Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ujednolicony dostawca tożsamości ma kluczowe znaczenie dla efektywnego zarządzania dostępem; Gwarantuje to, że użytkownicy i jednostki mają odpowiedni dostęp do zasobów bez nadmiernych uprawnień. Integrowanie rozwiązań do zarządzania tożsamościami, poświadczeniami i dostępem umożliwia tworzenie silnego uwierzytelniania, dostosowanej autoryzacji opartej na kontekście i oceny ryzyka tożsamości.
Urząd Zarządzania i Budżetu (OMB) Memorandum-22-09, wydany w celu wsparcia Executive Order 14028: Improving the Nation's Cybersecurity, nakazuje agencjom federalnym korzystać ze scentralizowanych systemów zarządzania tożsamościami dla swoich użytkowników. Systemy te mogą integrować się z aplikacjami i typowymi platformami, zapewniając ujednolicone podejście do zarządzania tożsamościami. To wymaganie jest częścią strategii Zero Trust, która zwiększa cyberbezpieczeństwo i prywatność danych. Zalecamy konsolidację dostawców tożsamości, magazynów tożsamości i systemów zarządzania tożsamościami przez wdrożenie Microsoft Entra ID jako dostawcy tożsamości.
Aby uzyskać więcej informacji, zobacz Spełnij wymagania tożsamości M-22-09 za pomocą Microsoft Entra ID.
Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.
- Wprowadzenie
- Tożsamość
- Urządzenia
- Networks
- aplikacje i obciążenia
- Data
1 Tożsamość
Ta sekcja zawiera wskazówki i zalecenia dotyczące modelu CISA Zero Trust Maturity Model w filarze tożsamości. Agencja zabezpieczeń infrastruktury cyberbezpieczeństwa & (CISA) identyfikuje tożsamość jako atrybut lub zestaw atrybutów, który jednoznacznie opisuje użytkownika lub jednostkę agencji, w tym jednostki niebędące personifikacją. Aby dowiedzieć się więcej, zobacz Zabezpieczanie tożsamości przy użyciu Zero Trust.
1.1 Funkcja: Uwierzytelnianie
| opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Początkowy stan dojrzałości Przedsiębiorstwo uwierzytelnia tożsamość przy użyciu uwierzytelniania wieloskładnikowego, które może obejmować hasła jako jeden czynnik i wymaga weryfikacji wielu atrybutów jednostki (np. lokalizacja lub aktywność). |
Microsoft Entra ID Zbuduj podstawę tożsamości poprzez konsolidowanie dostawców tożsamości, umieszczając Microsoft Entra ID na ścieżce każdego żądania dostępu. Podczas identyfikowania i migrowania aplikacji do identyfikatora Entra firmy Microsoft zaimplementuj zasady, które wymagają integracji nowych aplikacji z identyfikatorem Entra firmy Microsoft. Ta akcja gwarantuje, że zasady zabezpieczeń, takie jak uwierzytelnianie wieloskładnikowe (MFA) i walidacja atrybutów jednostki, są stosowane spójnie w celu uzyskania dostępu do zasobów przedsiębiorstwa. W ciągu 2024–2025 r. firma Microsoft wprowadza wymuszanie uwierzytelniania wieloskładnikowego dla portali administracyjnych. Firma Microsoft zaleca, aby konta korzystały z uwierzytelniania wieloskładnikowego. - Migrowanie aplikacji i uwierzytelniania do usługi Microsoft Entra ID - Obowiązkowe uwierzytelnianie wieloskładnikowe Microsoft Entra - zabezpieczanie tożsamości przy użyciu modelu Zero Trust metody uwierzytelniania Microsoft Entra Włączanie metod uwierzytelniania wieloskładnikowego dozwolonego przez przedsiębiorstwo przy użyciu ustawień zasad w usłudze Microsoft Entra. Włącz metody, które użytkownicy wybierają lub używają podczas logowania. - Zarządzanie metodami uwierzytelniania - omówienie usługi Microsoft Entra MFA Microsoft Entra Conditional Access Tworzenie zasad dostępu warunkowego w celu wymagania uwierzytelniania wieloskładnikowego dla wszystkich aplikacji w chmurze. Każda metoda uwierzytelniania wieloskładnikowego spełnia wymóg "wymagaj uwierzytelniania wieloskładnikowego" w Dostępie warunkowym. Uwzględnij walidację wielu atrybutów jednostki, takich jak lokalizacja i aktywność. Użyj kierowania aplikacji i warunków sieciowych. - Włącz uwierzytelnianie wieloskładnikowe - aplikacje w chmurze, akcje i uwierzytelnianie w Politykach Dostępu Warunkowego - sieć w polityce Dostępu Warunkowego Microsoft Entra External ID Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników, w tym gości zewnętrznych. Skonfiguruj ustawienia zaufania dostępu między dzierżawami, aby ulepszyć środowisko współpracy partnera. dostęp między dzierżawami na potrzeby współpracy B2B |
|
Zaawansowany stan dojrzałości Enterprise zaczyna uwierzytelniać wszystkie tożsamości przy użyciu uwierzytelniania wieloskładnikowego odpornego na phishing i atrybutów, w tym początkowej implementacji uwierzytelniania wieloskładnikowego bez hasła za pośrednictwem FIDO2 lub PIV. |
Microsoft Entra ID Migruj bieżące aplikacje, aby używać Microsoft Entra ID jako dostawcy tożsamości (IdP). Wymagaj integracji z identyfikatorem Entra firmy Microsoft dla nowych aplikacji. Uwzględnij aplikacje korzystające ze starszych protokołów uwierzytelniania z serwerem proxy aplikacji Firmy Microsoft Entra. Migrowanie do chmury i uwierzytelniania zarządzanego z federacyjnych dostawców tożsamości przy użyciu wdrożenia etapowego. Te akcje zapewniają spójne stosowanie uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji w celu uzyskania dostępu do zasobów przedsiębiorstwa. - Migrate apps and auth to Microsoft Entra ID - Microsoft Entra app gallery - Microsoft Entra application proxy to publish on-premises apps - Cloud authentication with Staged Rollout Conditional Access Skonfiguruj mocne strony dostępu warunkowego, aby wymagać odpornego na phishing uwierzytelniania wieloskładnikowego (MFA), w tym bez hasła uwierzytelnianie wieloskładnikowe, takie jak Fast IDentity Online 2 (FIDO2), lub uwierzytelnianie oparte na certyfikatach (CBA) z kartami weryfikacji tożsamości osobistej (PIV). mocne strony uwierzytelniania Microsoft Entra metody uwierzytelniania firmy Microsoft Entra Implementowanie zasad uwierzytelniania przy użyciu metod odpornych na wyłudzanie informacji, takich jak klucze dostępu w aplikacji Microsoft Authenticator, Microsoft Entra CBA, Windows Hello dla firm i passkeys. Zobacz również klucze zabezpieczeń FIDO2. Aby przejść użytkowników z nieodpornej na phishing wieloskładnikowej metody uwierzytelniania, wyklucz ich ze słabszych metod uwierzytelniania. - metody uwierzytelniania - Microsoft Entra CBA - logowanie kluczem bezpieczeństwa bez hasła - Passkeys w aplikacji Authenticator - Windows Hello dla firm - wymagania MFA M-22-09 Microsoft Entra External ID Konfigurowanie zasad dostępu między dzierżawami w celu zaufania uwierzytelnianiu wieloskładnikowemu od partnerów. Umożliw użytkownikom zewnętrznym używać metod uwierzytelniania odpornych na wyłudzanie informacji, aby uzyskać dostęp do zasobów. dostęp między dzierżawcami dla B2B |
|
Optymalny Stan Dojrzałości Przedsiębiorstwo stale weryfikuje tożsamość przy użyciu uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji, nie tylko przy początkowym udzieleniu dostępu. |
zasady dostępu warunkowego zasady dostępu warunkowego są stale oceniane podczas całkowitej sesji użytkownika. Skonfiguruj kontrole sesji, aby zwiększyć wymaganą częstotliwość logowania w określonych warunkach, na przykład gdy użytkownik lub logowanie są wykrywane jako ryzykowne w usłudze Microsoft Entra ID Protection. Kontrole sesji Ciągła ewaluacja dostępu Włącz ciągłą ewaluację dostępu (CAE) w przypadku zdarzeń krytycznych i walidacji dostępu niemal w czasie rzeczywistym. - Interfejsy API z obsługą CAE - CAE dla platformy Microsoft 365 - Interfejsy API z obsługą CAE w aplikacjach |
1.2 Funkcja: Magazyny tożsamości
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise ma kombinację magazynów tożsamości zarządzanych samodzielnie i hostowanych magazynów tożsamości (np. chmury lub innego przedsiębiorstwa) z minimalną integracją między magazynami (np. logowanie jednokrotne). |
Microsoft Entra ID Przedsiębiorstwa mogą mieć aplikacje zintegrowane z wieloma magazynami tożsamości i/lub dostawcami tożsamości (IdP). Skonsoliduj i przyjmij Microsoft Entra ID jako dostawcę tożsamości przedsiębiorstwa. Planowanie przyjęcia rozwiązań chmurowych i redukcji zależności od lokalnych magazynów tożsamości. - Przenieś tożsamości i dostęp do Microsoft Entra ID - Migruj aplikacje i uwierzytelnianie do Microsoft Entra ID Tworzenie inwentaryzacji aplikacji, użytkowników, grup i urządzeń. Mają dokładną liczbę magazynów tożsamości. Uwzględnij magazyny tożsamości lub dostawców usług tożsamości, takich jak Active Directory Federation Services (AD FS) lub dostawców usług tożsamości innych firm. Aby zapewnić spójną aktualizację atrybutów użytkowników, grup i urządzeń na różnych platformach, zsynchronizuj tożsamości między lokalnymi usługami Active Directory Domain Services (AD DS) i identyfikatorem Entra firmy Microsoft. - Microsoft Entra Connect Sync - Microsoft Entra Cloud Sync - logowanie jednokrotne (SSO) - migracja aplikacji do usługi Microsoft Entra ID - integracje Microsoft Entra z protokołami uwierzytelniania Microsoft Intune Microsoft Entra zsynchronizowane z hybrydą urządzenia przyłączone do bieżącej domeny AD DS. Aby zmodernizować zarządzanie urządzeniami, unikaj dołączania nowych stacji roboczych do domeny. Zarządzanie urządzeniami za pomocą usługi Microsoft Intune. - Podejście oparte na chmurze - Urządzenia dołączone hybrydowo - SSO do zasobów lokalnych z dołączonymi urządzeniami - Microsoft Intune |
|
zaawansowany stan dojrzałości Enterprise zaczyna bezpiecznie konsolidować i integrować niektóre magazyny tożsamości zarządzane samodzielnie i hostowane. |
Microsoft Entra ID Przedsiębiorstwo przyjęło Microsoft Entra ID jako repozytorium tożsamości i dostawcę tożsamości (IdP). Nowe aplikacje integrują się z identyfikatorem Entra firmy Microsoft. W przypadku migracji utwórz spis bieżących aplikacji, które nie są zintegrowane z identyfikatorem Entra firmy Microsoft. Starsze aplikacje, które nie obsługują nowoczesnego uwierzytelniania, mogą używać bezpiecznego dostępu hybrydowego (SHA) Microsoft Entra ID z serwerem proxy aplikacji Microsoft Entra. Aby korzystać z nowoczesnych protokołów uwierzytelniania, zastąp, zrefaktoryzuj lub ponownie skonfiguruj aplikacje. - galerii aplikacji Microsoft Entra - Migruj aplikacje i uwierzytelnianie do Microsoft Entra ID |
|
Optymalny stan dojrzałości Przedsiębiorstwo bezpiecznie integruje swoje magazyny tożsamości u wszystkich partnerów i w środowiskach, jak to jest stosowne. |
Migracja aplikacji Microsoft Entra ID do Microsoft Entra ID została ukończona. Dostęp do zasobów przedsiębiorstwa wymaga uwierzytelniania przy użyciu identyfikatora Entra firmy Microsoft. Identyfikator zewnętrzny firmy Microsoft Włącz bezpieczną współpracę z identyfikatorem zewnętrznym. Skonfiguruj synchronizację międzydzierżawową, aby zmniejszyć obciążenie administracyjne IT. Zapewnianie bezproblemowych i zautomatyzowanych środowisk użytkownika. - Identyfikator zewnętrzny - Synchronizacja między dzierżawcami w usłudze Microsoft Entra ID Udostępnianie aplikacji Microsoft Entra Dla aplikacji z magazynami tożsamości skonfiguruj udostępnianie aplikacji, aby zarządzać tożsamościami i rolami. - aprowizacja aplikacji - aprowizacja aplikacji lokalnych - konfigurowanie aplikacji aprowizacji opartej na interfejsie API - serwera proxy aplikacji Microsoft Entra do publikowania aplikacji lokalnych wejściowej aprowizacji Microsoft Entra HR modernizacja z wykorzystaniem aprowizacji tożsamości opartej na HR. Tworzenie tożsamości cyfrowych na podstawie systemu HR, autorytatywnego źródła dla nowych tożsamości cyfrowych. Często to na tym etapie rozpoczyna się zaopatrzenie. Użyj Microsoft Entra z lokalnymi systemami HR, aby tworzyć i aktualizować użytkowników w usłudze Active Directory lub w Microsoft Entra ID. aprowizacji opartej na HR Microsoft 365 dla przedsiębiorstw Użyj funkcji organizacji wielodostępnej w Microsoft Entra ID i Microsoft 365, aby utworzyć grupę dzierżaw i usprawnić współpracę między dzierżawami wewnątrz organizacji. Organizacje wielodostępne w usłudze Microsoft Entra ID i Microsoft 365 umożliwiają ujednolicone środowisko wyszukiwania osób, globalną listę adresów (GAL) oraz ulepszone współpracy usługi Microsoft Teams w wielu dzierżawach. - możliwości organizacji wielodostępnych - organizacji wielodostępnych na platformie Microsoft 365 |
1.3 Funkcja: oceny ryzyka
| Opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Przedsiębiorstwo określa ryzyko związane z tożsamością przy użyciu metod ręcznych i reguł statycznych w celu zapewnienia widoczności. |
Przedsiębiorstwa mogą ręcznie przeglądać zdarzenia zabezpieczeń i bazowe konfiguracje. Microsoft Entra ID Użyj dzienników Microsoft Entra, aby ocenić aspekty dzierżawy Microsoft Entra. Identyfikator Entra firmy Microsoft ma opcje uzyskiwania dostępu do danych i raportów dziennika aktywności w różnych scenariuszach. - Przesyłaj strumieniowo dzienniki aktywności, aby zintegrować narzędzia - Dzienniki aktywności z interfejsem API Microsoft Graph - Integrowanie dzienników aktywności - Dzienniki aktywności i raporty w czasie rzeczywistym z Sentinel - Dzienniki aktywności i raporty w portalu Azure - Eksportowanie dzienników aktywności na potrzeby przechowywania i zapytań Konfigurowanie ustawień diagnostycznych w Microsoft Entra ID, aby zintegrować dzienniki z Azure Monitor. Przesyłaj strumieniowo dzienniki do huba zdarzeń lub archiwizuj dzienniki na koncie przechowywania. ustawienia diagnostyczne |
|
zaawansowany status dojrzałości
Enterprise określa ryzyko związane z tożsamością za pomocą częściowo zautomatyzowanej analizy oraz dynamicznych reguł, aby informować o decyzjach dotyczących dostępu i działaniach odpowiedzi.
|
Microsoft Entra ID Protection
Konfiguracja zasad dostępu warunkowego opartych na ryzyku firmy Microsoft Entra dla użytkowników i ryzyka logowania. Skonfiguruj zasady dostępu warunkowego z działaniami odpowiedzi na podstawie oceny wpływu użytkownika. Na przykład, w sytuacji wysokiego ryzyka związanego z użytkownikiem i logowaniem: zablokowanie dostępu lub skonfigurowanie kontroli częstotliwości sesji logowania. Użyj sił uwierzytelniania, które wymagają karty weryfikacji tożsamości osobistej (PIV) lub metod uwierzytelniania odpornego na wyłudzanie informacji.
-
Microsoft Entra ID Protection
- polityka rejestracji MFA
- Bezpieczne tożsamości obciążeń
- Dostęp Warunkowy oparty na Ryzyku
Microsoft Sentinel
Alerty usługi Microsoft Entra ID Protection są automatycznie wyświetlane w usłudze Microsoft Defender XDR. Połącz usługę Microsoft Defender XDR z usługą Microsoft Sentinel w celu zwiększenia widoczności, korelacji z danymi innych niżXDR, dłuższego przechowywania danych i bardziej dostosowywanej automatyzacji odpowiedzi.
-
Defender XDR
- Połącz Defender XDR z Sentinel
| |Optymalny Status Dojrzałości
Enterprise określa ryzyko tożsamości w czasie rzeczywistym na podstawie ciągłej analizy i dynamicznych reguł, aby zapewnić stałą ochronę.
|
Dostęp warunkowy
Konfigurowanie kontroli aplikacji dostępu warunkowego dla aplikacji chmurowych. Chroń urządzenia za pomocą usługi Microsoft Defender dla punktu końcowego i włącz usługę Microsoft Defender dla usługi Office 365, aby chronić przed zagrożeniami w wiadomościach e-mail, linkach (adresach URL), załącznikach plików i narzędziach do współpracy.
-
monitorowanie dostępu do aplikacji za pomocą usługi Defender for Cloud Apps i Microsoft Entra ID
- Wdrażanie usługi Defender for Endpoint
- Wdrażanie usługi Defender dla usługi Office 365
Microsoft Purview Zarządzanie ryzykiem wewnętrznym
Konfigurowanie Zarządzania ryzykiem wewnętrznym w celu wykrywania, badania i działania w przypadku złośliwych lub przypadkowych działań. Użyj zasad ryzyka wewnętrznego, aby zdefiniować typy ryzyka w celu identyfikowania i wykrywania. Podejmij działania w sprawach lub eskaluj je do zbierania elektronicznych materiałów dowodowych (Premium) firmy Microsoft w razie potrzeby.
-
microsoft Purview
- zarządzanie ryzykiem niejawnym
- blokuj dostęp do niejawnego ryzyka
Microsoft Defender XDR
Microsoft Defender for Endpoint, Defender for Cloud Apps i Defender for Office wykrywają nietypową aktywność i współtworzyją sygnały ryzyka dla użytkowników i poziomów ryzyka logowania w usłudze Microsoft Entra ID Protection. wykrywanie ryzyka
|
1.4 Funkcja: Zarządzanie dostępem
| opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
wstępny stan dojrzałości Enterprise autoryzuje dostęp, w tym dla żądań dostępu uprzywilejowanego, który wygasa po automatycznej weryfikacji. |
Microsoft Entra Conditional Access Skonfiguruj dostęp warunkowy, aby zastosować zasady do użycia aplikacji. Dostęp warunkowy pobiera sygnały z różnych źródeł w celu autoryzowania dostępu. Dostęp warunkowy Microsoft Entra zarządzanie upoważnieniami Konfiguruj pakiety dostępu w zarządzaniu upoważnieniami, aby obsługiwać żądania dostępu i przepływy pracy zatwierdzania dla ról i grup, w tym role i grupy uprzywilejowane. Skonfiguruj automatyzację przeglądu dostępu, obejmując wygaśnięcie i usunięcie z ról i grup. - zarządzanie upoważnieniami - zarządzanie upoważnieniami i pakiety dostępu - Przeglądy dostępu |
|
Zaawansowany Status Dojrzałości Enterprise autoryzuje dostęp oparty na potrzebach i na sesji, w tym dla żądań dostępu uprzywilejowanego, który jest dostosowany do konkretnych działań i zasobów. |
dostęp warunkowy Konfigurowanie dostępu warunkowego w celu autoryzowania dostępu, w tym dostępu opartego na sesji. Docelowe zasoby, role i role uprzywilejowane. dostęp warunkowy microsoft Entra Privileged Identity Manager Konfigurowanie usługi PIM do zarządzania, kontrolowania i monitorowania dostępu do ważnych zasobów, takich jak role niestandardowe i grupy. Dostosowywanie dostępu do określonych akcji i zasobów. - Zarządzanie Uprawnieniami Tożsamości - Niestandardowe role Azure w PIM - PIM dla Grup Zarządzanie uprzywilejowanym dostępem Microsoft Purview Skonfiguruj zarządzanie uprzywilejowanym dostępem dla szczegółowej kontroli dostępu do zadań administracyjnych w Office 365. - Privileged Access Management - Rozpoczynanie pracy z usługą PAM |
|
optymalnego stanu dojrzałości Enterprise używa automatyzacji do autoryzowania dostępu just in time i wystarczającego dostępu dostosowanego do indywidualnych akcji i indywidualnych potrzeb zasobów. |
Microsoft Entra ID Governance Konfiguracja Microsoft Entra ID Governance pakietów dostępu w celu zautomatyzowania autoryzacji dostępu just-in-time (JIT) i dostępu wystarczającego (JEA) dostosowanego do indywidualnych działań i potrzeb zasobów. - zarządzanie upoważnieniami - Pakiety programu Access |
1.5 Funkcja: widoczność i analiza
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise zbiera dzienniki aktywności użytkowników i jednostek oraz wykonuje rutynową analizę ręczną i niektóre analizy automatyczne, z ograniczoną korelacją między typami dzienników. |
Microsoft Entra ID, Azure Monitor Archiwizuj dzienniki Microsoft Entra na koncie magazynu lub zintegrować z usługą Azure Monitor. Ułatwia rutynową ręczną analizę za pomocą biblioteki danych Kusto i wbudowanych skoroszytów tożsamości z korelacją typów dzienników. - Archiwizuj dzienniki aktywności w Azure Storage - monitorowania i kondycji Microsoft Entra - Integracja dzienników z usługą Azure Monitor - Dzienniki aktywności i usługa Log Analytics - Skoroszyty Microsoft Entra |
|
zaawansowany poziom dojrzałości Enterprise wykonuje automatyczną analizę niektórych typów dzienników aktywności użytkowników i jednostek oraz poszerza zakres zbierania danych w celu rozwiązania luk w widoczności. |
Microsoft Entra ID, Microsoft Defender XDR, Microsoft Sentinel Załaduj dzienniki aktywności Microsoft Entra Identity, wraz z innymi kategoriami dzienników Identity z ustawień diagnostycznych i Defender XDR, do rozwiązania do zarządzania informacjami i wydarzeniami zabezpieczeń (SIEM), takiego jak Sentinel. - Rejestry logowania - monitorowania i kondycji Microsoft Entra w Microsoft Entra ID - Microsoft Sentinel - Połącz dane Microsoft Entra z Sentinel - Defender for Identity - Połącz dane Defender XDR z Sentinel - Defender for Cloud Apps |
|
Optymalny Stan Dojrzałości Enterprise utrzymuje kompleksową widoczność i świadomość sytuacyjną w ramach przedsiębiorstwa, wykonując automatyczną analizę różnych rodzajów dzienników aktywności użytkowników, w tym analiz opartych na zachowaniu. |
Microsoft Entra ID Protection Włącz ID Protection, aby monitorować wzorce zachowań użytkowników pod kątem ryzyka. Konfigurowanie wykrywania ryzyka wewnętrznego i integracja z dostępem warunkowym. - Ochrona Tożsamości - polityki ryzyka Sentinel, wykrywanie i reagowanie na zagrożenia tożsamości reguły analityki usługi Sentinel oraz pozyskiwanie i analizy dzienników usługi Microsoft Entra w czasie zbliżonym do rzeczywistego. Włącz proaktywną identyfikację i reagowanie na zdarzenia związane z bezpieczeństwem oraz zagrożenia dzięki zaawansowanej analizie, przepływom pracy zarządzania incydentami i integracji informacji o zagrożeniach. Usprawnij badanie zdarzeń i zwiększ poziom zabezpieczeń przedsiębiorstwa. - - reguły analizy wykrywania niemal w czasie rzeczywistym - łącznik danych do inteligencji zagrożeń - analiza zachowań użytkowników i podmiotów (UEBA) |
1.6 Funkcja: automatyzacja i aranżacja
| opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise ręcznie koordynuje tożsamości uprzywilejowane i zewnętrzne oraz automatyzuje koordynację nieuprzywilejowanych użytkowników i podmiotów zarządzających się samodzielnie. |
Microsoft Entra Connect, Microsoft Entra Cloud Sync wraz z lokalną usługą Active Directory, automatyzuj orkiestrację nieuprzywilejowanych użytkowników za pomocą programu Entra Connect i/lub Entra Cloud Sync. Nie synchronizuj z lokalnej usługi Active Directory użytkowników z uprawnieniami administratora. W drodze do tożsamości skoncentrowanej na chmurze, koordynuj użytkowników nieuprzywilejowanych za pomocą usługi Microsoft Entra HR Provisioning. - Microsoft Entra Connect v2 - Microsoft Entra Cloud Sync - Chroń Microsoft 365 przed atakami z sieci lokalnej - Aplikacja HR w chmurze do ułatwienia udostępniania użytkowników Microsoft Entra |
|
zaawansowany poziom dojrzałości Enterprise ręcznie zarządza tożsamościami uprzywilejowanych użytkowników i automatyzuje zarządzanie wszystkimi tożsamościami z integracją we wszystkich środowiskach. |
aprowizacja aplikacji Microsoft Entra Dzięki aprowizacji aplikacji Microsoft Entra automatyzuj orkiestrację tożsamości w różnych środowiskach, takich jak dostawcy chmury lub aplikacje typu oprogramowanie jako usługa (SaaS). - aprowizacja aplikacji w usłudze Microsoft Entra ID - synchronizacja Systemu Zarządzania Tożsamością Między Domenami (SCIM) z Microsoft Entra ID Microsoft Entra External ID Skonfiguruj synchronizację między dzierżawami, aby zautomatyzować zarządzanie tożsamościami w środowiskach partnerskich.pl-PL: - Identyfikator zewnętrzny - synchronizacja między dzierżawami w Microsoft Entra ID - Konfigurowanie synchronizacji między dzierżawami |
|
Optymalny Status Dojrzałości Enterprise automatyzuje orkiestrację wszystkich tożsamości z pełną integracją we wszystkich środowiskach na podstawie zachowań, zapisów i potrzeb wdrażania. |
Microsoft Entra ID Governance Na tym etapie dojrzałości orkiestracja tożsamości jest zakończona. Zobacz zaawansowany stan. Zarządzanie upoważnieniami firmy Microsoft Entra jest implementowane w celu organizowania dostępu użytkowników zarządzanych, aplikacji, ról i grup. Pełna integracja tożsamości przez skonfigurowanie tożsamości uprzywilejowanych przy użyciu usługi Privileged Identity Management (PIM). Użyj procesów cyklu życia, aby zautomatyzować przenoszenie między scenariuszami nowego pracownika, zmiany stanowiska i odejścia z pracy.pl-PL: - zarządzanie uprawnieniami - Dowiedz się więcej o PIM - przepływy pracy cyklu życia |
1.7. Funkcja: Zarządzanie
| Opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Przedsiębiorstwo definiuje i rozpoczyna wdrażanie zasad tożsamości dla egzekwowania w całym przedsiębiorstwie, z minimalnym stopniem automatyzacji i ręcznymi aktualizacjami. |
Microsoft Entra ID użyj Microsoft Entra ID jako dostawcy tożsamości (IdP) dla nowych integracji aplikacji. Migrowanie bieżących aplikacji do identyfikatora Entra firmy Microsoft. Skonfiguruj zasady dostępu warunkowego Microsoft Entra, aby wymusić wymagania w całym przedsiębiorstwie i stanowić główny punkt wymuszania zasad (PEP) na potrzeby dostępu do aplikacji i zasobów. Zaimplementuj autoryzację i mapowanie ról dla bieżących i przyszłych aplikacji przy użyciu kontroli dostępu opartej na rolach (kontroli dostępu opartej na rolach), mapowania oświadczeń i aprowizacji ruchu wychodzącego. - Zarządzanie tożsamością Microsoft Entra ID - dostęp warunkowy |
|
Zaawansowany status dojrzałości Enterprise wprowadza zasady tożsamości dla egzekwowania w całym przedsiębiorstwie, automatyzuje je i okresowo aktualizuje zasady. |
Dostęp Warunkowy Użyj Dostępu Warunkowego do egzekwowania zasad tożsamości w całym przedsiębiorstwie. Przejrzyj i zaimplementuj zalecenia dotyczące identyfikatora Entra firmy Microsoft z projektu CISA Secure Cloud Business Applications (SCuBA)i automatyzuj konfigurację dostępu warunkowego przy użyciu interfejsów API. - wdrażanie dostępu warunkowego - CISA SCuBA i Microsoft Entra ID - condtionalAccessPolicy typu zasobu |
|
Status Optymalnego Stanu Dojrzałości Przedsiębiorstwo wdraża i w pełni automatyzuje zasady tożsamości dla wszystkich użytkowników i jednostek we wszystkich systemach, zapewniając ciągłe egzekwowanie i dynamiczne aktualizacje. |
Identyfikator Entra firmy Microsoft Wymagaj dostępu aplikacji do używania Microsoft Entra ID, co wymusza ocenę dostępu warunkowego. Użyj usługi Microsoft Entra ID do ciągłej ewaluacji dostępu (CAE) w celu wymuszania i ochrony tożsamości niemal w czasie rzeczywistym. Ta akcja umożliwia dynamiczną adaptację do ryzyka środowiskowego. Aby wymusić ciągłą ocenę, zintegruj usługę CAE z niestandardowymi aplikacjami i interfejsami API z kodem. - Ciągła ocena dostępu - API z obsługą CAE w aplikacjach - Microsoft Entra ID Protection Global Secure Access Konfigurowanie zgodnego wymuszania sieci w celu zmniejszenia ryzyka kradzieży tokenu i ataków powtarzania . Egzekwowanie współpracuje z usługami wspierającymi CAE. Aplikacja odrzuca skradzione tokeny dostępu, odtwarzane poza siecią zgodną z zasadami dzierżawcy, niemal w czasie rzeczywistym. - Global Secure Access - Microsoft Entra Internet Access - Sprawdzanie sieci zgodnej z dostępem warunkowym (Conditional Access) |
Następne kroki
Skonfiguruj usługi Microsoft Cloud Services dla modelu dojrzałości CISA Zero Trust.
- Wprowadzenie
- Tożsamość
- Urządzenia
- Networks
- aplikacje i obciążenia
- data