Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.
Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.
Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.
- Wprowadzenie
- Użytkownik
- Urządzenie
- Aplikacje i obciążenia
- Dane
- Sieciowe
- Automatyzacja i aranżacja
- Widoczność i analiza
1 użytkownik
Ta sekcja zawiera wskazówki i zalecenia dotyczące działań firmy DoD Zero Trust w filarze użytkownika. Aby dowiedzieć się więcej, zobacz Zabezpieczanie tożsamości przy użyciu zera zaufania.
1.1 Spis użytkowników
Microsoft Entra ID to wymagana platforma tożsamości dla usług w chmurze firmy Microsoft. Microsoft Entra ID to platforma dostawcy tożsamości (IdP) i platformy ładu do obsługi tożsamości wielochmurowych i hybrydowych. Możesz użyć identyfikatora Entra firmy Microsoft, aby zarządzać dostępem do chmur innych niż Microsoft, takich jak Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) i nie tylko. Microsoft Entra ID używa standardowych protokołów tożsamości, dzięki czemu jest odpowiednim dostawcą tożsamości dla oprogramowania jako usługi (SaaS), nowoczesnych aplikacji internetowych, aplikacji klasycznych i mobilnych, a także starszych aplikacji lokalnych.
Użyj identyfikatora Entra firmy Microsoft, aby zweryfikować użytkowników i jednostki niebędące osobami (NPE), stale autoryzować dostęp do aplikacji i danych, zarządzać tożsamościami i ich uprawnieniami zgodnie z zasadami najniższych uprawnień i wykonywać administrację typu just in time (JIT).
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.1.1 UżytkownikspisuOrganizacje doD ustanawiają i aktualizują spis użytkowników ręcznie w razie potrzeby, przygotowując się do zautomatyzowanego podejścia w kolejnych etapach. Konta zarządzane centralnie przez dostawcę tożsamości/ICAM i lokalnie w systemach zostaną zidentyfikowane i spisane. Konta uprzywilejowane zostaną zidentyfikowane na potrzeby przyszłej inspekcji, a konta użytkowników standardowych i uprzywilejowanych dla aplikacji i systemów zostaną zidentyfikowane na potrzeby przyszłej migracji i/lub likwidacji. Wyniki: - Zidentyfikowano zarządzanych zwykłych użytkowników — zidentyfikowanych zarządzanych uprzywilejowanych użytkowników — zidentyfikowane aplikacje korzystające z własnego zarządzania kontami użytkowników w przypadku kont niedministracyjnych i administracyjnych |
Microsoft Entra ID Zidentyfikuj zwykłych i uprzywilejowanych użytkowników w organizacji przy użyciu centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph. Aktywność użytkownika jest przechwytywana w dziennikach logowania i inspekcji identyfikatora entra firmy Microsoft, które można zintegrować z systemami monitorowania zdarzeń informacji o zabezpieczeniach (SIEM), takimi jak Microsoft Sentinel. - Adopt Microsoft Entra ID - Microsoft Graph API: List Users - Microsoft Entra activity log integration Microsoft Entra and Azure roles Privileged users are identities assigned to Microsoft Entra ID roles , Azure roles, or Microsoft Entra ID security groups that grant privileged access to Microsoft 365, or other applications. Zalecamy używanie użytkowników korzystających tylko z chmury w celu uzyskania uprzywilejowanego dostępu. - w celu utworzenia spisu zasobów tożsamości dla środowisk usług domenowych lokalna usługa Active Directory. - |
1.2 Dostęp warunkowy użytkownika
Microsoft Entra ID pomaga organizacji zaimplementować warunkowy, dynamiczny dostęp użytkowników. Funkcje, które obsługują tę funkcję, obejmują dostęp warunkowy firmy Microsoft Entra, Zarządzanie tożsamością Microsoft Entra, role niestandardowe, dynamiczne grupy zabezpieczeń, role aplikacji i niestandardowe atrybuty zabezpieczeń.
Dostęp warunkowy to aparat zasad Zero Trust w czasie rzeczywistym w usłudze Microsoft Entra ID. Zasady dostępu warunkowego używają sygnałów zabezpieczeń użytkownika, urządzenia, aplikacji, sesji, ryzyka i nie tylko w celu zastosowania adaptacyjnej autoryzacji dynamicznej dla zasobów chronionych przez identyfikator Entra firmy Microsoft.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.2.1 Implementowanie uprawnień opartych na aplikacjach na przedsiębiorstwoFirma DoD współpracująca z organizacją ustanawia podstawowy zestaw atrybutów użytkownika na potrzeby uwierzytelniania i autoryzacji. Są one zintegrowane z procesem działania "Zarządzanie cyklem życia tożsamości przedsiębiorstwa Pt1" w celu uzyskania pełnego standardu przedsiębiorstwa. Rozwiązanie do zarządzania tożsamościami, poświadczeniami i dostępem (ICAM) przedsiębiorstwa jest włączone w celu samoobsługowego dodawania/aktualizowania atrybutów w rozwiązaniu. Pozostałe działania usługi Privileged Access Management (PAM) są w pełni migrowane do rozwiązania PAM. Wyniki: - Role/atrybuty przedsiębiorstwa potrzebne do autoryzacji użytkownika do funkcji aplikacji i/lub danych zostały zarejestrowane w przedsiębiorstwie ICAM — DoD Enterprise ICAM ma samoobsługową usługę rejestracji/atrybutów ról, która umożliwia właścicielom aplikacji dodawanie atrybutów lub używanie istniejących atrybutów przedsiębiorstwa — działania uprzywilejowane są w pełni migrowane do usługi PAM |
Microsoft Entra ConnectUstanów tożsamość hybrydową za pomocą programu Microsoft Entra Connect, aby wypełnić dzierżawy identyfikatorów entra firmy Microsoft danymi atrybutów użytkownika z bieżących systemów katalogów. - Microsoft Entra Connect Microsoft Entra applications Integrate applications with Microsoft Entra ID (Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft). Projektowanie modeli autoryzacji i uprawnień aplikacji przy użyciu grup zabezpieczeń i ról aplikacji. Aby delegować zarządzanie aplikacjami, przypisz właścicieli do zarządzania konfiguracją aplikacji, rejestrowania i przypisywania ról aplikacji. - Konfiguruj pakiety dostępu w zarządzaniu upoważnieniami, aby użytkownicy mogli żądać dostępu do ról aplikacji lub grup. - Zarządzanie dostępem do aplikacji - Delegowanie dostępu dostępu warunkowego dostępu warunkowego Konfigurowanie zasad dostępu warunkowego na potrzeby dynamicznej autoryzacji dla aplikacji i usług chronionych przez identyfikator Entra firmy Microsoft. W zasadach dostępu warunkowego użyj niestandardowych atrybutów zabezpieczeń i filtrów aplikacji, aby ograniczyć zakres autoryzacji atrybutów zabezpieczeń przypisanych do obiektów aplikacji, takich jak poufność. - Niestandardowe atrybuty - warunkowego Filtr dla aplikacji - Privileged Identity Management Użyj odnajdywania i szczegółowych informacji PIM do identyfikowania uprzywilejowanych ról i grup. Usługa PIM umożliwia zarządzanie odnalezionymi uprawnieniami i konwertowanie przypisań użytkowników z stałych na kwalifikujące się. - Odnajdywanie i szczegółowe informacje dotyczące usługi PIM |
Target
1.2.2 Dostęp dynamiczny oparty na regułach pt1Organizacje doD korzystają z reguł z działania "Okresowe uwierzytelnianie" w celu dynamicznego tworzenia podstawowych reguł włączania i wyłączania uprawnień. Konta użytkowników wysokiego ryzyka korzystają z rozwiązania PAM, aby przejść do dynamicznego dostępu uprzywilejowanego przy użyciu dostępu just in time i metod Just Enough-Administration. Wyniki: - Dostęp do funkcji/usługi aplikacji i/lub danych są ograniczone do użytkowników z odpowiednimi atrybutami przedsiębiorstwa — wszystkie możliwe aplikacje używają uprawnień JIT/JEA dla użytkowników administracyjnych |
Microsoft Entra ID Użyj funkcji autoryzacji i ładu identyfikatora entra firmy Microsoft, aby ograniczyć dostęp do aplikacji na podstawie atrybutów użytkownika, przypisań ról, ryzyka i szczegółów sesji. Zobacz Wskazówki firmy Microsoft w wersji 1.2.1. Usługa Privileged Identity Management używa usługi PIM dla ról firmy Microsoft Entra i platformy Azure. Rozszerzanie usługi PIM na inne aplikacje microsoft Entra ID za pomocą usługi PIM dla grup. - Usługa PIM dla usługi Microsoft Entra roles - PIM for Azure roles - PIM for Groups |
Advanced
1.2.3 Oparty na regułach dynamiczny dostęp pt2Organizacje DoD rozszerzają rozwój reguł dynamicznego podejmowania decyzji o dostępie do ryzyka. Rozwiązania używane do dostępu dynamicznego są zintegrowane z między filarami uczenia maszynowego i funkcją sztucznej inteligencji umożliwiającą automatyczne zarządzanie regułami. Wyniki: - Składniki i usługi w pełni wykorzystują reguły umożliwiające dynamiczny dostęp do aplikacji i usług — technologia używana na potrzeby dynamicznego dostępu opartego na regułach obsługuje integrację z narzędziami sztucznej inteligencji/uczenia maszynowego |
Ochrona tożsamości Microsoft Entra Ochrona tożsamości Microsoft Entra używa algorytmów uczenia maszynowego do wykrywania użytkowników i ryzyka logowania. Użyj warunków ryzyka w zasadach dostępu warunkowego, aby uzyskać dostęp dynamiczny na podstawie poziomu ryzyka. - Wdrażanie aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender dla Chmury oraz konfigurowanie integracji. - Integrowanie usługi Defender for Endpoint z aplikacjami Defender dla Chmury |
Advanced
1.2.4 Role i uprawnienia ład przedsiębiorstwa Pt1DoD Organizations federują pozostałe atrybuty użytkowników i grup zgodnie z rozwiązaniem Enterprise Identity, Credential i Access Management (ICAM). Zaktualizowany zestaw atrybutów służy do tworzenia uniwersalnych ról dla organizacji do użycia. Podstawowe funkcje dostawcy tożsamości i tożsamości, poświadczeń i zarządzania dostępem (ICAM) są migrowane do usług w chmurze i/lub środowisk, co zapewnia lepszą odporność i wydajność. Wyniki: Repozytorium atrybutów składników i danych roli sfederowane z dostawcą tożsamości przedsiębiorstwa opartego na chmurze ICAM — dostawcy tożsamości przedsiębiorstwa opartego na chmurze i aplikacji lokalnych — tworzony jest ustandaryzowany zestaw ról i uprawnień oraz ich dopasowywanie do atrybutów |
Microsoft Entra ID Microsoft Entra ID to wielochmurowa centralnie zarządzana tożsamość, poświadczenia i zarządzanie dostępem (ICAM) platformy i dostawcy tożsamości (IdP). Ustanów tożsamość hybrydową za pomocą programu Microsoft Entra Connect, aby wypełnić dane użytkownika w katalogu. - Microsoft Entra ID - z identyfikatorem Entra firmy Microsoft i używają dynamicznych grup zabezpieczeń, ról aplikacji i niestandardowych atrybutów zabezpieczeń w celu zarządzania dostępem do aplikacji. aplikacji Firmy Microsoft Entra Aby używać identyfikatora Entra firmy Microsoft dla aplikacji korzystających ze starszych protokołów uwierzytelniania, wdrażać i konfigurować serwer proxy aplikacji lub integrować rozwiązania - - |
Advanced
1.2.5 Role ładu przedsiębiorstwa i uprawnienia Pt2Organizacje DoD przenoszą wszystkie możliwe funkcje rozwiązań dostawcy tożsamości (IdP) i tożsamości, poświadczeń i dostępu (ICAM) do środowisk w chmurze. Enklawy/DDIL środowiska lokalne obsługują rozłączone funkcje, ale ostatecznie są zarządzane przez scentralizowane rozwiązania do zarządzania tożsamościami, poświadczeniami i dostępem (ICAM). Zaktualizowane role są teraz wymagane do użycia i wyjątków są sprawdzane zgodnie z podejściem opartym na ryzyku. Wyniki: - Większość składników korzysta z funkcji dostawcy tożsamości w chmurze Gdzie to możliwe lokalnego dostawcy tożsamości jest zlikwidowany — uprawnienia i role są wymagane do użycia podczas oceniania atrybutów |
Aplikacje firmy Microsoft Entra Migrowanie nowoczesnych aplikacjiz usług Active Directory Federation Services (AD FS) do identyfikatora Entra firmy Microsoft, a następnie likwidacji infrastruktury usług AD FS. - Migrowanie uwierzytelniania aplikacji z usług AD FS do usługi Microsoft Entra ID aplikacji Przenoszenie pozostałych procesów ICAM i aprowizacji aplikacji z lokalnych systemów zarządzania tożsamościami do identyfikatora Entra firmy Microsoft. - - |
1.3 Uwierzytelnianie wieloskładnikowe
Microsoft Entra ID obsługuje uwierzytelnianie oparte na certyfikatach (CBA), w tym doD Common Access Cards (CAC) i osobistej weryfikacji tożsamości (PIV) bez federacji z innym dostawcą tożsamości, dla użytkowników w chmurze i hybrydowych (synchronizowanych). Microsoft Entra ID obsługuje wiele standardowych w branży wieloskładnikowych metod uwierzytelniania bez wyłudzania informacji, w tym CBA, Windows Hello dla firm, kluczy zabezpieczeń FIDO2 i kluczy dostępu.
Możesz utworzyć zasady dostępu warunkowego, aby wymuszać siłę uwierzytelniania i dynamicznie autoryzować dostęp na podstawie warunków użytkownika, urządzenia i środowiska, w tym poziomu ryzyka.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.3.1 Organizacyjne uwierzytelnianie wieloskładnikowe/dostawcy tożsamościOrganizacje DoD nabywają i implementują scentralizowane rozwiązanie dostawcy tożsamości (IdP) i rozwiązanie wieloskładnikowe (MFA). Dostawcy tożsamości i rozwiązania MFA mogą być łączone w jednej aplikacji lub oddzielone zgodnie z potrzebami przy założeniu, że automatyczna integracja jest obsługiwana przez oba rozwiązania. Zarówno dostawcy tożsamości, jak i uwierzytelniania wieloskładnikowego obsługują integrację z funkcją infrastruktury kluczy publicznych przedsiębiorstwa i umożliwiają podpisywanie par kluczy przez zaufane główne urzędy certyfikacji. Aplikacje i usługi o znaczeniu krytycznym dla zadań korzystają z rozwiązania IdP i MFA do zarządzania użytkownikami i grupami. Wyniki: — składnik używa dostawcy tożsamości z uwierzytelnianiem wieloskładnikowym dla krytycznych aplikacji/usług — składniki zaimplementowały dostawcę tożsamości, który umożliwia uwierzytelnianie wieloskładnikowe infrastruktury kluczy publicznych DoD PKI — standardowa organizacja infrastruktury kluczy publicznych dla usług krytycznych |
Metody uwierzytelniania entra firmy Microsoft konfigurują usługę Microsoft Entra CBA przy użyciu infrastruktury kluczy publicznych DoD. Ustaw poziom ochrony globalnej na uwierzytelnianie jednoskładnikowe. Utwórz reguły dla każdego urzędu certyfikacji wystawiającego dokument lub identyfikatora OID zasad, aby zidentyfikować infrastrukturę kluczy publicznych usługi DoD jako poziom ochrony uwierzytelniania wieloskładnikowego. Po skonfigurowaniu użytkownicy logują się do firmy Microsoft Entra przy użyciu platformy DoD CAC. - Uwierzytelnianie w usłudze Microsoft Entra ID - w celu migracji uwierzytelniania użytkownika z lokalnej usługi federacyjnej do firmy Microsoft Entra CBA.- Zobacz Wskazówki firmy Microsoft w wersji uwierzytelniania Firmy Microsoft Entra Utwórz nową siłę uwierzytelniania o nazwie DoD CAC. Wybierz uwierzytelnianie oparte na certyfikatach (wieloskładnikowe). Skonfiguruj opcje zaawansowane i wybierz wystawców certyfikatów dla infrastruktury kluczy publicznych DoD. - Siła - Microsoft Entra obsługuje dwie metody używania certyfikatów na urządzeniu przenośnym: pochodne poświadczenia (certyfikaty na urządzeniach) i sprzętowe klucze zabezpieczeń. Aby użyć poświadczeń pochodnych infrastruktury kluczy publicznych DoD na zarządzanych urządzeniach przenośnych, użyj usługi Intune do wdrożenia narzędzia DISA Purebred. - Pochodne poświadczenia - CbA na urządzeniach z systemem iOS - CBA na urządzeniach z systemem Android |
Advanced
1.3.2 Alternatywna elastyczna uwierzytelnianie wieloskładnikowe Pt1Dostawca tożsamości organizacji DoD obsługuje alternatywne metody uwierzytelniania wieloskładnikowego zgodne z wymaganiami dotyczącymi bezpieczeństwa cybernetycznego (np. FIPS 140-2, FIPS 197 itp.). Alternatywne tokeny mogą służyć do uwierzytelniania opartego na aplikacjach. Opcje wieloskładnikowe obsługują możliwości biometryczne i mogą być zarządzane przy użyciu podejścia samoobsługowego. Jeśli to możliwe, dostawcy wieloskładnikowi są przenoszone do usług w chmurze zamiast hostować lokalnie. Wyniki: - Dostawca tożsamości udostępnia alternatywny token samoobsługowy użytkownika — dostawca tożsamości udostępnia alternatywny token MFA tokenu alternatywnego dla zatwierdzonych aplikacji dla zasad |
Metody uwierzytelniania firmy Microsoft Entra umożliwiają użytkownikom konfigurowanie metod uwierzytelniania entra firmy Microsoft w celu rejestrowania kluczy zabezpieczeń (FIDO2). Użyj opcjonalnych ustawień, aby skonfigurować zasady ograniczeń klucza dla kluczy zgodnych ze standardem FIPS 140-2. - Logowanie za pomocą klucza zabezpieczeń bez hasła - Metody uwierzytelniania Dostęp tymczasowy — przekazywanie — konfigurowanie tymczasowego dostępu (TAP) dla użytkowników w celu rejestrowania alternatywnych wystawców uwierzytelnienia bez hasła bez certyfikatu CAC. - Zasady wymagają od CAC zarejestrowania innych wystawców uwierzytelnień, takich jak klucze zabezpieczeń FIDO2. - Rejestracja informacji zabezpieczających Zobacz Wskazówki firmy Microsoft w wersji 1.3.1. Windows Hello dla firm Użyj Windows Hello dla firm za pomocą numeru PIN lub gestu biometrycznego na potrzeby logowania w systemie Windows. Zasady zarządzania urządzeniami umożliwiają rejestrację Windows Hello dla firm dla urządzeń z systemem Windows dostarczanych przez przedsiębiorstwo. - Windows Hello dla firm |
Advanced
1.3.3 Alternatywna elastyczna uwierzytelnianie wieloskładnikowe pt2Alternatywne tokeny wykorzystują wzorce aktywności użytkownika z działań między filarami, takich jak "Monitorowanie aktywności użytkowników (UAM) i Analiza zachowań użytkowników i jednostek (UEBA)", aby pomóc w podejmowaniu decyzji dotyczących dostępu (np. nie udzielać dostępu, gdy występuje odchylenie wzorca). Ta funkcja jest dodatkowo rozszerzana na alternatywne tokeny z włączoną funkcją biometryczną. Wynik: - Zaimplementowane wzorce aktywności użytkownika |
Ochrona tożsamości Microsoft Entra Ochrona tożsamości Microsoft Entra używa uczenia maszynowego (ML) i analizy zagrożeń do wykrywania ryzykownych użytkowników i zdarzeń logowania. Użyj warunków ryzyka logowania i użytkownika, aby kierować zasady dostępu warunkowego do poziomów ryzyka. Zacznij od ochrony punktu odniesienia wymagającej uwierzytelniania wieloskładnikowego na potrzeby ryzykownych logów. - Ochrona tożsamości Microsoft Entra - Utwórz zestaw zasad dostępu warunkowego opartego na ryzyku, które używają mechanizmów kontroli udzielania i sesji, aby wymagać silniejszej ochrony w miarę zwiększania ryzyka. - Konfiguracja i włączenie zasad ryzyka - Dostęp warunkowy: sesja - Dostęp warunkowy: udzielanie Przykłady zasad dostępu warunkowego opartego na ryzyku: Średnie ryzyko związane z logowaniem — Wymagaj siły uwierzytelniania: uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji — Wymagaj zgodnego urządzenia - Częstotliwość logowania: 1 godzina Wysokie ryzyko związane z logowaniem — Wymagaj siły uwierzytelniania: uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji — Wymagaj zgodnego urządzenia - Częstotliwość logowania: za każdym razem Wysokie ryzyko związane z użytkownikiem — Wymagaj siły uwierzytelniania: uwierzytelnianie wieloskładnikowe odporne na wyłudzanie informacji — Wymagaj zgodnego urządzenia — Częstotliwość logowania: za każdym razem , gdy usługa Microsoft Sentinel konfiguruje regułę analizy i podręcznik usługi Sentinel w celu utworzenia zdarzenia dla alertów usługi Entra ID Protection, gdy ryzyko użytkownika jest wysokie. - łącznik Ochrona tożsamości Microsoft Entra dla usługi Sentinel - User:revokeSignInSessions |
1.4 Zarządzanie dostępem uprzywilejowanym
Zarządzanie tożsamością Microsoft Entra umożliwia korzystanie z funkcji PAM, w tym administrowania just in time (JIT), zarządzania upoważnieniami i okresowych przeglądów dostępu. Usługa Microsoft Entra Privileged Identity Management (PIM) pomaga odkryć, jak role są przypisywane w organizacji. Użyj usługi PIM, aby przekonwertować trwałe przypisania ról JIT, dostosować wymagania dotyczące przypisywania ról i aktywacji, a także zaplanować przeglądy dostępu.
Dostęp warunkowy wymusza siłę uwierzytelniania, poziom ryzyka i zgodne urządzenie stacji roboczej z dostępem uprzywilejowanym (PAW) w celu uzyskania dostępu uprzywilejowanego. Akcje administracyjne w identyfikatorze Entra firmy Microsoft są rejestrowane w dziennikach inspekcji firmy Microsoft Entra.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.4.1 Implementowanie systemu i migrowania uprzywilejowanych użytkowników pt1DoD Organizations pozyskiwanie i implementowanie rozwiązania Privileged Access Management (PAM) w celu obsługi wszystkich krytycznych uprzywilejowanych przypadków użycia. Punkty integracji aplikacji/usługi są identyfikowane w celu określenia stanu obsługi rozwiązania PAM. Aplikacje/usługi, które łatwo integrują się z rozwiązaniem PAM, są przenoszone do korzystania z rozwiązania w porównaniu ze statycznymi i bezpośrednimi uprawnieniami uprzywilejowanymi. Wyniki: - Narzędzia usługi Privilege Access Management (PAM) są implementowane - Aplikacje i urządzenia, które obsługują i nie obsługują zidentyfikowanych narzędzi PAM — Aplikacje, które obsługują usługę PAM, używają teraz usługi PAM do kontrolowania kont awaryjnych/wbudowanych |
Privileged Identity Management Wdróż usługę PIM, aby chronić role microsoft Entra ID i Azure. Użyj funkcji odnajdywania i szczegółowych informacji usługi PIM, aby zidentyfikować uprzywilejowane role i grupy. Usługa PIM umożliwia zarządzanie odnalezionymi uprawnieniami i konwertowanie przypisań użytkowników z stałych na kwalifikujące się. - Omówienie usługi PIM - Odnajdywanie i szczegółowe informacje dotyczące ról - Zasoby platformy Azure Microsoft Intune Wdrażanie zarządzanej przez usługę Intune stacji roboczej z dostępem uprzywilejowanym dla firmy Microsoft Entra, platformy Microsoft 365 i administrowania platformą Azure. - Strategia dostępu uprzywilejowanego Dostęp warunkowy Użyj zasad dostępu warunkowego, aby wymagać zgodnych urządzeń. Aby wymusić stację roboczą z dostępem uprzywilejowanym, użyj filtrów urządzeń w kontroli udzielania zgodności dostępu warunkowego. - Filtry dla urządzeń |
Target
1.4.2 Implementowanie systemu i migrowanie uprzywilejowanych użytkowników pt2Organizacje DoD wykorzystują spis obsługiwanych i nieobsługiwanych aplikacji/usług do integracji z rozwiązaniem privileged access management (PAM) w celu rozszerzenia integracji. Usługa PAM jest zintegrowana z bardziej trudnymi aplikacjami/usługami w celu zmaksymalizowania pokrycia rozwiązania PAM. Wyjątki są zarządzane w metodowym podejściu opartym na ryzyku z celem migracji poza i/lub likwidacji aplikacji/usług, które nie obsługują rozwiązań PAM. Wynik: — Działania uprzywilejowane są migrowane do usługi PAM, a dostęp jest w pełni zarządzany |
Privileged Identity Management Użyj grup dostępu uprzywilejowanego i usługi PIM dla grup, aby przedłużyć dostęp just in time (JIT) poza identyfikatorem Entra firmy Microsoft i platformą Azure. Użyj grup zabezpieczeń w usłudze Microsoft 365, Microsoft Defender XDR lub zamapuj je na oświadczenia ról uprzywilejowanych dla aplikacji innych niż Microsoft zintegrowanych z identyfikatorem Microsoft Entra ID. - Grupy z możliwością przypisywania ról - Przenoszenie grup do usługi PIM - Przypisywanie użytkowników i grup do aplikacji Dostęp warunkowy Użyj akcji chronionych, aby dodać kolejną warstwę ochrony, gdy administratorzy wykonują akcje wymagające uprawnień o wysokim poziomie uprawnień w identyfikatorze Entra firmy Microsoft. Na przykład zarządzaj zasadami dostępu warunkowego i ustawieniami dostępu między dzierżawami. - Akcje chronione Utwórz zasady dostępu warunkowego dla użytkowników z aktywnym członkostwem w roli Microsoft Entra. Wymagaj siły uwierzytelniania: odporne na wyłudzanie informacji uwierzytelnianie wieloskładnikowe i zgodne urządzenie. Użyj filtrów urządzeń, aby wymagać zgodnych stacji roboczych z dostępem uprzywilejowanym. - Wymaganie uwierzytelniania wieloskładnikowego dla administratorów - Filtrowanie dla urządzeń |
Advanced
1.4.3 Zatwierdzenia w czasie rzeczywistym i analiza JIT/JEA Pt1Identyfikacja niezbędnych atrybutów (użytkowników, grup itp.) jest zautomatyzowana i zintegrowana z rozwiązaniem Privileged Access Management (PAM). Żądania dostępu uprzywilejowanego są migrowane do rozwiązania PAM na potrzeby automatycznych zatwierdzeń i odmowy. Wyniki: - Zidentyfikowane konta, aplikacje, urządzenia i dane dotyczące problemu (największe ryzyko dla misji DoD) — Za pomocą narzędzi PAM zastosowano dostęp JIT/JEA do kont wysokiego ryzyka — Żądania dostępu uprzywilejowanego są zautomatyzowane zgodnie z potrzebami |
Usługa Privileged Identity Mangement Identyfikuje role wysokiego ryzyka w twoim środowisku, takie jak role firmy Microsoft Entra, role platformy Azure, takie jak właściciel i administrator dostępu użytkowników, również uprzywilejowane grupy zabezpieczeń. - Najlepsze rozwiązania dotyczące ról - Role uprzywilejowane Skonfiguruj ustawienia roli usługi PIM, aby wymagać zatwierdzenia. - Ustawienia roli zasobów platformy Azure - Ustawienia roli Entra firmy Microsoft - Ustawienia usługi PIM dla grup Zarządzanie tożsamością Microsoft Entra Użyj pakietów dostępu, aby zarządzać grupami zabezpieczeń w celu uzyskania uprawnień do roli. Ten mechanizm zarządza uprawnionymi administratorami; dodaje żądania samoobsługowe, zatwierdzenia i przeglądy dostępu w celu uzyskania uprawnień do roli. - Mangement uprawnień Utwórz grupy z możliwością przypisywania ról uprzywilejowanych w celu skonfigurowania żądań uprawnień i zatwierdzeń. Utwórz wykaz o nazwie Administratorzy uprawnieni do ról uprzywilejowanych. Dodaj grupy z możliwością przypisywania ról jako zasoby. - Grupy z możliwością przypisywania ról - Tworzenie wykazów zasobów i zarządzanie nimi Utwórz pakiety dostępu dla grup z możliwością przypisywania ról w katalogu Uprawnionych administratorów ról uprzywilejowanych. Możesz wymagać zatwierdzenia, gdy użytkownicy żądają uprawnień do zarządzania upoważnieniami, wymagają zatwierdzenia po aktywacji w usłudze PIM lub obu tych przypadkach. - Pakiety dostępu |
Advanced
1.4.4 Zatwierdzenia w czasie rzeczywistym i analiza JIT/JEA Pt2Organizacje doD integrują rozwiązania User & Entity Behavior Analytics (UEBA) i User Activity Monitoring (UAM) z rozwiązaniem Privileged Access Management (PAM) zapewniającym analizę wzorców użytkowników do podejmowania decyzji. Wynik: - UEBA lub podobny system analityczny zintegrowany z narzędziami PAM do zatwierdzania kont JIT/JEA |
Dostęp warunkowy Zdefiniuj kontekst uwierzytelniania dla uprzywilejowanego dostępu. Utwórz co najmniej jedną zasady dostępu warunkowego, które są przeznaczone dla kontekstu uwierzytelniania uprzywilejowanego dostępu. Użyj warunków ryzyka w zasadach i zastosuj mechanizmy kontroli udzielania i sesji w celu uzyskania uprzywilejowanego dostępu. Zalecamy, aby wymagać siły uwierzytelniania: odporna na wyłudzanie informacji uwierzytelnianie wieloskładnikowe, zgodna stacja robocza z dostępem uprzywilejowanym. - Konfigurowanie kontekstu uwierzytelniania Zobacz Wskazówki firmy Microsoft w wersji 1.4.1. Aby zablokować dostęp uprzywilejowany, gdy ryzyko logowania jest wysokie, utwórz więcej zasad dostępu warunkowego, które dotyczą kontekstu uwierzytelniania uprzywilejowanego dostępu z warunkiem wysokiego ryzyka logowania. Powtórz ten krok przy użyciu zasad dla wysokiego ryzyka związanego z użytkownikiem. - Wdrażanie zasad Privileged Identity Management Skonfiguruj ustawienia roli usługi PIM, aby wymagać kontekstu uwierzytelniania. To ustawienie wymusza zasady dostępu warunkowego dla wybranego kontekstu uwierzytelniania po aktywacji roli. - Wymaganie kontekstu uwierzytelniania |
1.5 Federacja tożsamości i poświadczenia użytkownika
Identyfikator Entra firmy Microsoft odgrywa kluczową rolę w zarządzaniu cyklem życia tożsamości (ILM). Dzierżawa firmy Microsoft Entra to usługa katalogowa w chmurze w warstwie Hiperskala, rozwiązanie do zarządzania tożsamościami, poświadczeniami i dostępem (ICAM) oraz dostawca tożsamości (IdP). Obsługuje aprowizowanie między katalogami i aprowizowanie aplikacji w celu zarządzania cyklem życia użytkowników wewnętrznych w usłudze Microsoft Entra ID i innych aplikacji.
Zarządzanie tożsamością Microsoft Entra funkcje ułatwiają zarządzanie cyklem życia dostępu dla uprawnień, takich jak aplikacje, usługa Microsoft Teams i członkostwo w grupie zabezpieczeń. Zarządzanie upoważnieniami może być również używane do dołączania gości zewnętrznych i zarządzania nimi. Możesz zablokować dostęp i usunąć obiekty użytkownika-gościa po usunięciu ich ostatniego pakietu dostępu. Aby dowiedzieć się, jak organizacja może migrować funkcje ILM do identyfikatora Entra firmy Microsoft, zobacz Road to the cloud (Droga do chmury).
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.5.1 Zarządzanie cyklem życia tożsamości organizacjiOrganizacje DoD ustanawiają proces zarządzania cyklem życia użytkowników zarówno uprzywilejowanych, jak i standardowych. Użycie dostawcy tożsamości organizacyjnej (IdP) proces jest implementowany i następuje maksymalna liczba użytkowników. Wszyscy użytkownicy, którzy wykraczają poza standardowy proces, są zatwierdzani za pośrednictwem wyjątków opartych na ryzyku, które mają być regularnie oceniane pod kątem likwidacji. Wynik: — Proces standardowego cyklu życia tożsamości |
Microsoft Entra ID Ustandaryzuj cykl życia konta dla tożsamości, w tym użytkowników, administratorów, użytkowników zewnętrznych i tożsamości aplikacji (jednostki usługi). - Zarządzanie cyklem życia tożsamości - |
Target
1.5.2 Zarządzanie cyklem życia tożsamości przedsiębiorstwa pt1Rozwiązanie DoD Enterprise współpracuje z organizacjami w celu przejrzenia i dostosowania istniejących procesów, zasad i standardów cyklu życia tożsamości. Sfinalizowane uzgodnione zasady i proces pomocniczy są opracowywane i następnie przez organizacje DoD. Korzystając ze scentralizowanych lub federacyjnych rozwiązań dostawcy tożsamości (IdP) i zarządzania tożsamościami i dostępem (IdAM), organizacje DoD implementują proces zarządzania cyklem życia przedsiębiorstwa dla maksymalnej liczby tożsamości, grup i uprawnień. Wyjątki od zasad są zarządzane w metodowym podejściu opartym na ryzyku. Wyniki: - Zautomatyzowane procesy cyklu życia tożsamości - Zintegrowane z procesem i narzędziami ICAM w przedsiębiorstwie |
Microsoft Entra ID Jeśli twoja organizacja korzysta z usługi Active Directory, zsynchronizuj użytkowników z identyfikatorem Entra ID firmy Microsoft za pomocą programu Microsoft Entra Connect Sync lub microsoft Entra Connect Cloud Sync. Uwaga: nie synchronizuj uprzywilejowanych kont usługi Active Directory ani przypisz uprzywilejowanych ról w chmurze do synchronizowanych kont. - Connect Sync - Cloud Sync - - Zarządzanie dostępem administracyjnym za pomocą usługi PIM. Ustanów cykl przeglądu dostępu dla uprzywilejowanych ról firmy Microsoft Entra i platformy Azure. - Konta uprzywilejowane Microsoft Entra metody uwierzytelniania korzystają z opartych na chmurze metod uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Skonfiguruj uwierzytelnianie oparte na certyfikatach firmy Microsoft (CBA) przy użyciu wspólnych kart dostępu doD (CAC), aby zarejestrować inne poświadczenia bez hasła. Zobacz Wskazówki firmy Microsoft w wersji 1.3.2. |
Advanced
1.5.3 Zarządzanie cyklem życia tożsamości przedsiębiorstwa pt2Organizacje doD dodatkowo integrują krytyczne funkcje automatyzacji dostawcy tożsamości i tożsamości, poświadczeń i dostępu (ICAM) rozwiązań zgodnie z procesem zarządzania cyklem życia przedsiębiorstwa w celu włączenia automatyzacji i analizy przedsiębiorstwa. Podstawowe procesy zarządzania cyklem życia tożsamości są zintegrowane z opartym na chmurze rozwiązaniem ICAM dla przedsiębiorstw. Wyniki: - Integracja w/ Krytyczne funkcje IDM/IDP — podstawowe funkcje ILM są oparte na chmurze |
Zarządzanie tożsamością Microsoft Entra Za pomocą zarządzania upoważnieniami i przeglądów dostępu do zarządzania cyklami życia dostępu użytkowników w organizacji i cyklami życia tożsamości gościa zewnętrznego. - Zarządzanie upoważnieniami Zewnętrzne Użyj tożsamości zarządzanych dla zasobów platformy Azure i federacji Tożsamość obciążeń, aby zmniejszyć ryzyko zarządzania poświadczeniami aplikacji.- aplikacji Konfigurowanie zasad zarządzania aplikacjami w celu kontrolowania typów poświadczeń dodanych do aplikacji w dzierżawie. Użyj ograniczenia passwordAddition, aby wymagać poświadczeń certyfikatu dla aplikacji. - Poświadczenia certyfikatu uwierzytelniania aplikacji interfejsu API - |
Advanced
1.5.4 Zarządzanie cyklem życia tożsamości przedsiębiorstwa Pt3Organizacje DoD integrują pozostałe procesy zarządzania cyklem życia tożsamości z rozwiązaniem DoD Identity, Credential and Access Management. Środowiska enklawy/DDIL, które są nadal autoryzowane do obsługi integracji z usługą ICAM przedsiębiorstwa przy użyciu łączników lokalnych w środowisku chmury. Wyniki: - Wszystkie funkcje ILM przeniesione do chmury zgodnie z potrzebami — integracja ze wszystkimi funkcjami IDM/IDP |
Aprowizacja aplikacji Firmy Microsoft Entra umożliwia synchronizowanie tożsamości z aplikacjami SCIM, SQL, LDAP, PowerShell i Web Services. Użyj aplikacji opartej na interfejsie API, aby aprowizować użytkowników w różnych wystąpieniach usługi Active Directory. - |
1.6 Zachowanie, kontekstowy identyfikator i biometria
Ochrona tożsamości Microsoft Entra pomaga wykrywać, korygować i zapobiegać zagrożeniom tożsamości przy użyciu uczenia maszynowego (ML) i analizy zagrożeń. Ta funkcja wykrywa zagrożenia w czasie rzeczywistym podczas logowania użytkownika i ryzyka offline obliczane w czasie. Zagrożenia obejmują anomalie tokenów, nietypowe właściwości logowania, niemożliwą podróż, podejrzane zachowanie użytkownika i nie tylko.
Ochrona tożsamości jest zintegrowana z usługą Microsoft Defender XDR w celu wyświetlania zagrożeń związanych z tożsamościami wykrytych przez inne składniki w rodzinie produktów Microsoft Defender.
Aby dowiedzieć się więcej, zobacz Co to są wykrycia ryzyka?
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.6.1 Implementowanie analizyzachowań użytkowników i jednostek(UEBA) i narzędzia do monitorowania aktywności użytkowników (UAM) DoD Organizations pozyskiwać i implementować rozwiązania User & Entity Behavior Analytics (UEBA) i User Activity Monitoring (UAM). Początkowy punkt integracji z dostawcą tożsamości przedsiębiorstwa został ukończony, co umożliwia przyszłe użycie w podejmowaniu decyzji. Wynik: funkcje UEBA i UAM są implementowane dla dostawcy tożsamości przedsiębiorstwa |
Ochrona tożsamości Microsoft Entra Deploy Ochrona tożsamości Microsoft Entra w celu uzyskania zatrzymań w czasie rzeczywistym i offline dla użytkowników i zdarzeń logowania. Rozszerzanie funkcji wykrywania ryzyka tożsamości na tożsamości aplikacji (jednostki usługi) przy użyciu Tożsamość obciążeń Microsoft Entra, wersji Premium tożsamości obciążeń. - Bezpieczne tożsamości - obciążeń Zasady oparte na ryzyku dla tożsamości obciążeń Zobacz Wskazówki firmy Microsoft w wersji 1.3.3. aplikacje Microsoft Defender dla ChmuryWdrażanie aplikacji Defender dla Chmury i konfigurowanie integracji z Ochrona punktu końcowego w usłudze Microsoft Defender i rozwiązaniami zewnętrznymi. Konfigurowanie zasad wykrywania anomalii w usłudze Defender dla Chmury Apps. - Integrowanie usługi Defender for Endpoint z integracją Wykrywanie podejrzanej aktywności użytkownika z punktami końcowymi UEBA- Ochrona punktu końcowego w usłudze Microsoft Defender Onboard do usługi Defender for Endpoint. Konfigurowanie integracji między usługą Defender for Endpoint i usługą Microsoft Intune. - Usługa Defender for Endpoint i inne rozwiązania Konfiguruje integracje z usługą Defender dla punktu końcowego i korzystaj z oceny ryzyka maszyny usługi Defender for Endpoint w zasadach zgodności urządzenia. - warunkowego w celu wymagania zgodnych urządzeń. Przed udzieleniem dostępu kontrolka wymaga urządzenia oznaczonego jako zgodne w usłudze Microsoft Intune. Integracja między usługą Defender for Endpoint i usługą Intune zapewnia ogólny obraz kondycji i poziomu ryzyka urządzenia na podstawie stanu zgodności. - Zasady zgodności umożliwiające ustawianie reguł dla urządzeń zarządzanych przez usługę i włączanie analizy UEBA dla dzienników inspekcji, dzienników logowania, aktywności platformy Azure i zdarzeń zabezpieczeń. - - |
Advanced
1.6.2 Monitorowanie aktywności użytkowników pt1Organizacje doD integrują rozwiązania User & Entity Behavior Analytics (UEBA) i User Activity Monitoring (UAM) z dostawcami tożsamości organizacji (IdP) w celu uzyskania rozszerzonej widoczności. Analiza i dane generowane przez interfejs UEBA i UAM dla krytycznych aplikacji i usług są zintegrowane z rozwiązaniem Just-in-Time i Just-Enough-Access poprawiającym podejmowanie decyzji. Wyniki: — UEBA jest zintegrowana z dostawcami tożsamości organizacji zgodnie z potrzebami — ueBA jest zintegrowana z JIT/JEA dla usług krytycznych |
Privileged Identity Management Wdrażanie usługi PIM i dołączanie ról uprzywilejowanych. Zdefiniuj kontekst uwierzytelniania dla dostępu uprzywilejowanego. Użyj warunków ryzyka w kontekście uwierzytelniania i skonfiguruj ustawienia roli usługi PIM, aby wymagać kontekstu uwierzytelniania po aktywacji. Zobacz Wskazówki firmy Microsoft w wersji 1.4.4. Usługa Microsoft Sentinel połącz źródła danych z usługą Sentinel i włącz analizę UEBA dla dzienników inspekcji, dzienników logowania, aktywności platformy Azure i zdarzeń zabezpieczeń. - Włącz zaawansowane zagrożenia UEBA - za pomocą interfejsu UEBA Microsoft Defender dla Chmury Apps Monitor i sesji sterowania aplikacjami w chmurze przy użyciu aplikacji Defender dla Chmury Apps. - - |
Advanced
1.6.3 Monitorowanie aktywności użytkowników pt2Organizacje DoD kontynuują korzystanie z analiz z rozwiązań Analizy zachowań użytkowników i jednostek (UEBA) i monitorowania aktywności użytkowników (UAM) przy użyciu wygenerowanych danych dla wszystkich monitorowanych aplikacji i usług, gdy podejmowanie decyzji odbywa się w rozwiązaniu Just-in-Time i Just-Enough-Access. jednostek/UEBA jest zintegrowane z JIT/JEA dla wszystkich usług |
Usługa Privileged Identity Management używa usługi PIM dla grup w celu rozszerzenia dostępu just in time (JIT) do aplikacji przy użyciu ról aplikacji. Przypisz grupy zarządzane przez usługę PIM do ról aplikacji uprzywilejowanych. - Usługa PIM dla grup - Dodawanie ról aplikacji do aplikacji |
1.7 Najmniej uprzywilejowany dostęp
Dostęp do aplikacji przy użyciu identyfikatora Entra firmy Microsoft jest domyślnie blokowany. Zarządzanie tożsamością Microsoft Entra funkcje, takie jak zarządzanie upoważnieniami i przeglądy dostępu, zapewniają, że dostęp jest ograniczony czasowo, jest zgodny z zasadą najniższych uprawnień i wymusza mechanizmy kontroli rozdzielenia obowiązków.
Użyj wbudowanych ról firmy Microsoft Entra, aby przypisać uprawnienia najniższych uprawnień według zadania. Jednostki administracyjne umożliwiają określanie zakresu uprawnień opartych na zasobach dla użytkowników i urządzeń z identyfikatorem Entra firmy Microsoft.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.7.1 Odmowa użytkownika domyślnieOrganizacje doD przeprowadzają inspekcję użycia użytkowników wewnętrznych i grup pod kątem uprawnień i odwoływanie uprawnień, jeśli to możliwe. To działanie obejmuje odwołanie i/lub zlikwidowanie nadmiarowych uprawnień i dostępu do tożsamości i grup opartych na aplikacji/usłudze. Jeśli to możliwe, statyczni użytkownicy uprzywilejowani są likwidowani lub ograniczone uprawnienia przygotowujące się do przyszłej reguły/dostępu dynamicznego. Wyniki: - Aplikacje aktualizowane domyślnie w celu odmowy funkcji/danych wymagających określonych ról/atrybutów dostępu — zaimplementowano ograniczone domyślne poziomy uprawnień — aplikacje/usługi przejrzyły/przeprowadźły inspekcję wszystkich uprzywilejowanych użytkowników i usunęli tych użytkowników, którzy nie potrzebują tego poziomu dostępu |
Microsoft Entra ID Przejrzyj i ogranicz domyślne uprawnienia użytkownika i gościa w identyfikatorze Entra firmy Microsoft. Ogranicz zgodę użytkownika na aplikacje i przejrzyj bieżącą zgodę w organizacji. - Domyślne uprawnienia - firmy Microsoft Entra Dostęp do aplikacji Firmy Microsoft Entra jest domyślnie odrzucany. Microsoft Entra ID weryfikuje uprawnienia i stosuje zasady dostępu warunkowego do autoryzowania dostępu do zasobów. - Użyj funkcji zarządzania tożsamościami zarządzania upoważnieniami, aby zarządzać cyklami życia tożsamości i dostępu. Znajdowanie przepływów pracy żądań dostępu automatycznego, przypisań dostępu, przeglądów i wygasania. - Zarządzanie upoważnieniami - — przeglądy ról niestandardowych — korzystanie z wbudowanych ról identyfikatorów firmy Microsoft na potrzeby zarządzania zasobami. Jeśli jednak role nie spełniają potrzeb organizacji lub zminimalizować uprawnienia dla użytkowników administracyjnych, utwórz rolę niestandardową. Udziel ról niestandardowych szczegółowe uprawnienia do zarządzania użytkownikami, grupami, urządzeniami, aplikacjami i nie tylko. - Role niestandardowe Jednostki administracyjne Jednostka administracyjna to zasób firmy Microsoft Entra, który zawiera inne zasoby firmy Microsoft Entra, takie jak użytkownicy, grupy lub urządzenia. Użyj jednostek administracyjnych, aby delegować uprawnienia do podzbioru administratorów na podstawie struktury organizacyjnej. - Jednostki - administracyjne z ograniczeniami jednostki - administracyjne Tworzenie lub usuwanie jednostek administracyjnych Privileged Identity Mangement Używanie odnajdywania i szczegółowych informacji usługi PIM w celu zarządzania uprawnieniami i zmniejszania liczby administratorów. Skonfiguruj alerty usługi PIM, gdy role uprzywilejowane są przypisywane poza usługą PIM. - Uprzywilejowany dostęp dla alertów zabezpieczeń hybrydowych i w chmurze - Przejrzyj uprawnienia przyznane aplikacjom. Zbadaj ryzykowne aplikacje OAuth w usłudze Defender dla Chmury Apps. - Przejrzyj uprawnienia przyznane aplikacjom - i okresowego przeprowadzania inspekcji zapytań i działań. Inspekcja zapytań i działań |
1.8 Ciągłe uwierzytelnianie
Microsoft Entra ID używa tokenów krótko-i długotrwałych do okresowego uwierzytelniania użytkowników w aplikacjach i usługach chronionych przez firmę Microsoft Entra. Microsoft Entra ID ma mechanizm ciągłej oceny dostępu (CAE), aby ulepszyć standardowy protokół. Aparat zasad reaguje na zmiany środowiska niemal w czasie rzeczywistym i wymusza zasady adaptacyjnego dostępu.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.8.1 Pojedyncze uwierzytelnianieOrganizacje doD korzystają z podstawowych procesów uwierzytelniania w celu uwierzytelniania użytkowników i np. co najmniej raz na sesję (np. logowania). Co ważne, użytkownicy uwierzytelnieni są zarządzani przez działanie równoległe "Organizacyjne uwierzytelnianie wieloskładnikowe/IDP" przy użyciu dostawcy tożsamości organizacji (IdP) w porównaniu z używaniem tożsamości i grup opartych na aplikacji/usłudze. Wynik: - Uwierzytelnianie zaimplementowane w aplikacjach na sesję |
Microsoft Entra ID Microsoft Entra IDto scentralizowany dostawca tożsamości, który ułatwia logowanie jednokrotne między aplikacjami w chmurze firmy Microsoft i aplikacjami używanymi przez organizację. - Microsoft Entra ID Single sign-on Metoda uwierzytelniania logowania jednokrotnego umożliwia użytkownikom używanie poświadczeń identyfikatora Entra firmy Microsoft do uwierzytelniania aplikacji i usług. Aplikacje mogą być aplikacjami SaaS, niestandardowymi aplikacjami biznesowymi lub aplikacjami lokalnymi. Użyj funkcji uwierzytelniania firmy Microsoft Entra i zero trust, aby umożliwić bezpieczny i łatwy dostęp do aplikacji. - Co to jest logowanie jednokrotne? - Integracja firmy Microsoft Entra z protokołami uwierzytelniania firmy Microsoft Entra aprowizacja aplikacji Microsoft Entra tworzy, aktualizuje i usuwa użytkowników, role i grupy w aplikacjach SaaS oraz aplikacje niestandardowe lub lokalne. Użyj identyfikatora Entra firmy Microsoft jako scentralizowanego źródła tożsamości dla aplikacji. Zminimalizuj tożsamości aplikacji lub usługi i użytkowników. - Automatyczne aprowizowanie - aplikacji aprowizacji aplikacji Microsoft Entra ID jednostki usługi obciążenia i tożsamości zarządzane są tożsamościami jednostek innych niż personifikacja (NPE) w firmie Microsoft Entra. Użyj jednostek usługi do automatycznego (nieinterakcyjnego) dostępu do interfejsów API chronionych przez firmę Microsoft Entra. - Jednostki usługi tożsamości - obciążeń w identyfikatorze entra firmy Microsoft |
Target
1.8.2 Okresowe uwierzytelnianieOrganizacje DoD umożliwiają wymagania dotyczące uwierzytelniania okresowego dla aplikacji i usług. Tradycyjnie są one oparte na czasie trwania i/lub przekroczeniu limitu czasu trwania, ale inne analizy oparte na okresach mogą służyć do ponownego uwierzytelniania sesji użytkowników. Wynik: - Uwierzytelnianie zaimplementowane wiele razy na sesję na podstawie atrybutów zabezpieczeń |
Aplikacje Firmy Microsoft Entra automatycznie zarządzają odświeżaniem sesji bez interakcji użytkownika. Zobacz Wskazówki firmy Microsoft w wersji 1.8.1. Dostęp warunkowy Skonfiguruj kontrolę sesji częstotliwości logowania w dostępie warunkowym w celu ponownego uwierzytelnienia sesji użytkownika. Użyj tej funkcji, gdy logowania są ryzykowne lub urządzenie użytkownika jest niezarządzane lub niezgodne. - Konfigurowanie zasad dostępu do zarządzania sesjami - uwierzytelniania w aplikacjach Defender dla Chmury |
Advanced
1.8.3 Ciągłe uwierzytelnianie pt1Aplikacje/usługa organizacji DoD korzystają z wielu uwierzytelnień sesji na podstawie atrybutów zabezpieczeń i żądanego dostępu. Zmiany uprawnień i żądania transakcji skojarzenia wymagały dodatkowych poziomów uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe (MFA) wypychane do użytkowników. Wynik: - Uwierzytelnianie transakcji zaimplementowane na sesję na podstawie atrybutów zabezpieczeń |
Ciągła ocena dostępu caE jest oparta na standardzie OpenID, który poprawia czas wygaśnięcia tokenu i mechanizm odświeżania w celu osiągnięcia czasowego reagowania na naruszenia zasad. Usługa CAE wymaga nowego tokenu dostępu w odpowiedzi na zdarzenia krytyczne, takie jak użytkownik przechodzący z zaufanej lokalizacji sieciowej do niezaufanej. Zaimplementuj środowisko CAE przy użyciu aplikacji klienckich i interfejsów API usługi zaplecza. - Oceny zdarzeń krytycznych dla ciągłej oceny - dostępu firmy Microsoft aplikacja pakietu Office lication, które używają interfejsu API programu Microsoft Graph, interfejsu API usługi Outlook Online i interfejsu API usługi SharePoint Online, obsługują interfejs API usługi SharePoint Online. Twórz aplikacje przy użyciu najnowszych bibliotek uwierzytelniania firmy Microsoft (MSAL), aby uzyskiwać dostęp do interfejsów API z obsługą interfejsów API caE. - CaE dla interfejsów API z obsługą caE platformy Microsoft 365 - używanie kontekstu uwierzytelniania dostępu warunkowego w celu ochrony poufnych witryn programu SharePoint, usługi Microsoft Teams, aplikacji chronionych Microsoft Defender dla Chmury Apps, aktywacji ról usługi PIM i aplikacji niestandardowych. uwierzytelniania dla witryn programu SharePoint i zasad sesji usługi OneDrive - w aplikacjach - Defender dla Chmury Wymagaj kontekstu uwierzytelniania dla ról - USŁUGI PIM Wskazówki dotyczące - kontekstu uwierzytelniania Użyj akcji chronionych, aby dodać kolejną warstwę ochrony, gdy administratorzy wykonują akcje wymagające uprawnień o wysokim poziomie uprawnień w usłudze Identyfikator entra firmy Microsoft, taki jak zarządzanie zasadami dostępu warunkowego i ustawieniami dostępu między dzierżawami. Ochrona akcji użytkownika, takich jak rejestrowanie informacji zabezpieczających i dołączanie urządzeń. - Chronione akcje - Wymagaj kontekstu uwierzytelniania na potrzeby aktywacji roli PIM. Zobacz Wskazówki firmy Microsoft w wersji . |
Advanced
1.8.4 Organizacje ciągłego uwierzytelniania Pt2DoD kontynuują korzystanie z uwierzytelniania opartego na transakcjach w celu uwzględnienia integracji, takiej jak wzorce użytkowników. Wynik: - Uwierzytelnianie transakcji zaimplementowane na sesję na podstawie atrybutów zabezpieczeń, w tym wzorców użytkowników |
Ochrona tożsamości Microsoft Entra Nie Ochrona tożsamości Microsoft Entra wykrywa nietypowe, podejrzane lub ryzykowne zachowanie, zwiększa się poziom ryzyka użytkownika. Utwórz zasady dostępu warunkowego przy użyciu warunków ryzyka, zwiększając ochronę na poziomie ryzyka. - Wykrywanie ryzyka Zobacz Wskazówki firmy Microsoft w wersji 1.3.3. Zwiększenie poziomu ryzyka oceny ciągłego dostępu jest krytycznym zdarzeniem CAE. Usługi implementujące interfejs CAE, na przykład interfejs API usługi Exchange Online, wymagają, aby klient (Outlook) ponownie uwierzytelnił się na potrzeby następnej transakcji. Zasady dostępu warunkowego dla zwiększonego poziomu ryzyka są spełnione, zanim identyfikator Entra firmy Microsoft wystawia nowy token dostępu dla dostępu do usługi Exchange Online. - Ocena zdarzeń krytycznych |
1.9 Zintegrowana platforma ICAM
Identyfikator entra firmy Microsoft obsługuje uwierzytelnianie certyfikatów z certyfikatami wystawionymi przez zewnętrzną infrastrukturę kluczy publicznych (PKI) dla jednostek użytkowników i osób niebędących użytkownikami (NPE). NpE w identyfikatorze Entra firmy Microsoft to tożsamości aplikacji i urządzeń. Tożsamość zewnętrzna Microsoft Entra ustawienia dostępu między dzierżawami ułatwiają wielodostępnym organizacjom, takich jak DoD, bezproblemową współpracę między dzierżawami.
| Opis i wynik działania dod | Wskazówki i zalecenia firmy Microsoft |
|---|---|
Target
1.9.1 Enterprise PKI/IDP Pt1DoD Enterprise współpracuje z organizacjami w celu zaimplementowania rozwiązań infrastruktury kluczy publicznych przedsiębiorstwa (PKI) i dostawcy tożsamości (IdP) w sposób scentralizowany i/lub federacyjny. Rozwiązanie infrastruktury kluczy publicznych przedsiębiorstwa korzysta z jednego lub zestawu głównych urzędów certyfikacji (CA) na poziomie przedsiębiorstwa, które następnie mogą być zaufane przez organizacje w celu utworzenia pośredniego urzędu certyfikacji wyłączone. Rozwiązanie dostawcy tożsamości może być jednym rozwiązaniem lub federacyjnym zestawem identyfikatorów organizacyjnych o standardowym poziomie dostępu w organizacjach i ustandaryzowanym zestawie atrybutów. Dostawcy tożsamości organizacji i urzędy certyfikacji PKI są zintegrowane z dostawcą tożsamości przedsiębiorstwa i rozwiązaniami PKI. Wyniki: - Składniki używają dostawcy tożsamości z uwierzytelnianiem wieloskładnikowym dla wszystkich aplikacji/usług — organizacyjnej uwierzytelniania wieloskładnikowego/infrastruktury PKI zintegrowanej z uwierzytelnianiem wieloskładnikowym przedsiębiorstwa /infrastruktury kluczy publicznych w organizacji dla wszystkich usług |
Metodyuwierzytelniania identyfikatora Entra firmy Microsoft używają zasad metod uwierzytelniania w usłudze Microsoft Entra ID do kontrolowania metod uwierzytelniania użytkowników. - Microsoft Entra CBA Zobacz Wskazówki firmy Microsoft w wersji 1.3.1. Siłauwierzytelniania Użyj siły uwierzytelniania, aby kontrolować dostęp użytkowników do zasobów. - Siła uwierzytelniania Tożsamość zewnętrzna Microsoft Entra Konfiguruj dostęp między dzierżawami dla dzierżaw usługi DoD Microsoft Entra ID. Ustawienia zaufania umożliwiają akceptowanie oświadczeń uwierzytelniania wieloskładnikowego i zgodnych urządzeń dla tożsamości zewnętrznych z zaufanych dzierżaw DoD. - Zasadyzarządzania aplikacjami między dzierżawami Zasady zarządzania aplikacjami dzierżawy to struktura umożliwiająca zaimplementowanie najlepszych rozwiązań w zakresie zabezpieczeń dla aplikacji w dzierżawie. Użyj zasad, aby ograniczyć poświadczenia aplikacji do certyfikatów wystawionych przez zaufaną infrastrukturę kluczy publicznych. Aby utworzyć łańcuch zaufania certyfikatów, dodaj nową kolekcję urzędu certyfikacji do certyfikatów pośrednich i głównych urzędów certyfikacji dla przedsiębiorstwa PKI. - certificateBasedApplicationConfiguration typ zasobu Aby utworzyć zasady zarządzania aplikacjami, aby wymagać certyfikatów wystawionych przez zaufane urzędy certyfikacji, skonfiguruj ograniczenia, aby nie zezwalać na hasłoDodaj i wymagają zaufanegocertyfikatora. Określ utworzony identyfikator kolekcji zaufanego urzędu certyfikacji. - Interfejs API obsługuje certyfikaty standardów kryptograficznych prywatnych i publicznych (PKCS). |
Advanced
1.9.2 Enterprise PKI/IDP Pt2Organizacje DoD umożliwiają biometryczne wsparcie dostawcy tożsamości (IdP) dla aplikacji i usług o krytycznym znaczeniu dla zadań zgodnie z potrzebami. Funkcje biometryczne są przenoszone z rozwiązań organizacyjnych do przedsiębiorstwa. Organizacyjne uwierzytelnianie wieloskładnikowe (MFA) i infrastruktura kluczy publicznych (PKI) są likwidowane i migrowane do przedsiębiorstwa zgodnie z potrzebami. Wyniki: - Krytyczne usługi organizacyjne zintegrowane w/ Biometryczne — likwiduj organizacyjne uwierzytelnianie wieloskładnikowe/infrastrukturę kluczy publicznych zgodnie z potrzebami uwierzytelniania wieloskładnikowego przedsiębiorstwa/ infrastruktury kluczy publicznych — zaimplementowane funkcje biometryczne przedsiębiorstwa |
Microsoft Entra IDfirma Microsoft obsługuje dane biometryczne w kilku składnikach zgodnych z uwierzytelnianiem identyfikatora Entra firmy Microsoft. Metodyuwierzytelniania Microsoft Entra ID obsługują sprzętowe klucze dostępu (FIDO2 security keys), które używają obecności lub odcisku palca. - Klucze Windows Hello dla firm używają gestów biometrycznych, takich jak odcisk palca i skanowanie twarzy. - mają dane biometryczne, takie jak Touch ID, aby zalogować się przy użyciu poświadczeń powiązanych z urządzeniem. używa dotyku i twarzy do uwierzytelniania bez hasła. Obsługa klucza dostępu to inna metoda uwierzytelniania odporna na wyłudzanie informacji w aplikacji Authenticator. - - |
Advanced
1.9.3 Enterprise PKI/IDP Pt3Organizacje DoD integrują pozostałe aplikacje/usługi z funkcjami biometrycznymi. Można użyć alternatywnych tokenów wieloskładnikowych (MFA). Wynik: - Wszystkie usługi organizacyjne integrują w/ biometryczne |
Zweryfikowany identyfikator Microsoft Entra Decentralizowane scenariusze tożsamości przy użyciu zweryfikowanego identyfikatora mogą wymagać weryfikacji twarzy po prezentacji poświadczeń. - Sprawdzanie twarzy z weryfikacją identyfikatora - |
Następne kroki
Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust: