DoD 零信任 策略和藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可排除傳統周邊和信任假設,以更有效率的架構來增強安全性、用戶體驗和任務效能。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
1 個使用者
本節Microsoft使用者支柱中 DoD 零信任 活動的指引和建議。 若要深入瞭解,請參閱使用 零信任 保護身分識別。
1.1 使用者清查
Microsoft Entra ID 是Microsoft雲端服務所需的身分識別平臺。 Microsoft Entra ID 是識別提供者 (IdP) 和治理平臺,可支援多重雲端和混合式身分識別。 您可以使用 Microsoft Entra ID 來管理 Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Oracle 雲端基礎結構 (OCI) 等非Microsoft雲端的存取權。 Microsoft Entra ID 使用標準身分識別通訊協定,使其成為適用於軟體即服務 (SaaS)、新式 Web 應用程式、桌面和行動應用程式,以及舊版內部部署應用程式的 IdP。
使用Microsoft Entra ID 來驗證使用者和非人員實體(NPE)、持續授權對應用程式和數據的存取、遵循最低許可權原則控管身分識別及其權利,以及執行 Just-In-Time (JIT) 系統管理。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.1.1 清查使用者DoD 組織會視需要手動建立及更新使用者清查,並在後續階段準備自動化方法。 系統會識別並清查由IdP/ICAM和本機系統上集中管理的帳戶。 未來稽核會識別具特殊許可權的帳戶,而且會識別應用程式和系統本機的標準和特殊許可權用戶帳戶,以供日後移轉和/或解除委任。 結果: - 識別的受控一般使用者 - 識別的受控特殊許可權使用者 - 使用自己的使用者帳戶管理進行非系統管理和管理帳戶的已識別應用程式 |
Microsoft Entra 識別碼 :使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 識別組織中的一般和特殊許可權使用者。 用戶活動會擷取於Microsoft Entra ID 登入和稽核記錄中,其可與Microsoft Sentinel 等安全性資訊事件監視 (SIEM) 系統整合。 - 採用Microsoft Entra ID - Microsoft Graph API:列出使用者Microsoft Entra 活動記錄整合 - Microsoft Entra 和 Azure 角色 特殊許可權使用者會指派給Microsoft Entra ID 角色、Azure 角色或 Microsoft Entra ID 安全組,這些安全組會授與特殊許可權存取權給 Microsoft 365 或其他應用程式。 建議您使用僅限雲端的用戶進行特殊許可權存取。 - 內建角色 適用於雲端的 Microsoft Defender 應用程式 使用 適用於雲端的 Defender 應用程式,使用自己的身分識別存放區來探索未核准的應用程式。 - 探索和管理影子 IT 適用於身分識別的 Microsoft Defender Deploy 並設定 適用於身分識別的 Microsoft Defender 感測器,為 內部部署的 Active Directory Domain Services 環境建置身分識別資產清查。 - |
1.2 條件式使用者存取
Microsoft Entra ID 可協助您的組織實作條件式動態使用者存取。 支援這項功能的功能包括Microsoft Entra 條件式存取、Microsoft Entra ID 控管、自定義角色、動態安全組、應用程式角色和自定義安全性屬性。
條件式存取是 Microsoft Entra 識別碼中的即時 零信任 原則引擎。 條件式存取原則會使用來自使用者、裝置、應用程式、會話、風險等的安全性訊號,針對受 entra ID 保護 Microsoft的資源套用調適性動態授權。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.2.1 每個企業實作應用程式型許可權與組織合作的 DoD 企業會建立驗證和授權的基本使用者屬性集。 這些專案會與「企業身分識別生命週期管理 Pt1」活動程式整合,以取得完整的企業標準。 企業身分識別、認證和存取管理 (ICAM) 解決方案已啟用自助式功能,以在解決方案中新增/更新屬性。 剩餘的特殊許可權存取管理 (PAM) 活動會完全遷移至 PAM 解決方案。 結果: - 使用者授權應用程式函式和/或數據所需的企業角色/屬性已向企業 ICAM 註冊- DoD Enterprise ICAM 具有自助屬性/角色註冊服務,可讓應用程式擁有者新增屬性或使用現有的企業屬性 -特殊許可權活動已完全遷移至 PAM |
Microsoft Entra Connect使用 Microsoft Entra Connect 建立混合式身分識別,以從目前目錄系統填入Microsoft Entra ID 租使用者。 - Microsoft Entra Connect Microsoft Entra 應用程式整合應用程式 與Microsoft Entra 識別符。 使用安全組和應用程式角色設計應用程式授權和許可權模型。 若要委派應用程式管理,請指派擁有者來管理應用程式設定、註冊及指派應用程式角色。 - 將應用程式與 Microsoft Entra ID - 應用程式角色整合 Microsoft Entra ID 控管 - 在權利管理中設定存取套件,讓使用者可以要求存取應用程式角色或群組。 - 存取委派存取套件控管 - 條件 式存取設定條件式存取原則,以動態授權給受Microsoft Entra ID 保護的應用程式和服務。 在條件式存取原則中,使用自定義安全性屬性和應用程式篩選,將指派給應用程式對象的安全性屬性授權範圍,例如敏感度。 - 條件式存取 - 自定義安全性屬性 - 篩選應用程式 Privileged Identity Management 使用 PIM 探索和深入解析來識別具特殊許可權的角色和群組。 使用 PIM 來管理探索到的許可權,並將使用者指派從永久轉換為合格。 - PIM 探索和深入解析 |
Target
1.2.2 以規則為基礎的動態存取 Pt1DoD 組織會利用「定期驗證」活動中的規則,以動態方式建置啟用和停用許可權的基本規則。 高風險使用者帳戶會利用 PAM 解決方案,使用 Just-In-Time 存取和 Just Enough-Administration 方法移至動態特殊許可權存取。 結果: - 應用程式/服務的函式和/或數據的存取僅限於具有適當企業屬性 的使用者- 所有可能的應用程式都會使用 JIT/JEA 許可權給系統管理使用者 |
Microsoft Entra ID 使用 Microsoft Entra 標識元 授權和治理功能,根據使用者屬性、角色指派、風險和會話詳細數據來限制應用程式存取。 請參閱 1.2.1 中的Microsoft指引。 Privileged Identity Management 針對 Microsoft Entra 和 Azure 角色使用 PIM。 使用 PIM 進行群組的 PIM,將 PIM 擴充至其他Microsoft Entra ID 應用程式。 - 適用於Microsoft適用於群組之 Azure 角色 PIM 之專案角色 - |
Advanced
1.2.3 以動態存取為基礎的動態存取 Pt2DoD 組織會針對風險進行動態存取決策,展開規則的開發。 用於動態存取的解決方案會與跨支柱 機器學習 和人工智慧功能整合,以啟用自動化規則管理。 結果: -元件和服務充分利用規則,讓動態存取應用程式和服務 - 用於以規則為基礎的動態存取技術支援與 AI/ML 工具整合 |
Microsoft Entra ID Protection Microsoft Entra ID Protection 會使用機器學習 (ML) 演算法來偵測使用者和登入風險。 根據風險層級,在條件式存取原則中使用風險條件進行動態存取。 - - 部署 適用於端點的 Microsoft Defender 和 適用於雲端的 Microsoft Defender 應用程式並設定整合。 - 整合適用於端點的Defender與 適用於雲端的 Defender Apps |
Advanced
1.2.4 企業治理角色和許可權 Pt1DoD 組織會根據企業身分識別、認證和存取管理 (ICAM) 解決方案,將剩餘的使用者和群組屬性同盟。 更新的屬性集是用來為組織建立要使用的通用角色。 身分識別提供者 (IdP) 和身分識別、認證和存取管理 (ICAM) 解決方案的核心功能會移轉至雲端服務和/或環境,以改善復原能力和效能。 結果: -與企業ICAM 同盟的元件屬性和角色數據存放庫- 雲端式企業IdP可供雲端和內部部署應用程式 使用- 已建立並符合屬性的標準化角色和許可權集合 |
Microsoft Entra ID Microsoft Entra ID 是多重雲端集中受控識別、認證和存取管理 (ICAM) 平臺和身分識別提供者 (IdP)。 使用 Microsoft Entra Connect 建立混合式身分識別,以填入目錄中的用戶數據。 - Microsoft Entra ID - 整合應用程式與 Microsoft Entra ID,並使用動態安全組、應用程式角色和自定義安全性屬性來管理應用程式的存取權。 - 若要針對使用舊版驗證通訊協議的應用程式使用 Microsoft Entra 標識符,部署及設定應用程式 Proxy,或整合安全的混合式存取 (SHA) 合作夥伴解決方案。- |
Advanced
1.2.5 企業治理角色和許可權 Pt2DoD 組織會將身分識別提供者 (IdP) 和身分識別、認證和存取管理 (ICAM) 解決方案的所有可能功能移至雲端環境。 記憶體保護區/DDIL 環境本機功能可支援中斷連線的功能,但最終是由集中式身分識別、認證和存取管理 (ICAM) 解決方案所管理。 更新的角色現在已強制使用,並遵循以風險為基礎的方法來檢閱例外狀況。 結果: - 大部分元件都利用雲端 IdP 功能,在可能解除委任內部部署 IdP 時-評估屬性時會強制使用許可權和角色 |
Microsoft Entra 應用程式將新式應用程式從 Active Directory 同盟服務 (AD FS) 遷移至 Microsoft Entra ID,然後解除委任 AD FS 基礎結構。 - 將應用程式驗證從 AD FS 遷移至 Microsoft Entra ID Microsoft Entra 應用程式佈 建將剩餘的 ICAM 和應用程式佈建程式從內部部署身分識別管理系統移轉至 Microsoft Entra ID。 - API 驅動的輸入布建 - 應用程式布建 |
1.3 多重要素驗證
Microsoft Entra ID 支援憑證型驗證 (CBA),包括 DoD Common Access Card (CAC) 和個人身分識別驗證 (PIV),而不與另一個 IdP 同盟,適用於雲端和混合式(已同步處理)使用者。 Microsoft Entra ID 支援多個業界標準的多重要素無密碼驗證方法,包括 CBA、Windows Hello 企業版、FIDO2 安全性密鑰和複雜密鑰。
您可以建立條件式存取原則,以強制執行驗證強度,並根據使用者、裝置和環境條件動態授權存取,包括風險層級。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.3.1 組織 MFA/IDPDoD 組織會採購並實作集中式識別提供者 (IdP) 解決方案和 Multi-Factor (MFA) 解決方案。 假設這兩個解決方案都支援自動化整合,IdP 和 MFA 解決方案可以結合在單一應用程式中或視需要分隔。 IdP 和 MFA 都支援與企業 PKI 功能整合,並讓受信任的跟證書授權單位簽署密鑰組。 任務/任務關鍵性應用程式和服務會利用IdP和 MFA 解決方案來管理使用者和群組。 結果: - 元件搭配 MFA 搭配使用 IdP 進行關鍵應用程式/服務 - 元件已實作識別提供者 (IdP) 來啟用 DoD PKI 多重要素驗證 - 針對重要服務組織標準化 PKI |
Microsoft Entra 驗證方法: 使用 DoD PKI 設定 Microsoft Entra CBA。 將全域保護層級設定為單一要素驗證。 為每個 DoD 發行 CA 或原則 OID 建立規則,以將 DoD PKI 識別為多重要素驗證保護層級。 設定之後,使用者會使用 DoD CAC 登入 entra Microsoft。 - Microsoft Entra ID - ,將使用者驗證從內部部署同盟服務移轉至 Microsoft Entra CBA。 請參閱 1.2.4 中的- 建立名為 DoD CAC 的新驗證強度。 選擇憑證式驗證 (多重要素)。 設定進階選項,然後選取 DoD PKI 的憑證簽發者。 - 驗證強度 - Microsoft Entra 支援兩種方法,在行動裝置上使用憑證:衍生認證(裝置上憑證),以及硬體安全性密鑰。 若要在受控行動裝置上使用 DoD PKI 衍生認證,請使用 Intune 部署 DISA Purebred。 - 衍生認證 - iOS 裝置上的 CBA - Android 裝置上的 CBA |
Advanced
1.3.2 替代彈性 MFA Pt1DoD 組織的識別提供者 (IdP) 支援符合網路安全需求的多重要素驗證替代方法(例如 FIPS 140-2、FIPS 197 等)。 替代令牌可用於應用程式型驗證。 Multi-Factor 選項支援生物特徵辨識功能,而且可以使用自助方法來管理。 在可能的情況下,多重要素提供者會移至雲端服務,而不是裝載於內部部署。 結果: - IdP 提供使用者自助替代令牌 - IdP 針對每個原則核准的應用程式提供替代令牌 MFA |
Microsoft Entra 驗證方法 設定 Microsoft Entra 驗證方法,讓用戶註冊複雜密鑰(FIDO2 安全性金鑰)。 使用選擇性設定來為符合 FIPS 140-2 規範的密鑰設定密鑰限制原則。 - 無密碼安全性金鑰登入 - 驗證方法 暫存存取傳遞 設定暫時存取通過 (TAP) 讓用戶在沒有 CAC 的情況下註冊替代無密碼驗證器。 - 設定 TAP 條件式存取 建立條件式存取原則以要求驗證強度:DoD CAC 以進行安全性信息註冊。 此原則要求 CAC 註冊其他驗證器,例如 FIDO2 安全性金鑰。 - 安全性信息註冊 請參閱 1.3.1 中的Microsoft指導方針。 Windows Hello 企業版 使用適用於 Windows 登入的 PIN 或生物特徵辨識手勢 Windows Hello 企業版。 針對企業提供的 Windows 裝置,使用裝置管理原則進行 Windows Hello 企業版 註冊。 - Windows Hello 企業版 |
Advanced
1.3.3 替代彈性 MFA Pt2替代令牌會利用跨要素活動中的用戶活動模式,例如「用戶活動監視(UAM)和使用者和實體行為分析(UEBA)」,協助進行存取決策(例如,在發生模式偏差時不授與存取權)。 此功能也會進一步延伸至已啟用生物特徵辨識功能的替代令牌。 結果: - 實作的用戶活動模式 |
Microsoft Entra ID Protection Microsoft Entra ID Protection 會使用機器學習和威脅情報來偵測有風險的使用者和登入事件。 使用登入和用戶風險條件,將條件式存取原則設為風險層級。 從需要 MFA 進行有風險登入的基準保護開始。 - Microsoft Entra ID Protection - 部署 Identity Protection 條件式存取 建立一組風險型條件式存取 原則,以在風險增加時使用授與和會話控件來要求更強大的保護。 - 設定及啟用風險原則 - 條件式存取:工作階段 - 條件式存取:授與 風險型條件式存取原則範例: 中度登入風險 - 需要驗證強度:網路釣魚防護 MFA - 需要相容的裝置 - 登入頻率:1 小時 高登入風險 - 需要驗證強度:網路釣魚防護 MFA - 需要相容的裝置 - 登入頻率:每次 高用戶風險 - 需要驗證強度:網路釣魚防護 MFA - 需要相容的裝置 - 登入頻率:每次 Microsoft Sentinel 設定 Sentinel 分析規則和劇本,以在用戶風險很高時建立 Entra ID Protection 警示的事件。 - Microsoft Sentinel 的 Entra ID Protection 連接器 - User:revokeSignInSessions |
1.4 特殊許可權存取管理
Microsoft Entra ID 控管 啟用 PAM 功能,包括 Just-In-Time 管理、權利管理和定期存取權檢閱。 Microsoft Entra Privileged Identity Management (PIM) 可協助您探索如何在組織中指派角色。 使用 PIM 轉換永久角色指派 JIT、自定義角色指派和啟用需求,也會排程存取權檢閱。
條件式存取會強制執行驗證強度、風險層級,以及符合規範的特殊許可權存取工作站 (PAW) 裝置,以進行特殊許可權存取。 Microsoft Entra 識別碼中的系統管理動作會記錄在 Microsoft Entra 稽核記錄中。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.4.1 實作系統和移轉特殊許可權使用者 Pt1DoD 組織會採購並實作 Privileged Access Management (PAM) 解決方案,以支援所有重要的特殊許可權使用案例。 系統會識別應用程式/服務整合點,以判斷 PAM 解決方案的支援狀態。 輕鬆與 PAM 解決方案整合的應用程式/服務會轉換至使用解決方案與靜態和直接特殊許可權。 結果: - 已實作 Privilege Access Management (PAM) 工具 - 支援且不支持識別 PAM 工具的應用程式和裝置 - 支援 PAM 的應用程式,現在使用 PAM 來控制緊急/內建帳戶 |
Privileged Identity Management 部署 PIM 以保護Microsoft Entra ID 和 Azure 角色。 使用 PIM 探索和深入解析來識別特殊許可權的角色和群組。 使用 PIM 來管理探索到的許可權,並將使用者指派從永久轉換為合格。 - PIM 概觀 - 角色的探索和深入解析 - Azure 資源 Microsoft Intune 針對 Microsoft Entra、Microsoft 365 和 Azure 系統管理部署 Intune 管理的 PAW。 - 特殊許可權存取策略 條件式存取 使用條件式存取原則來要求符合規範的裝置。 若要強制執行PAW,請在條件式存取相容裝置授與控制中使用裝置篩選器。 - 裝置的篩選條件 |
Target
1.4.2 實作系統和移轉特殊許可權使用者 Pt2DoD 組織會利用支援和不支援的應用程式/服務清查,與特殊許可權存取管理 (PAM) 解決方案整合,以擴充整合。 PAM 與更具挑戰性的應用程式/服務整合,以最大化 PAM 解決方案涵蓋範圍。 例外狀況是在以風險為基礎的方法中管理,目標是移轉和/或解除委任不支援 PAM 解決方案的應用程式/服務。 結果: - 特殊許可權活動會移轉至 PAM,且完全受控存取 |
Privileged Identity Management 使用群組的許可權存取群組和 PIM,以擴充超過 Microsoft Entra ID 和 Azure 的 Just-In-Time (JIT) 存取權。 使用 Microsoft 365、Microsoft Defender 全面偵測回應 或對應至與 entra 識別碼 Microsoft整合之非Microsoft應用程式的特殊許可權角色宣告中的安全組。 - 可指派角色的群組 - 將群組帶入 PIM - 使用者和群組指派給應用程式 條件式存取 當系統管理員在 Entra ID Microsoft 中執行需要高許可權許可權的動作時,使用受保護的動作來新增另一層保護。 例如,管理條件式存取原則和跨租使用者存取設定。 - 受保護的動作 為具有使用中Microsoft Entra 角色成員資格的使用者建立條件式存取原則。 需要驗證強度:網路釣魚防護 MFA 和相容的裝置。 使用裝置篩選器來要求符合規範的PAW。 - 管理員需要 MFA - 裝置篩選條件 |
Advanced
1.4.3 即時核准和 JIT/JEA 分析 Pt1識別必要的屬性(使用者、群組等)會自動化並整合到 Privileged Access Management (PAM) 解決方案中。 許可權存取要求會移轉至 PAM 解決方案,以進行自動化核准和拒絕。 結果: - 識別的帳戶、應用程式、裝置和數據有顧慮(DoD 任務風險最大) - 使用 PAM 工具,套用 JIT/JEA 存取高風險帳戶 - 特殊許可權存取要求會視需要自動化 |
Privileged IdentityMangement 識別您環境中的高風險角色,例如Microsoft Entra 角色、擁有者和使用者存取系統管理員等 Azure 角色,以及具有特殊許可權的安全組。 - 角色的最佳做法 - 特殊許可權角色 將 PIM 角色設定設定設定為需要核准。 - Azure 資源角色設定 - Microsoft Entra 角色設定 - 群組設定的 PIM Microsoft Entra ID 控管 使用存取套件來管理安全組以符合角色資格。 此機制會管理合格的系統管理員;它會針對角色資格新增自助式要求、核准和存取權檢閱。 - 權利管理 建立特殊許可權角色的角色可指派群組,以設定資格要求和核准。 建立名為 Privileged Role Eligible Admins 的目錄。 將可指派角色的群組新增為資源。 - 可指派角色的群組 - 建立和管理資源目錄 在 Privileged Role Eligible Admins 目錄中,建立可指派角色群組的存取套件。 當用戶在權利管理中要求資格、在 PIM 中啟用時需要核准,或兩者都需要核准。 - 存取套件 |
Advanced
1.4.4 即時核准和 JIT/JEA 分析 Pt2DoD 組織整合使用者和實體行為分析 (UEBA) 和用戶活動監視 (UAM) 解決方案與特殊許可權存取管理 (PAM) 解決方案,提供使用者模式分析以進行決策。 結果: - UEBA 或類似的分析系統與 PAM 工具整合,以進行 JIT/JEA 帳戶核准 |
條件式存取 定義特殊許可權存取的驗證內容。 建立一或多個以特殊許可權存取驗證內容為目標的條件式存取原則。 在原則中使用風險條件,並套用特殊許可權存取的授與和會話控件。 建議您要求驗證強度:網路釣魚防護 MFA、符合規範的特殊許可權存取工作站。 - 設定驗證內容 請參閱 1.4.1 中的Microsoft指引。 若要在登入風險很高時封鎖特殊許可權存取,請建立更多條件式存取原則,以具有高登入風險的條件來鎖定特殊許可權存取驗證內容。 以高用戶風險的原則重複此步驟。 - 原則部署 Privileged Identity Management 將 PIM 角色設定設定設定為需要驗證內容。 此設定會在角色啟用時,針對所選的驗證內容強制執行條件式存取原則。 - 需要驗證內容 |
1.5 身分識別同盟和用戶認證
Microsoft Entra ID 在身分識別生命週期管理 (ILM) 中扮演重要角色。 Microsoft Entra 租使用者是超大規模雲端目錄服務、身分識別、認證和存取管理 (ICAM) 解決方案,以及身分識別提供者 (IdP)。 它支援目錄間布建和應用程式布建,以管理內部使用者Microsoft Entra ID 和其他應用程式的生命週期。
Microsoft Entra ID 控管 功能可協助您管理應用程式、Microsoft Teams 和安全組成員資格等權利的訪問許可權生命週期。 權利管理也可以用來上線及管理外部來賓。 您可以封鎖存取,並在移除其上次存取套件時移除來賓用戶物件。 若要瞭解如何將 ILM 函式移轉至 Microsoft Entra ID,請參閱 通往雲端的道路。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.5.1 組織身分識別生命週期管理DoD 組織會為特殊許可權和標準的使用者建立生命週期管理程式。 利用組織識別提供者 (IdP) 會實作程式,後面接著用戶數目上限。 任何超出標準程式的用戶都會透過風險型例外狀況核准,以便定期評估解除委任。 結果: - 標準化的身分識別生命週期程式 |
Microsoft Entra ID標準化身分識別的帳戶生命週期,包括使用者、系統管理員、外部使用者和應用程式身分識別(服務主體)。 - 身分識別生命週期管理 - 身分識別和存取管理作業 Microsoft Entra ID 控管 租使用者中特殊許可權用戶和應用程式的定期存取權檢閱。 - 存取權檢閱 |
Target
1.5.2 企業身分識別生命週期管理 Pt1DoD Enterprise 會與組織合作,以檢閱並調整現有的身分識別生命週期程式、原則和標準。 最終達成一致的原則和支援程式,由 DoD 組織開發並遵循。 DoD 組織利用集中式或同盟識別提供者 (IdP) 和身分識別與存取管理 (IdAM) 解決方案,實作企業生命週期管理程式,以取得身分識別、群組和許可權數目上限。 原則的例外狀況是在以風險為基礎的方法中管理。 結果: - 自動化身分識別生命週期程式 - 與企業ICAM程式和工具整合 |
Microsoft Entra ID 如果您的組織使用 Active Directory,請同步處理使用者以Microsoft Entra Connect Sync 或 Microsoft Entra Connect Cloud Sync Microsoft Entra ID。 注意:請勿同步處理具特殊許可權的 Active Directory 帳戶,或將特殊許可權的雲端角色指派給同步處理的帳戶。 - 聯機同步雲端 - 同步 - 保護 Microsoft 365 不受內部部署攻擊 - 減少受攻擊介面區 Privileged Identity Management 使用 PIM 管理系統管理存取權。 建立特殊許可權Microsoft Entra 和 Azure 角色的存取權檢閱頻率。 - 特殊許可權帳戶 Microsoft Entra 驗證方法 使用雲端式網路釣魚防護 MFA 方法。 使用 DoD Common Access Card (CAC) 設定 Microsoft Entra 憑證型驗證 (CBA),以註冊其他無密碼認證。 請參閱 1.3.2 中的Microsoft指引。 |
Advanced
1.5.3 企業身分識別生命週期管理 Pt2DoD 組織會遵循企業生命週期管理程式,進一步整合身分識別提供者 (IdP) 和身分識別、認證和存取管理 (ICAM) 解決方案的重要自動化功能,以啟用企業自動化和分析。 身分識別生命週期管理主要程式已整合到雲端式企業ICAM解決方案中。 結果: - 整合 w/ 重要 IDM/IDP 函 式 - 主要 ILM 函式是以雲端為基礎 |
Microsoft Entra ID 控管 使用權利管理和存取權檢閱來管理組織的使用者存取生命週期和外部來賓身分識別生命週期。 - 權利管理 - 外部使用者存取控管 和 工作負載 ID 同盟,以減少管理應用程式認證的風險。 - 工作負載身分識別同盟 - 應用程式管理原則 設定應用程式管理原則,以控制新增至租用戶中應用程式的認證類型。 使用passwordAddition限制來要求應用程式的憑證認證。 - 應用程式方法 API - 應用程式驗證憑證認證 |
Advanced
1.5.4 企業身分識別生命週期管理 Pt3DoD 組織會整合其餘的身分識別生命週期管理程式與企業身分識別、認證和存取管理解決方案。 記憶體保護區/DDIL 環境,但仍授權使用本機連接器與雲端環境的企業ICAM整合。 結果: - 所有 ILM 函式都會視需要 移至雲端- 與所有 IDM/IDP 函式整合 |
Microsoft Entra 應用程式佈 建 使用 Microsoft Entra 應用程式佈建將身分識別同步至 SCIM、SQL、LDAP、PowerShell 和 Web 服務應用程式。 使用 API 驅動應用程式,將使用者布建到不同的 Active Directory 實例。 - 布建應用程式 - 內部部署應用程式布建 - 設定 API 驅動布建應用程式 |
1.6 行為、內容相關標識符和生物特徵辨識
Microsoft Entra ID Protection 可協助您使用機器學習服務 (ML) 和威脅情報來偵測、補救及防止身分識別威脅。 此功能會在使用者登入期間偵測實時風險,以及經過一段時間計算的離線風險。 風險包括令牌異常、不尋常的登入屬性、不可能的移動、可疑的用戶行為等等。
身分識別保護與 Microsoft Defender 全面偵測回應整合,以顯示Microsoft Defender產品系列中其他元件偵測到的身分識別風險。
若要深入瞭解,請參閱 什麼是風險偵測?
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.6.1 實作用戶和實體行為分析(UEBA) 和使用者活動監視 (UAM) 工具 DoD 組織會採購並實作使用者與實體行為分析 (UEBA) 和使用者活動監視 (UAM) 解決方案。 初始整合點與企業IdP已完成,讓未來的決策使用方式得以使用。 結果: - 企業 IDP 已實作 UEBA 和 UAM 功能 |
Microsoft Entra ID Protection 部署 Microsoft Entra ID Protection ,以取得使用者和登入事件的即時和離線風險拘留。 使用 Microsoft Entra 工作負載 ID 工作負載身分識別進階版,將身分識別風險偵測延伸至應用程式身分識別(服務主體)。 - 保護工作負載身分 - 識別 工作負載身 分識別的風險型原則 請參閱 1.3.3 中的Microsoft指引。 適用於雲端的 Microsoft Defender 應用程式 部署 適用於雲端的 Defender Apps,並設定與 適用於端點的 Microsoft Defender 和外部解決方案的整合。 在 適用於雲端的 Defender Apps 中設定異常偵測原則。 - 整合適用於端點的Defender與 適用於雲端的 Defender Apps - - 適用於端點的 Defender。 設定適用於端點的Defender與 Microsoft Intune之間的整合。 - 適用於端點的 Defender 和其他解決方案 Microsoft Intune 設定與適用於端點的 Defender 整合,並在您的裝置合規性政策中使用適用於端點的 Defender 計算機風險分數。 - 適用於端點的 Defender 規則 條件式存取 建立條件式存取原則,以要求符合規範的裝置。 授與存取權之前,控件會要求在 Intune 中標示為符合規範的裝置Microsoft。 適用於端點的 Defender 與 Intune 之間的整合,根據合規性狀態提供裝置健康情況和風險層級的整體畫面。 - 合規性原則,可設定 Inune 受控裝置 的規則,Microsoft Sentinel Connect 數據源至 Sentinel ,並啟用 UEBA 以用於稽核記錄、登入記錄、Azure 活動和安全性事件。 - 使用 UEBA 啟用 UEBA - 進階威脅 |
Advanced
1.6.2 用戶活動監視 Pt1DoD 組織會整合使用者和實體行為分析 (UEBA) 和用戶活動監視 (UAM) 解決方案與組織識別提供者 (IdP),以視需要擴充可見度。 UEBA 和 UAM 針對重要應用程式和服務所產生的分析和數據會與 Just-In-Time 和 Just-Enough-Access 解決方案整合,進一步改善決策。 結果: - UEBA 會適當 地與組織 IDP 整合- UEBA 會與適用於重要服務的 JIT/JEA 整合 |
Privileged Identity Management 部署 PIM 並上線特殊許可權角色。 定義特殊許可權存取的驗證內容。 在驗證內容中使用風險條件,並設定 PIM 角色設定,以在啟用時要求驗證內容。 請參閱 1.4.4 中的Microsoft指引。 Microsoft Sentinel 將數據源連線到 Sentinel ,併為稽核記錄、登入記錄、Azure 活動和安全性事件啟用 UEBA。 - 使用 UEBA 啟用 UEBA - 監視和控制雲端應用程式的作業階段。 - 會話原則 - 保護應用程式 調查有風險的使用者 - |
Advanced
1.6.3 用戶活動監視 Pt2DoD 組織會在 Just-In-Time 和 Just-Enough-Access 解決方案中做出決策時,針對所有受監視的應用程式和服務使用產生的數據,從使用者和實體行為分析 (UEBA) 和用戶活動監視 (UAM) 解決方案繼續分析使用量。 結果: - UEBA/實體監視已與所有服務的 JIT/JEA 整合 |
Privileged Identity Management 使用 PIM 進行群組,以使用應用程式角色將 Just-In-Time (JIT) 存取權延伸至應用程式。 將 PIM 管理的群組指派給特殊許可權的應用程式角色。 - 群組 - 的 PIM 將應用程式角色新增至應用程式 |
1.7 最低特殊許可權存取
使用 Microsoft Entra 識別碼的應用程式存取預設為拒絕。 Microsoft Entra ID 控管 權利管理和存取權檢閱等功能可確保存取權有時間限制、符合最低許可權原則,並強制執行職責分離的控制。
使用Microsoft Entra 內建角色,依工作指派最低許可權許可權。 系統管理單位可讓您設定Microsoft Entra ID 使用者和裝置的資源型許可權範圍。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.7.1 默認原則拒絕使用者DoD 組織會稽核內部使用者和群組的許可權使用量,並盡可能撤銷許可權。 此活動包括撤銷和/或解除對應用程式/服務型身分識別和群組的過度許可權和存取權。 在可能的情況下,靜態特殊許可權使用者會解除委任或減少許可權,以準備未來規則/動態型存取。 結果: - 應用程式預設會更新為拒絕需要特定角色/屬性才能存取 的函式/數據 - 已實 作減少的默認許可權層級 - 應用程式/服務已檢閱/稽核所有特殊許可權的使用者,並移除不需要該層級存取的使用者 |
Microsoft Entra ID 檢閱並限制Microsoft Entra ID 中的預設使用者和來賓許可權。 限制使用者同意應用程式,並檢閱您組織中的目前同意。 - 默認用戶權力 限制使用者同意許可權 - 存取 Microsoft Entra 應用程式預設為拒絕。 Microsoft Entra ID 會驗證權利,並套用條件式存取原則來授權資源存取。 - 整合應用程式應用程式 - 整合 Microsoft Entra ID 控管 使用權利管理身分識別治理功能來管理身分識別和存取生命週期。 尋找自動化存取要求工作流程、存取指派、檢閱和到期日。 - 權利管理 - 存取權檢閱 自定義角色 使用Microsoft專案標識符內建角色進行資源管理。 不過,如果角色不符合組織需求,或將系統管理用戶的許可權降到最低,請建立自定義角色。 授與自定義角色細微的許可權,以管理使用者、群組、裝置、應用程式等等。 - 自定義角色 管理單位 系統管理單位 是包含其他Microsoft Entra 資源的Microsoft Entra 資源,例如使用者、群組或裝置。 使用系統管理單位,根據組織結構,將許可權委派給系統管理員子集。 - 管理單位 - 限制管理單位 建立或刪除系統管理單位 - Privileged IdentityMangement 使用 PIM 探索和深入解析來管理許可權,並減少系統管理員數目。 在 PIM 外部指派特殊許可權角色時設定 PIM 警示。 - 適用於混合式和雲端 - 安全性警示的特殊許可權存取Microsoft專案角色 Azure 角色 - 的安全性警示 適用於雲端的 Microsoft Defender 應用程式 檢閱授與應用程式的許可權。 調查 適用於雲端的 Defender Apps 中具風險的 OAuth 應用程式。 - 檢閱授與給應用程式 - Microsoft Sentinel 使用 PIM 指派 Azure 角色以進行 Sentinel 存取,並定期稽核查詢和活動。 - |
1.8 連續驗證
Microsoft Entra ID 會使用簡短且長時間的令牌,定期向Microsoft Entra 保護的應用程式和服務驗證使用者。 Microsoft Entra ID 具有持續存取評估 (CAE) 機制來改善標準通訊協定。 原則引擎會以近乎即時的方式回應環境變更,並強制執行調適型存取原則。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.8.1 單一驗證DoD 組織會採用基本身份驗證程式,至少每一個會話驗證使用者和 NPE 一次(例如登入)。 重要的是,正在驗證的使用者是由與組織識別提供者(IdP) 搭配使用應用程式/服務型身分識別和群組的平行活動「組織 MFA/IDP」來管理。 結果: - 每個會話跨應用程式實作的驗證 |
Microsoft Entra IDMicrosoft Entra ID 是一種集中式識別提供者(IdP),可協助Microsoft雲端應用程式和貴組織使用的應用程式之間的單一登錄(SSO)。 - Microsoft Entra ID 單一登入 單一登錄 (SSO) 驗證方法可讓使用者使用其Microsoft Entra ID 認證來驗證應用程式和服務。 應用程式可以是SaaS、自訂企業營運應用程式或內部部署應用程式。 使用Microsoft Entra 驗證和 零信任 功能,以安全且輕鬆存取應用程式。 - 什麼是 SSO? - Microsoft Entra 與驗證通訊協定 整合,Microsoft Entra 應用程式佈建Microsoft Entra 應用程式 佈建會建立、更新和移除 SaaS 應用程式中的使用者、角色和群組,以及自定義或內部部署應用程式。 使用 Microsoft Entra 識別碼作為應用程式的集中式身分識別來源。 將應用程式或服務身分識別和使用者降至最低。 - 使用服務主體來自動存取受 Microsoft Entra 保護的 API(非互動式)。 - Microsoft Entra 識別碼中的工作負載身分 - 識別服務主體 |
Target
1.8.2 定期驗證DoD 組織會啟用應用程式和服務的期間驗證需求。 傳統上,這些是以持續時間和/或持續時間逾時為基礎,但其他以期間為基礎的分析可用來授權用戶會話的重新驗證。 結果: - 根據安全性屬性,每個會話實作多次驗證 |
Microsoft Entra 應用程式Microsoft Entra 應用程式 會自動管理會話重新整理,而不需要用戶互動。 請參閱 1.8.1 中的Microsoft指引。 條件式存取 在條件式存取中設定 登入頻率 會話控制,以重新驗證用戶會話。 登入有風險時,請使用此功能,或用戶裝置未受管理或不符合規範。 - 在 適用於雲端的 Defender Apps 中設定驗證會話管理 - 存取原則 |
Advanced
1.8.3 連續驗證 Pt1DoD 組織的應用程式/服務會根據要求的安全性屬性和存取權,利用多個會話驗證。 許可權變更和關聯易要求需要額外的驗證層級,例如 Multi-Factor Authentication (MFA) 推送給使用者。 結果: - 根據安全性屬性實作每個會話的交易驗證 |
持續存取評估 CAE 是以 OpenID 標準為基礎,可改善以時間為基礎的令牌到期和重新整理機制,以達到原則違規的逾時回應。 CAE 需要新的存取令牌,以回應重大事件,例如使用者從受信任的網路位置移至不受信任的網路位置。 使用用戶端應用程式和後端服務 API 實作 CAE。 - 持續存取評估 - 使用 圖形 API、Outlook Online API 和 SharePoint Online API 支援 CAE 的Microsoft Office 應用程式 數據 Microsoft評估。 使用最新的Microsoft驗證連結庫 (MSAL) 開發應用程式,以存取已啟用 CAE 的 API。 - 適用於 Microsoft 365 - 和使用條件式存取驗證內容來保護敏感性 SharePoint 網站、Microsoft Teams、適用於雲端的 Microsoft Defender 應用程式保護的應用程式、PIM 角色啟用和自定義應用程式。 使用受保護的動作在系統管理員執行需要高度特殊許可權許可權的動作時,新增另一層保護Microsoft Entra 識別碼,例如管理條件式存取原則和跨租使用者存取設定。 保護用戶動作,例如註冊安全性資訊和加入裝置。 - 受保護的動作 - 目標資源 需要 PIM 角色啟用的驗證內容。 請參閱 1.4.4 Microsoft指引。 |
Advanced
1.8.4 持續驗證 Pt2DoD 組織會繼續使用交易式驗證,以包含整合,例如使用者模式。 結果: - 根據安全性屬性實作每個會話的交易驗證,包括使用者模式 |
Microsoft專案標識符保護 Microsoft Entra ID Protection 偵測到異常、可疑或有風險的行為時,用戶風險層級會增加。 使用風險條件建立條件式存取原則,提高風險層級的保護。 - 風險偵測 請參閱 1.3.3 中的Microsoft指引。 持續存取評估 風險層級增加是重要的 CAE 事件。 實作 CAE 的服務,例如 Exchange Online API,需要用戶端 (Outlook),才能重新驗證下一筆交易。 在Microsoft Entra ID 發出 Exchange Online 存取的新存取令牌之前,會滿足風險層級增加的條件式存取原則。 - 重大事件評估 |
1.9 整合式ICAM平臺
Microsoft Entra ID 支援使用外部公鑰基礎結構 (PKI) 為使用者和非人員實體 (NPE) 簽發的憑證進行憑證驗證。 Microsoft Entra 識別碼中的 NPE 是應用程式和裝置身分識別。 Microsoft Entra 外部 ID 跨租使用者存取設定可協助多租用戶組織,例如 DoD,跨租用戶順暢地共同作業。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
1.9.1 企業 PKI/IDP Pt1DoD Enterprise 會與組織合作,以集中式和/或同盟方式實作企業公鑰基礎結構 (PKI) 和識別提供者 (IdP) 解決方案。 企業 PKI 解決方案會利用單一或一組企業層級跟證書授權單位(CA),然後由組織信任,以建置中繼 CA 的關閉。 身分識別提供者解決方案可以是單一解決方案或同盟的一組組織IdP,具有跨組織的標準存取層級和標準化的屬性集合。 組織的IdP和 PKI證書頒發機構單位會與企業IdP和 PKI 解決方案整合。 結果: - 元件會針對所有應用程式/服務搭配 MFA 使用 IdP - 所有服務的 組織 MFA/PKI 與企業 MFA/PKI 整合的組織標準化 PKI |
Microsoft Entra ID 驗證方法在 Microsoft Entra ID 中使用驗證方法原則來控制使用者驗證方法。 - Microsoft Entra CBA 請參閱 1.3.1 中的Microsoft指導方針。 驗證強度 使用驗證強度來控制使用者對資源的存取。 - 驗證強度 Microsoft Entra 外部 ID 設定 DoD Microsoft Entra ID 租使用者的跨租使用者存取。 使用信任設定,接受來自受信任 DoD 租使用者之外部身分識別的 MFA 和相容裝置宣告。 - 跨租使用者存取 應用程式管理原則 租使用者應用程式管理原則是一種架構,可實作租用戶中應用程式的安全性最佳做法。 使用原則將應用程式認證限制為受信任的 PKI 所簽發的憑證。 若要建立信任的憑證鏈結,請將新的證書頒發機構單位 (CA) 集合新增至企業 PKI 的中繼和根 CA 憑證。 - certificateBasedApplicationConfiguration 資源類型 若要建立應用程式管理原則,以要求信任 CA 所簽發的憑證,請設定不允許 passwordAddition 的限制,並要求 trustedCertificateauthority。 指定您建立的受信任 CA 集合識別碼。 - 應用程式驗證方法 API 支援私人和公鑰密碼編譯標準 (PKCS) 憑證。 |
Advanced
1.9.2 企業 PKI/IDP Pt2DoD 組織會視需要為任務/任務關鍵性應用程式和服務啟用識別提供者 (IdP) 中的生物特徵辨識支援。 生物特徵辨識功能已從組織解決方案移至企業。 組織 Multi-Factor (MFA) 和公鑰基礎結構 (PKI) 會視需要解除委任並移轉至企業。 結果: - 關鍵組織服務整合 w/ 生物特徵辨識技術 - 視情況解除委任組織 MFA/PKI,取代企業 MFA/PKI - 已實作的企業生物特徵辨識功能 |
Microsoft Entra IDMicrosoft支援 Microsoft數個與 entra ID 驗證相容的元件生物特徵辨識技術。 Microsoft Entra ID 的驗證方法支援使用存在或指紋的硬體複雜密鑰(FIDO2 安全性密鑰)。 - FIDO 安全性金鑰 Windows Hello 企業版 Windows Hello 企業版 使用指紋和臉部掃描等生物特徵辨識手勢。 - 身分識別保護配置檔設定 MacOS MacOS 裝置具有生物特徵辨識技術,例如 Touch ID,可使用裝置系結認證登入。 - 適用於 Apple 裝置 的 SSO 外掛程式Microsoft Authenticator 行動裝置和 Authenticator 會使用觸控和臉部進行無密碼驗證。 複雜密碼支援是 Authenticator 中另一個防網路釣魚驗證方法。 - 驗證器 - 無密碼登入 - 增強型網路釣魚防護驗證 |
Advanced
1.9.3 企業 PKI/IDP Pt3DoD 組織整合其餘的應用程式/服務與生物特徵辨識功能。 您可以使用替代 Multi-Factor (MFA) 令牌。 結果: - 所有組織服務整合 w/ 生物特徵辨識 |
Microsoft Entra 驗證識別碼 使用已驗證標識碼的已驗證身分識別案例,可能需要在認證呈現時進行臉部驗證。 - 驗證標識子 - 臉部檢查 |
下一步
為 DoD 零信任 策略設定 Microsoft 雲端服務: