligingssleutels, registreren. - Registratie van beveiligingsgegevens Raadpleeg de richtlijnen van Microsoft in 1.3.1. Windows Hello voor Bedrijven Gebruik Windows Hello voor Bedrijven met een pincode of biometrische beweging voor windows-aanmelding. Gebruik beleidsregels voor apparaatbeheer voor Windows Hello voor Bedrijven inschrijving voor Windows-apparaten die worden geleverd door ondernemingen. - Windows Hello voor Bedrijven |
Advanced
1.3.3 Alternatief flexibele MFA Pt2Alternatieve tokens maken gebruik van gebruikersactiviteitspatronen van activiteiten op meerdere pijlers, zoals 'User Activity Monitoring (UAM) en User & Entity Behavior Analytics (UEBA)' om te helpen bij het nemen van toegangsbeslissing (bijvoorbeeld geen toegang verlenen wanneer een patroondeviatie optreedt). Deze functionaliteit wordt ook uitgebreid naar alternatieve tokens met biometrische functionaliteit. Resultaat: - Geïmplementeerde gebruikersactiviteitspatronen |
Microsoft Entra ID Protection Microsoft Entra ID Protection maakt gebruik van machine learning (ML) en bedreigingsinformatie om riskante gebruikers en aanmeldingsgebeurtenissen te detecteren. Gebruik de voorwaarden voor aanmelden en gebruikersrisico's om beleid voor voorwaardelijke toegang te richten op risiconiveaus. Begin met basisbeveiliging waarvoor MFA is vereist voor riskante aanmeldingen. - Microsoft Entra ID Protection - - Risicobeleid configureren en inschakelen - De voorwaardelijke toegang: sessie - Voorwaardelijke toegang: Toekennen Voorbeelden van beleid op basis van risico's voor voorwaardelijke toegang: Gemiddeld aanmeldingsrisico - Verificatiesterkte vereisen: phishingbestendige MFA - Compatibel apparaat vereisen - Aanmeldingsfrequentie: 1 uur Hoog aanmeldingsrisico - Verificatiesterkte vereisen: phishingbestendige MFA - Compatibel apparaat vereisen - Aanmeldingsfrequentie: elke keer Hoog gebruikersrisico - Verificatiesterkte vereisen: phishingbestendige MFA - Compatibel apparaat vereisen - Aanmeldingsfrequentie: telkens wanneer Microsoft Sentinel een Sentinel-analyseregel en playbook configureert om een incident te maken voor Entra ID Protection-waarschuwingen wanneer het gebruikersrisico hoog is. - Microsoft Entra ID Protection-connector voor Sentinel - Gebruiker:revokeSignInSessions |
1.4 Privileged Access Management
Microsoft Entra ID-governance maakt PAM-functies mogelijk, waaronder Just-In-Time -beheer (JIT), rechtenbeheer en periodieke toegangsbeoordelingen. Met Microsoft Entra Privileged Identity Management (PIM) kunt u ontdekken hoe rollen in uw organisatie worden toegewezen. Gebruik PIM om permanente roltoewijzingen JIT te converteren, roltoewijzing en activeringsvereisten aan te passen, en ook toegangsbeoordelingen te plannen.
Voorwaardelijke toegang dwingt verificatiesterkte, risiconiveau en compatibel PAW-apparaat (Privileged Access Workstation) af voor bevoegde toegang. Beheeracties in Microsoft Entra-id worden vastgelegd in de Microsoft Entra-auditlogboeken.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.4.1 Systeem implementeren en bevoegde gebruikers migreren Pt1DoD-organisaties kopen en implementeren een PAM-oplossing (Privileged Access Management) ter ondersteuning van alle kritieke gebruiksvoorbeelden met bevoegdheden. Integratiepunten van toepassingen/services worden geïdentificeerd om de status van ondersteuning voor de PAM-oplossing te bepalen. Toepassingen/services die eenvoudig kunnen worden geïntegreerd met de PAM-oplossing, worden overgezet naar het gebruik van oplossingen versus statische en directe machtigingen met bevoegdheden. Resultaten: - Pam-hulpprogramma's (Privilege Access Management) zijn geïmplementeerd - Toepassingen en apparaten die PAM-hulpprogramma's ondersteunen en die geen ondersteuning bieden voor geïdentificeerde PAM-hulpprogramma's - Toepassingen die PAM ondersteunen, gebruiken nu PAM voor het beheren van noodgevallen/ingebouwde accounts |
Privileged Identity Management Implementeer PIM om Microsoft Entra ID- en Azure-rollen te beveiligen. Gebruik PIM Discovery en Insights om bevoorrechte rollen en groepen te identificeren. Gebruik PIM om gedetecteerde bevoegdheden te beheren en gebruikerstoewijzingen te converteren van permanent naar in aanmerking komend. - PIM-overzicht - Detectie en inzichten voor rollen - Azure-resources Microsoft Intune Implementeer door Intune beheerde PAW voor Microsoft Entra, Microsoft 365 en Azure-beheer. - Strategie voor bevoegde toegang Voorwaardelijke toegang Gebruik beleid voor voorwaardelijke toegang om compatibele apparaten te vereisen. Als u PAW wilt afdwingen, gebruikt u apparaatfilters in het besturingselement voor het verlenen van apparaatcompatibiliteit voor voorwaardelijke toegang. - Filters voor apparaten |
Target
1.4.2 Systeem implementeren en bevoegde gebruikers migreren Pt2DoD-organisaties maken gebruik van de inventaris van ondersteunde en niet-ondersteunde toepassingen/services voor integratie met de PAM-oplossing (Privileged Access Management) om integraties uit te breiden. PAM is geïntegreerd met de uitdagendere toepassingen/services om de dekking van PAM-oplossingen te maximaliseren. Uitzonderingen worden beheerd in een methode op basis van risico's met het doel van migratie uit en/of buiten gebruik stellen van toepassingen/services die geen ONDERSTEUNING bieden voor PAM-oplossingen. Resultaat: - Geprivilegieerde activiteiten worden gemigreerd naar PAM en toegang wordt volledig beheerd |
Privileged Identity Management : gebruik privilege-toegangsgroepen en PIM voor groepen om Just-In-Time-toegang (JIT) uit te breiden buiten Microsoft Entra ID en Azure. Gebruik de beveiligingsgroepen in Microsoft 365, Microsoft Defender XDR of toegewezen aan bevoorrechte rolclaims voor niet-Microsoft-toepassingen die zijn geïntegreerd met Microsoft Entra-id. - Roltoewijzingsgroepen - Groepen in PIM brengen - Toewijzingen van gebruikers en groepen aan een app Met voorwaardelijke toegang worden beveiligde acties gebruikt om een andere beveiligingslaag toe te voegen wanneer beheerders acties uitvoeren waarvoor zeer bevoegde machtigingen zijn vereist in Microsoft Entra-id. Beheer bijvoorbeeld beleidsregels voor voorwaardelijke toegang en instellingen voor toegang tussen tenants. - Beveiligde acties Maak een beleid voor voorwaardelijke toegang voor gebruikers met een actief Microsoft Entra-rollidmaatschap. Verificatiesterkte vereisen: phishingbestendig MFA en compatibel apparaat. Gebruik apparaatfilters om compatibele PAW's te vereisen. - MFA vereisen voor beheerders - Filteren op apparaten |
Advanced
1.4.3 Realtime goedkeuringen & JIT/JEA Analytics Pt1Identificatie van de benodigde kenmerken (gebruikers, groepen, enzovoort) wordt geautomatiseerd en geïntegreerd in de PAM-oplossing (Privileged Access Management). Aanvragen voor toegangsrechten worden gemigreerd naar de PAM-oplossing voor automatische goedkeuringen en weigeringen. Resultaten: - Geïdentificeerde accounts, toepassingen, apparaten en gegevens van zorg (van grootste risico voor DoD-missie) - Pam-hulpprogramma's gebruiken, toegepaste JIT/JEA-toegang tot accounts met een hoog risico - Aanvragen voor bevoegde toegang worden naar wens geautomatiseerd |
Privileged Identity Mangement Identificeer rollen met een hoog risico in uw omgeving, zoals Microsoft Entra-rollen, Azure-rollen zoals Eigenaar en Beheerder voor gebruikerstoegang, ook bevoorrechte beveiligingsgroepen. - Aanbevolen procedures voor rollen - Bevoorrechte rollen Configureer PIM-rolinstellingen om goedkeuring te vereisen. - Azure-resourcerolinstellingen - Microsoft Entra-rolinstellingen - PIM voor groepen-instellingen Microsoft Entra ID-governance Gebruik toegangspakketten om beveiligingsgroepen te beheren om in aanmerking te komen voor rollen. Met dit mechanisme worden in aanmerking komende beheerders beheerd; hiermee worden selfserviceaanvragen, goedkeuringen en toegangsbeoordelingen toegevoegd voor geschiktheid voor rollen. - Rechtenbeheer Maak roltoewijzingsgroepen voor bevoorrechte rollen om geschiktheidsaanvragen en goedkeuringen te configureren. Maak een catalogus met de naam Bevoegde rol in aanmerking komende beheerders. Voeg roltoewijzingsgroepen toe als resources. - Roltoewijzingsgroepen - Resourcecatalogussen maken en beheren Maak toegangspakketten voor rollentoewijsbare groepen in de catalogus Met bevoorrechte rollen in aanmerking komende beheerderscatalogus. U kunt goedkeuring vereisen wanneer gebruikers in aanmerking komen voor rechtenbeheer, goedkeuring vereisen bij activering in PIM of beide. - Toegangspakketten |
Advanced
1.4.4 Realtime goedkeuringen & JIT/JEA Analytics Pt2DoD-organisaties integreren UEBA-oplossingen (User & Entity Behavior Analytics) en UAM-oplossingen (User Activity Monitoring) met de PAM-oplossing (Privileged Access Management) die gebruikerspatroonanalyses biedt voor besluitvorming. Resultaat: - UEBA of vergelijkbaar analysesysteem geïntegreerd met PAM-hulpprogramma's voor goedkeuringen van JIT/JEA-accounts |
Voorwaardelijke toegang Definieer een verificatiecontext voor bevoegde toegang. Maak een of meer beleidsregels voor voorwaardelijke toegang die gericht zijn op de context van de bevoegde toegangsverificatie. Gebruik risicovoorwaarden in het beleid en pas toekennings- en sessiebeheer toe voor bevoegde toegang. U wordt aangeraden verificatiesterkte te vereisen: phishingbestendige MFA, compatibel bevoegde toegangswerkstation. - Verificatiecontext configureren Zie microsoft-richtlijnen in 1.4.1. Als u bevoegde toegang wilt blokkeren wanneer het aanmeldingsrisico hoog is, maakt u meer beleidsregels voor voorwaardelijke toegang die gericht zijn op verificatiecontext met bevoorrechte toegang met een voorwaarde voor een hoog aanmeldingsrisico. Herhaal deze stap met een beleid voor een hoog gebruikersrisico. - Beleidsimplementatie Privileged Identity Management Configureer PIM-rolinstellingen om verificatiecontext te vereisen. Met deze instelling wordt beleid voor voorwaardelijke toegang afgedwongen voor de gekozen verificatiecontext bij het activeren van rollen. - Verificatiecontext vereisen |
1.5 Identiteitsfederatie en gebruikersreferenties
Microsoft Entra ID speelt een belangrijke rol in identiteitslevenscyclusbeheer (ILM). Een Microsoft Entra-tenant is een hyperscale clouddirectoryservice, identiteit, referentie- en toegangsbeheeroplossing (ICAM) en id-provider (IdP). Het biedt ondersteuning voor inrichting tussen mappen en app-inrichting om de levenscyclus van interne gebruikers in Microsoft Entra ID en andere apps te beheren.
Microsoft Entra ID-governance functies helpen u de toegangslevenscyclus te beheren voor rechten zoals apps, Microsoft Teams en lidmaatschap van beveiligingsgroepen. Rechtenbeheer kan ook worden gebruikt om externe gasten te onboarden en te beheren. U kunt de toegang blokkeren en objecten van gastgebruikers verwijderen wanneer hun laatste toegangspakket wordt verwijderd. Als u wilt weten hoe uw organisatie ILM-functies naar Microsoft Entra ID kan migreren, raadpleegt u Road to the cloud.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.5.1 Levenscyclusbeheer voor organisatieidentiteitenDoD-organisaties stellen een proces vast voor levenscyclusbeheer van gebruikers, zowel bevoegde als standaard. Door gebruik te maken van de IdP (Organizational Identity Provider) wordt het proces geïmplementeerd en gevolgd door het maximum aantal gebruikers. Gebruikers die buiten het standaardproces vallen, worden goedgekeurd via uitzonderingen op basis van risico's die regelmatig moeten worden geëvalueerd voor buiten bedrijf stellen. Resultaat: - Gestandaardiseerde identiteitslevenscyclusproces |
Microsoft Entra IDStandardize accountlevenscyclus voor identiteiten, waaronder gebruikers, beheerders, externe gebruikers en toepassingsidentiteiten (service-principals). - Identiteitslevenscyclusbeheer - Identiteits- en toegangsbeheerfuncties Etablish regelmatige toegangsbeoordelingen voor bevoegde gebruikers en toepassingen in een tenant. - |
Target
1.5.2 Enterprise Identity Life-Cycle Management Pt1DoD Enterprise werkt met organisaties om de bestaande identiteitslevenscyclusprocessen, het beleid en de standaarden te beoordelen en uit te lijnen. Een definitief overeengekomen beleid en ondersteuningsproces worden ontwikkeld en gevolgd door de DoD-organisaties. Door gebruik te maken van de gecentraliseerde of federatieve id-provider (IdP) en IdAM-oplossingen (Identity & Access Management), implementeren DoD-organisaties het proces voor levenscyclusbeheer van ondernemingen voor het maximum aantal identiteiten, groepen en machtigingen. Uitzonderingen op het beleid worden beheerd in een methode op basis van risico's. Resultaten: - Geautomatiseerde identiteitslevenscyclusprocessen - Geïntegreerd met Enterprise ICAM-proces en -hulpprogramma's |
Microsoft Entra ID Als uw organisatie Gebruikmaakt van Active Directory, synchroniseert u gebruikers met Microsoft Entra Connect Sync of Microsoft Entra Connect Cloud Sync. Opmerking: Synchroniseer geen bevoegde Active Directory-accounts of wijs bevoorrechte cloudrollen toe aan gesynchroniseerde accounts. - Connect Sync - Cloud Sync - Protect Microsoft 365 from on-premises attacks - Reduce attack surface area Privileged Identity Management Beheertoegang beheren met PIM. Stel een frequentie voor toegangsbeoordeling in voor bevoorrechte Microsoft Entra- en Azure-rollen. - Bevoegde accounts van Microsoft Entra-verificatiemethoden maken gebruik van phishingbestendige MFA-methoden in de cloud. Stel microsoft Entra-verificatie op basis van certificaten (CBA) in met DoD Common Access Cards (CAC's) om andere referenties zonder wachtwoord te registreren. Zie de Richtlijnen van Microsoft in 1.3.2. |
Advanced
1.5.3 Enterprise Identity Life-Cycle Management Pt2DoD-organisaties integreren de essentiële automatiseringsfuncties van de id-provider (IdP) en ICAM-oplossingen (Identity, Credential and Access Management) verder na het proces van Enterprise Lifecycle Management om enterprise-automatisering en -analyse mogelijk te maken. Primaire processen voor identiteitslevenscyclusbeheer worden geïntegreerd in de cloudgebaseerde Enterprise ICAM-oplossing. Resultaten: - Integratie met kritieke IDM-/IDP-functies - Primaire ILM-functies zijn gebaseerd op de cloud |
Microsoft Entra ID-governance Rechtenbeheer en toegangsbeoordelingen gebruiken om de levenscycluss van gebruikerstoegang van uw organisatie en de levenscyclus van externe gastidentiteiten te beheren. - Rechtenbeheer - beheerde identiteiten : beheerde identiteiten gebruiken voor Azure-resources en Workload-ID federatie om het risico op het beheren van toepassingsreferenties te verminderen. - Beheerbeleid voor beheerde identiteiten - voor workloadidentiteitsbeheer configureer app-beheerbeleid om de referentietypen te beheren die zijn toegevoegd aan toepassingen in uw tenant. Gebruik de beperking passwordAddition om certificaatreferenties voor toepassingen te vereisen. - App-methoden api-verificatiecertificaatreferenties - |
Advanced
1.5.4 Enterprise Identity Life-Cycle Management Pt3DoD-organisaties integreren resterende identiteitslevenscyclusbeheerprocessen met de oplossing Enterprise Identity, Credential and Access Management. Enclave-/DDIL-omgevingen terwijl ze nog steeds gemachtigd zijn om te werken met enterprise-ICAM met behulp van lokale connectors in de cloudomgeving. Resultaten: - Alle ILM-functies zijn naar behoren naar de cloud verplaatst- Integratie met alle IDM-/IDP-functies |
Microsoft Entra-app-inrichting: gebruik microsoft Entra-app-inrichting om identiteiten te synchroniseren met SCIM-, SQL-, LDAP-, PowerShell- en webservicestoepassingen. Gebruik de API-gestuurde app om gebruikers in te richten in verschillende Active Directory-exemplaren. - On-premises apps - inrichten voor het inrichten - van api-gestuurde inrichtings-app |
1.6 Gedrags-, contextuele id en biometrie
Microsoft Entra ID Protection helpt u bij het detecteren, herstellen en voorkomen van identiteitsbedreigingen met behulp van machine learning (ML) en bedreigingsinformatie. Met deze functie worden realtime risico's gedetecteerd tijdens het aanmelden van gebruikers en offlinerisico's die in de loop van de tijd worden berekend. Risico's zijn tokenafwijkingen, ongebruikelijke aanmeldingseigenschappen, onmogelijk reizen, verdacht gebruikersgedrag en meer.
Identiteitsbeveiliging is geïntegreerd met Microsoft Defender XDR om identiteitsrisico's weer te geven die zijn gedetecteerd door andere onderdelen in de Microsoft Defender-productfamilie.
Zie Wat zijn risicodetecties voor meer informatie?
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.6.1 Analyse van gebruikers- en entiteitsgedragimplementeren(UEBA) en UAM-hulpprogramma's (User Activity Monitoring) voor DoD-organisaties kopen en implementeren UEBA- en UAM-oplossingen (User Activity Monitoring). Het initiële integratiepunt met Enterprise IdP is voltooid, waardoor toekomstig gebruik mogelijk is bij het nemen van beslissingen. Resultaat: - UEBA- en UAM-functionaliteit is geïmplementeerd voor Enterprise IDP |
Microsoft Entra ID Protection Implementeer Microsoft Entra ID Protection om realtime en offline risicobezitnemingen te krijgen voor gebruikers en aanmeldingsgebeurtenissen. Breid identiteitsrisicodetecties uit naar toepassingsidentiteiten (Service Principals) met behulp van Microsoft Entra Workload-ID, Workload Identities Premium Edition. - Implementeer Defender voor Cloud Apps en configureer integraties met Microsoft Defender voor Eindpunt en externe oplossingen. Beleid voor anomaliedetectie configureren in Defender voor Cloud Apps. - - Onboard-eindpunten voor Defender voor Eindpunt. Configureer integraties tussen Defender voor Eindpunt en Microsoft Intune. - Defender voor Eindpunt en andere oplossingen Microsoft Intune Configureer integraties met Defender voor Eindpunt en gebruik de risicoscore van Defender voor Eindpunt-machines in uw nalevingsbeleid voor apparaten. - Defender for Endpoint-regels voor voorwaardelijke toegang Maken beleid voor voorwaardelijke toegang om compatibele apparaten te vereisen. Voordat toegang wordt verleend, is voor het besturingselement een apparaat vereist dat is gemarkeerd als compatibel in Microsoft Intune. Integratie tussen Defender voor Eindpunt en Intune biedt een algemeen beeld van de apparaatstatus en het risiconiveau op basis van de nalevingsstatus. - Nalevingsbeleid voor het instellen van regels voor inune beheerde apparaten Connect-gegevensbronnen naar Sentinel en het inschakelen van UEBA voor auditlogboeken, aanmeldingslogboeken, Azure-activiteiten en beveiligingsgebeurtenissen. - - |
Advanced
1.6.2 Bewaking van gebruikersactiviteiten Pt1DoD-organisaties integreren UEBA-oplossingen (User & Entity Behavior Analytics) en UAM-oplossingen (User Activity Monitoring) met IdP (Organizational Identity Providers) voor uitgebreide zichtbaarheid, indien nodig. Analyse en gegevens die worden gegenereerd door UEBA en UAM voor kritieke toepassingen en services, worden geïntegreerd met de Just-In-Time- en Just-Enough-Access-oplossing om de besluitvorming verder te verbeteren. Resultaten: - UEBA is geïntegreerd met organisatie-ID's indien van toepassing - UEBA is geïntegreerd met JIT/JEA voor kritieke services |
Privileged Identity Management implementeer PIM en onboard bevoorrechte rollen. Verificatiecontext definiëren voor bevoegde toegang. Gebruik risicovoorwaarden in de verificatiecontext en configureer PIM-rolinstellingen om verificatiecontext te vereisen bij activering. Zie de Richtlijnen van Microsoft in 1.4.4. Microsoft Sentinel Connect-gegevensbronnen naar Sentinel en schakel UEBA in voor auditlogboeken, aanmeldingslogboeken, Azure-activiteiten en beveiligingsgebeurtenissen. - Schakel UEBA - bewaken en beheren voor cloudtoepassingen met Defender voor Cloud Apps. - |
Advanced
1.6.3 Bewaking van gebruikersactiviteiten Pt2DoD-organisaties blijven het analysegebruik van UEBA-oplossingen (User & Entity Behavior Analytics) en UAM (User Activity Monitoring) voortzetten met behulp van gegenereerde gegevens voor alle bewaakte toepassingen en services wanneer besluitvorming plaatsvindt in de Just-In-Time- en Just-Enough-Access-oplossing. Resultaat: - UEBA/Entity Monitoring is geïntegreerd met JIT/JEA voor alle services |
Privileged Identity Management Gebruik PIM voor groepen om Just-In-Time -toegang (JIT) tot toepassingen uit te breiden met behulp van app-rollen. Wijs groepen, beheerd door PIM, toe aan de bevoorrechte app-rollen. - PIM voor groepen - app-rollen toevoegen aan een app |
1.7 Toegang met minimale bevoegdheden
Toegang tot toepassingen met behulp van Microsoft Entra ID is standaard geweigerd. Microsoft Entra ID-governance functies, zoals rechtenbeheer en toegangsbeoordelingen, zorgen ervoor dat de toegang tijdsgebonden is, is afgestemd op het principe van minimale bevoegdheden en dwingt controles af voor scheiding van taken.
Gebruik ingebouwde Rollen van Microsoft Entra om machtigingen voor minimale bevoegdheden per taak toe te wijzen. Met beheereenheden kunt u machtigingen op basis van resources instellen voor gebruikers en apparaten van Microsoft Entra ID.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.7.1 Gebruiker weigeren door standaardbeleidDoD-organisaties controleren het gebruik van interne gebruikers en groepen op machtigingen en trekken waar mogelijk machtigingen in. Deze activiteit omvat het intrekken en/of buiten gebruik stellen van overtollige machtigingen en toegang voor identiteiten en groepen op basis van toepassingen/services. Waar mogelijk statische bevoegde gebruikers buiten gebruik worden gesteld of beperkte machtigingen die zich voorbereiden op toekomstige toegang op basis van regels/dynamische toegang. Resultaten: - Toepassingen die standaard worden geweigerd voor functies/gegevens waarvoor specifieke rollen/kenmerken nodig zijn voor toegang - Gereduceerde standaardmachtigingenniveaus worden geïmplementeerd - Toepassingen/services hebben alle bevoegde gebruikers beoordeeld/gecontroleerd en verwijderd die gebruikers die dat toegangsniveau niet nodig hebben |
Microsoft Entra ID Controleer en beperk standaardmachtigingen voor gebruikers en gasten in Microsoft Entra-id. Beperk gebruikerstoestemming tot toepassingen en controleer de huidige toestemming in uw organisatie. - Microsoft Entra ID controleert rechten en past beleid voor voorwaardelijke toegang toe om toegang tot resources te autoriseren. - Integratie van apps - integreren Microsoft Entra ID-governance Gebruik de functie rechtenbeheer voor identiteitsbeheer om identiteits- en toegangslevenscycli te beheren. Zoek geautomatiseerde werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en vervaldatum. - Rechtenbeheer - controleert aangepaste rollen Gebruik ingebouwde rollen van Microsoft Entra-id voor resourcebeheer. Als rollen echter niet voldoen aan de behoeften van de organisatie of als u bevoegdheden voor uw gebruikers met beheerdersrechten wilt minimaliseren, maakt u een aangepaste rol. Verken aangepaste rollen gedetailleerde machtigingen voor het beheren van gebruikers, groepen, apparaten, toepassingen en meer. - Aangepaste rollen Beheereenheden Een beheereenheid is een Microsoft Entra-resource die andere Microsoft Entra-resources bevat, zoals gebruikers, groepen of apparaten. Gebruik beheereenheden om machtigingen te delegeren aan een subset van beheerders, op basis van de organisatiestructuur. - Beheereenheden Beperkte beheereenheden - - Maken of verwijderen beheereenheden Privileged Identity Mangement Gebruik PIM Discovery and Insights om bevoegdheden te beheren en het aantal beheerders te verminderen. CONFIGUREER PIM-waarschuwingen wanneer bevoorrechte rollen buiten PIM worden toegewezen. - Onderzoek riskante OAuth-toepassingen in Defender voor Cloud Apps. - Controleer machtigingen die zijn verleend aan apps - Pim gebruiken om Azure-rollen toe te wijzen voor Sentinel-toegang en periodiek query's en activiteiten te controleren. |
1.8 Continue verificatie
Microsoft Entra ID maakt gebruik van tokens met korte en lange levensduur om gebruikers periodiek te verifiëren bij toepassingen en services die door Microsoft Entra worden beveiligd. Microsoft Entra ID heeft het CAE-mechanisme (Continuous Access Evaluation) om het standaardprotocol te verbeteren. De beleidsengine reageert op omgevingswijzigingen in bijna realtime en dwingt adaptief toegangsbeleid af.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.8.1 Enkele verificatieDoD-organisaties maken gebruik van basisverificatieprocessen om gebruikers en NPE's ten minste één keer per sessie te verifiëren (bijvoorbeeld aanmelden). Belangrijk dat gebruikers die worden geverifieerd, worden beheerd door de parallelle activiteit 'Organisatie-MFA/IDP' met de IdP (Organizational Identity Provider) versus het gebruik van identiteiten en groepen op basis van toepassingen/services. Resultaat: - Verificatie geïmplementeerd in toepassingen per sessie |
Microsoft Entra IDMicrosoft Entra ID is een gecentraliseerde id-provider (IdP) waarmee eenmalige aanmelding (SSO) tussen Microsoft-cloudtoepassingen en toepassingen die uw organisatie gebruikt, mogelijk maakt. - Met de verificatiemethode voor eenmalige aanmeldingvan Microsoft Entra ID Kunnen gebruikers hun Microsoft Entra ID-referenties gebruiken om toepassingen en services te verifiëren. De apps kunnen SaaS, aangepaste Line-Of-Business-toepassingen of on-premises toepassingen zijn. Gebruik Microsoft Entra-verificatie en Zero Trust-mogelijkheden om veilige en eenvoudige toegang tot toepassingen mogelijk te maken. - Wat is eenmalige aanmelding? - Microsoft Entra-integraties met verificatieprotocollen microsoft Entra-app-inrichting van Microsoft Entra-apps maakt, werkt en verwijdert gebruikers, rollen en groepen in SaaS-toepassingen en aangepaste of on-premises toepassingen. Gebruik Microsoft Entra-id als de gecentraliseerde identiteitsbron voor apps. Minimaliseer toepassings- of service-id's en gebruikers. - Automatische inrichting van app-inrichting van - Microsoft Entra ID Workload Service Principals en beheerde identiteiten zijn NPE-identiteiten (nonperson entity) in Microsoft Entra. Gebruik service-principals voor geautomatiseerde (niet-interactieve) toegang tot API's die worden beveiligd door Microsoft Entra. - - Service-principals voor workloadidentiteiten in Microsoft Entra-id |
Target
1.8.2 Periodieke verificatieDoD-organisaties schakelen periodeverificatievereisten voor toepassingen en services in. Deze zijn traditioneel gebaseerd op time-outs voor duur en/of duur, maar andere op perioden gebaseerde analyses kunnen worden gebruikt om opnieuw verificatie van gebruikerssessies te verplichten. Resultaat: - Verificatie is meerdere keren per sessie geïmplementeerd op basis van beveiligingskenmerken |
Microsoft Entra-toepassingen Microsoft Entra-toepassingen beheren automatisch sessievernieuwing zonder tussenkomst van de gebruiker. Zie de Richtlijnen van Microsoft in 1.8.1. Voorwaardelijke toegang Configureer het sessiebeheer voor aanmeldingsfrequentie in Voorwaardelijke toegang om gebruikerssessies opnieuw te verifiëren. Gebruik de functie wanneer aanmeldingen riskant zijn of als een gebruikersapparaat onbeheerd of niet-compatibel is. - Toegangsbeleid voor verificatiesessies - configureren in Defender voor Cloud Apps |
Advanced
1.8.3 Continue verificatie pt1DoD Organizations's toepassingen/service maken gebruik van meerdere sessieverificaties op basis van beveiligingskenmerken en toegang aangevraagd. Voor wijzigingen in bevoegdheden en aanvragen voor koppelingstransacties zijn extra verificatieniveaus vereist, zoals Multi-Factor Authentication (MFA) die naar gebruikers worden gepusht. Resultaat: - Transactieverificatie geïmplementeerd per sessie op basis van beveiligingskenmerken |
Cae voor continue toegangsevaluatie is gebaseerd op een OpenID-standaard waarmee het verloop van tokens op basis van tijd en vernieuwingsmechanismen wordt verbeterd om een timelier antwoord te krijgen op beleidsschendingen. CAE vereist een nieuw toegangstoken als reactie op kritieke gebeurtenissen, zoals een gebruiker die overstapt van een vertrouwde netwerklocatie naar een locatie die niet wordt vertrouwd. Implementeer CAE met clienttoepassingen en de back-endservice-API's. - Evaluaties van kritieke gebeurtenissen voor continue toegangsevaluaties - van Microsoft Office-app licaties die gebruikmaken van Microsoft Graph API, Outlook Online-API en SharePoint Online-API ondersteunen CAE. Ontwikkel toepassingen met de nieuwste Microsoft Authentication Libraries (MSAL) voor toegang tot API's met CAE-functionaliteit. - CAE voor MET MICROSOFT 365 - Definiëren en gebruiken de context voor verificatie van voorwaardelijke toegang om gevoelige SharePoint-sites, Microsoft Teams, beveiligde apps Microsoft Defender voor Cloud Apps, activering van PIM-rollen en aangepaste toepassingen te beveiligen. Beveiligde acties gebruiken om een andere beveiligingslaag toe te voegen wanneer beheerders acties uitvoeren waarvoor zeer bevoegde machtigingen zijn vereist Microsoft Entra ID, zoals het beheren van beleid voor voorwaardelijke toegang en instellingen voor toegang tussen tenants. Beveilig gebruikersacties zoals het registreren van beveiligingsgegevens en het toevoegen van apparaten. - Beveiligde acties - Vereisen verificatiecontext voor pim-rolactivering. Zie de Richtlijnen van Microsoft in . |
Advanced
1.8.4 Continue verificatie Pt2DoD-organisaties blijven het gebruik van op transacties gebaseerde verificatie gebruiken om integratie zoals gebruikerspatronen op te nemen. Resultaat: - Transactieverificatie geïmplementeerd per sessie op basis van beveiligingskenmerken, inclusief gebruikerspatronen |
Microsoft Entra ID Protection wanneer Microsoft Entra ID Protection afwijkend, verdacht of riskant gedrag detecteert, neemt het risiconiveau van de gebruiker toe. Maak beleid voor voorwaardelijke toegang met behulp van risicovoorwaarden, waardoor de beveiliging wordt verhoogd met het risiconiveau. - Risicodetecties Zie de richtlijnen van Microsoft in 1.3.3. Verhoging van risiconiveau voor continue toegangsevaluatie is een kritieke CAE-gebeurtenis. Services die CAE implementeren, bijvoorbeeld Exchange Online-API, vereisen dat de client (Outlook) opnieuw wordt geverifieerd voor de volgende transactie. Beleid voor voorwaardelijke toegang voor het verhoogde risiconiveau wordt voldaan voordat Microsoft Entra ID een nieuw toegangstoken voor Exchange Online-toegang uitgeeft. - Evaluatie van kritieke gebeurtenissen |
1.9 Geïntegreerd ICAM-platform
Microsoft Entra ID ondersteunt certificaatverificatie met certificaten die zijn uitgegeven door een externe PKI (Public Key Infrastructure) voor gebruikers- en niet-persoonlijke entiteiten (NPE). NPE's in Microsoft Entra ID zijn toepassings- en apparaatidentiteiten. Microsoft Entra Externe ID instellingen voor toegang tussen tenants helpen multitenant-organisaties, zoals de DoD, naadloos samen te werken tussen tenants.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
1.9.1 Enterprise PKI/IDP Pt1De DoD Enterprise werkt samen met organisaties om PKI-oplossingen (Enterprise Public Key Infrastructure) en IdP (Identity Provider) op gecentraliseerde en/of federatieve wijze te implementeren. De Enterprise PKI-oplossing maakt gebruik van één of een set basiscertificeringsinstanties op ondernemingsniveau die vervolgens kunnen worden vertrouwd door organisaties om tussenliggende CA's af te bouwen. De identiteitsprovideroplossing kan één oplossing zijn of een federatieve set organisatie-id's met standaardtoegangsniveau in organisaties en gestandaardiseerde set kenmerken. De id's en PKI-certificeringsinstanties van organisaties zijn geïntegreerd met de Enterprise IdP- en PKI-oplossingen. Resultaten: - Onderdelen gebruiken IdP met MFA voor alle toepassingen/services - Organisatie-MFA/PKI geïntegreerd met Enterprise MFA/PKI - Gestandaardiseerde PKI voor alle services |
Verificatiemethoden voor Microsoft Entra ID gebruiken het beleid voor verificatiemethoden in Microsoft Entra ID om methoden voor gebruikersverificatie te beheren. - Microsoft Entra CBA Zie Microsoft-richtlijnen in 1.3.1. Verificatiesterkte Gebruik verificatiesterkte om gebruikerstoegang tot resources te beheren. - Verificatiesterkte Microsoft Entra Externe ID Configure cross-tenant access for DoD Microsoft Entra ID tenants. Gebruik vertrouwensinstellingen om MFA en compatibele apparaatclaims voor externe identiteiten van vertrouwde DoD-tenants te accepteren. - Toepassingsbeheerbeleid voor meerdere tenants . Het beleid voor tenant-app-beheer is een framework voor het implementeren van aanbevolen beveiligingsprocedures voor toepassingen in de tenant. Gebruik het beleid om toepassingsreferenties te beperken tot certificaten die zijn uitgegeven door een vertrouwde PKI. Als u een certificaatketen van vertrouwen wilt maken, voegt u een nieuwe certificeringsinstantieverzameling toe aan tussenliggende en basis-CA-certificaten voor uw enterprise PKI. - certificateBasedApplicationConfiguration-resourcetype Om een toepassingsbeheerbeleid te maken om certificaten te vereisen die zijn uitgegeven door vertrouwde CA's, configureert u beperkingen voor het weigeren van passwordAddition en vereist trustedCertificateauthority. Geef de vertrouwde CA-verzamelings-id op die u hebt gemaakt. - Api voor app-verificatiemethoden ondersteunt PKCS-certificaten (private en public-key cryptography standards). - |
Advanced
1.9.2 Enterprise PKI/IDP Pt2DoD-organisaties schakelen biometrische ondersteuning in de IdP (Identity Provider) in voor bedrijfskritieke toepassingen en services, indien van toepassing. Biometrische functionaliteit wordt verplaatst van organisatieoplossingen naar de onderneming. MFA (Organizational Multi-Factor) en PKI (Public Key Infrastructure) wordt buiten gebruik gesteld en naar de onderneming gemigreerd, indien van toepassing. Resultaten: - Essentiële organisatieservices geïntegreerd w/ Biometrie - Organisatie MFA/PKI buiten bedrijf stellen, indien van toepassing in plaats van enterprise MFA/PKI - Enterprise Biometric Functions geïmplementeerd |
Microsoft Entra IDMicrosoft ondersteunt biometrie in verschillende onderdelen die compatibel zijn met Microsoft Entra ID-verificatie. Verificatiemethoden microsoft Entra ID ondersteunt hardwarewachtwoordsleutels (FIDO2-beveiligingssleutels) die gebruikmaken van aanwezigheid of vingerafdruk. - FIDO-beveiligingssleutels Windows Hello voor Bedrijven maakt gebruik van biometrische gebaren zoals vingerafdruk- en gezichtsscans. hebben biometrische gegevens, zoals Touch ID, om u aan te melden met een apparaatgebonden referentie.- Mobile-apparaten en Authenticator gebruiken aanraking en gezicht voor verificatie zonder wachtwoord. Ondersteuning voor wachtwoordsleutels is een andere phishingbestendige verificatiemethode in Authenticator. - Verificator-aanmelding - zonder wachtwoord - verbeterde phishing-bestendige verificatie |
Advanced
1.9.3 Enterprise PKI/IDP Pt3DoD-organisaties integreren de resterende toepassingen/services met biometrische functies. Alternatieve MFA-tokens (Multi-Factor) kunnen worden gebruikt. Resultaat: - Alle organisatieservices integreren met biometrie |
Microsoft Entra geverifieerde ID Decentralized identity scenarios using Verified ID can require face verification upon credential presentation. - Gefified ID - Face Check |
Volgende stappen
Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie: