A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
Ez a cikksorozat útmutatást nyújt a Microsoft Entra ID központi identitáskezelési rendszerként való alkalmazásához Teljes felügyelet alapelvek megvalósításakor. Lásd: Us Office of Management and Budget (OMB) M 22-09 Memorandum a vezetői részlegek és ügynökségek vezetői számára.
A feljegyzéskövetelmények a többtényezős hitelesítési házirendek kényszerítési típusai, valamint az eszközök, szerepkörök, attribútumok és emelt szintű hozzáférés-kezelés vezérlői.
Eszközalapú vezérlők
A 22–09.számú memorandum követelménye legalább egy eszközalapú jelzés a rendszer vagy alkalmazás elérésére vonatkozó engedélyezési döntésekhez. A követelmény kényszerítése feltételes hozzáféréssel. Több eszközjel alkalmazása az engedélyezés során. A jel és a jel lekérésének követelménye az alábbi táblázatban található.
| Jel | Jellekérés |
|---|---|
| Az eszköz kezelése | Integráció az Intune-nal vagy más, az integrációt támogató mobileszköz-kezelési (MDM-) megoldással. |
| Csatlakoztatott Microsoft Entra hibrid | Az Active Directory kezeli az eszközt, és jogosult rá. |
| Az eszköz megfelelő | Integráció az Intune-nal vagy egy másik, az integrációt támogató MDM-megoldással. Lásd: Megfelelőségi szabályzat létrehozása a Microsoft Intune-ban. |
| Veszélyforrások jelzése | Végponthoz készült Microsoft Defender és más végponti észlelés és reagálás (Végponti észlelés és reagálás) eszközök Microsoft Entra-azonosítóval és Intune-integrációval rendelkeznek, amelyek fenyegetésjelzéseket küldenek a hozzáférés megtagadásához. A veszélyforrások jelzése támogatja a megfelelő állapotjelzést. |
| Bérlők közötti hozzáférési szabályzatok (nyilvános előzetes verzió) | Megbízható eszközjelek más szervezetek eszközeitől. |
Szerepköralapú vezérlők
Szerepköralapú hozzáférés-vezérléssel (RBAC) kényszerítheti ki az engedélyeket egy adott hatókör szerepkör-hozzárendelésével. Például jogosultságkezelési funkciókkal rendelhet hozzá hozzáférést, beleértve a hozzáférési csomagokat és a hozzáférési felülvizsgálatokat. Önkiszolgáló kérésekkel kezelheti az engedélyezéseket, és automatizálással kezelheti az életciklust. Például automatikusan véget vet a hozzáférésnek a feltételek alapján.
További információ:
- Mi az a jogosultságkezelés?
- Új hozzáférési csomag létrehozása a jogosultságkezelésben
- Mik azok a hozzáférési felülvizsgálatok?
Attribútumalapú vezérlők
Az attribútumalapú hozzáférés-vezérlés (ABAC) a felhasználóhoz vagy erőforráshoz rendelt metaadatokat használja a hozzáférés engedélyezéséhez vagy megtagadásához a hitelesítés során. Az alábbi szakaszokban az adatok és erőforrások ABAC-kényszerítései hitelesítéssel történő létrehozásával hozhat létre engedélyeket.
Felhasználókhoz rendelt attribútumok
Felhasználói engedélyek létrehozásához használja a felhasználókhoz rendelt, a Microsoft Entra-azonosítóban tárolt attribútumokat. A felhasználók automatikusan dinamikus csoportokhoz vannak rendelve a csoportlétrehozás során definiált szabálykészlet alapján. A szabályok hozzáadnak vagy eltávolítanak egy felhasználót a csoportból a felhasználó és az attribútumaik szabályértékelése alapján. Javasoljuk, hogy tartsa karban az attribútumokat, és ne állítsa be a statikus attribútumokat a létrehozás napján.
További információ: Dinamikus csoport létrehozása vagy frissítése a Microsoft Entra-azonosítóban
Az adatokhoz rendelt attribútumok
A Microsoft Entra ID-val integrálhatja az adatokhoz való engedélyezést. Az engedélyezés integrálásához tekintse meg a következő szakaszokat. A hitelesítés feltételes hozzáférési szabályzatokban konfigurálható: korlátozhatja a felhasználók által az alkalmazásban vagy az adatokon végzett műveleteket. Ezek a hitelesítési szabályzatok ezután le vannak képezve az adatforrásban.
Az adatforrások lehetnek Olyan Microsoft Office-fájlok, mint a Word, az Excel vagy a SharePoint-webhelyek, amelyeket hitelesítésre képeztek le. Az alkalmazások adataihoz rendelt hitelesítés használata. Ehhez a megközelítéshez integrálásra van szükség az alkalmazáskóddal, és a fejlesztőknek el kell fogadniuk a képességet. A Felhőhöz készült Microsoft Defender-alkalmazásokkal való hitelesítési integrációval szabályozhatja az adatokon a munkamenet-vezérlők használatával végrehajtott műveleteket.
A dinamikus csoportok és a hitelesítési környezet kombinálásával szabályozhatja a felhasználói hozzáférés-leképezéseket az adatok és a felhasználói attribútumok között.
További információ:
- Conditional Access: Cloud apps, actions, and authentication context
- Fejlesztői útmutató a feltételes hozzáférés hitelesítési környezetéhez
- Session policies
Erőforrásokhoz rendelt attribútumok
Az Azure attribútumalapú hozzáférés-vezérlést (Azure ABAC) tartalmaz a tároláshoz. Metaadatcímkéket rendelhet egy Azure Blob Storage-fiókban tárolt adatokhoz. A metaadatok hozzárendelése a felhasználókhoz szerepkör-hozzárendelések használatával a hozzáférés biztosítása érdekében.
További információ: Mi az Azure attribútumalapú hozzáférés-vezérlés?
Emelt szintű hozzáférés-kezelés
A feljegyzés arra hivatkozik, hogy a kiemelt hozzáférés-kezelési eszközök nem használhatók egytényezős, rövid élettartamú hitelesítő adatokkal a rendszerek elérésére. Ezek a technológiák közé tartoznak a jelszótárolók, amelyek többtényezős hitelesítést fogadnak el a rendszergazda számára. Ezek az eszközök létrehoznak egy jelszót egy másik fiókhoz a rendszer eléréséhez. A rendszerhozzáférés egyetlen tényezővel történik.
A Microsoft-eszközök a Privileged Identity Managementet (PIM) implementálják a kiemelt rendszerekhez, központi identitáskezelési rendszerként a Microsoft Entra ID-val. Többtényezős hitelesítés kényszerítése a legtöbb kiemelt rendszer esetében, amelyek alkalmazások, infrastruktúraelemek vagy eszközök.
A PIM használata kiemelt szerepkörökhöz, amikor a Microsoft Entra-identitásokkal van implementálva. Azonosítsa azokat a kiemelt rendszereket, amelyek védelmet igényelnek az oldalirányú mozgás megakadályozása érdekében.
További információ:
- Mi a Microsoft Entra Privileged Identity Management?
- Privileged Identity Management-telepítés megtervezése
Következő lépések
- A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval
- Memo 22-09 nagyvállalati szintű identitáskezelési rendszer
- A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
- A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei
- Identitás biztonságossá tétele Teljes felügyelet
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: