A 22-09-re vonatkozó memorandum többtényezős hitelesítési követelményeinek teljesítése
Megtudhatja, hogyan használhatja a Microsoft Entra ID-t központosított identitáskezelési rendszerként Teljes felügyelet alapelvek megvalósításakor. Lásd: Us Office of Management and Budget (OMB) M 22-09 Memorandum a vezetői részlegek és ügynökségek vezetői számára.
A feljegyzési követelmények az, hogy az alkalmazottak vállalati felügyelt identitásokkal férnek hozzá az alkalmazásokhoz, és hogy a többtényezős hitelesítés védi az alkalmazottakat a kifinomult online támadásoktól, például az adathalászattól. Ez a támadási módszer megkísérli beszerezni és feltörni a hitelesítő adatokat a hitelesítési webhelyekre mutató hivatkozásokkal.
A többtényezős hitelesítés megakadályozza a fiókokhoz és adatokhoz való jogosulatlan hozzáférést. A feljegyzés követelményei többtényezős hitelesítést idéznek adathalászatnak ellenálló módszerekkel: hitelesítési folyamatok, amelyek célja a hitelesítési titkos kódok és kimenetek felfedésének észlelése és megakadályozása egy webhely vagy alkalmazás számára, amely legitim rendszerként működik. Ezért állapítsa meg, hogy mely többtényezős hitelesítési módszerek minősülnek adathalászatnak.
Adathalászatnak ellenálló módszerek
Egyes szövetségi ügynökségek modern hitelesítő adatokat helyeztek üzembe, például FIDO2 biztonsági kulcsokat vagy Vállalati Windows Hello. Sokan tanúsítványokkal értékelik a Microsoft Entra-hitelesítést.
További információ:
- FIDO2 biztonsági kulcsok
- Vállalati Windows Hello
- A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése
Egyes ügynökségek modernizálják hitelesítési hitelesítő adataikat. Az adathalászatnak ellenálló többtényezős hitelesítési követelményeknek a Microsoft Entra ID azonosítóval való teljesítésére több lehetőség is van. A Microsoft azt javasolja, hogy az ügynökség képességeinek megfelelő, adathalászatnak ellenálló, többtényezős hitelesítési módszert alkalmazzanak. Fontolja meg, hogy mi lehetséges az adathalászat-rezisztenciával szembeni többtényezős hitelesítéshez az általános kiberbiztonsági helyzet javítása érdekében. Modern hitelesítő adatok implementálása. Ha azonban a leggyorsabb út nem modern megközelítés, akkor a lépéssel megkezdheti a modern megközelítések felé vezető utat.
Modern megközelítések
- A FIDO2 biztonsági kulcsok a Kiberbiztonság és Infrastruktúra Biztonsági Ügynökség (CISA) szerint a többtényezős hitelesítés arany szabványa
- Lásd: Jelszó nélküli hitelesítési beállítások a Microsoft Entra-azonosítóhoz és a FIDO2 biztonsági kulcsokhoz
- Lépjen a cisa.gov több mint jelszóhoz
- Microsoft Entra-tanúsítványhitelesítés összevont identitásszolgáltatótól való függőség nélkül.
- Ez a megoldás intelligenskártya-implementációkat tartalmaz: Common Access Card (CAC), Personal Identity Verification (PIV) és származtatott PIV-hitelesítő adatok mobileszközökhöz vagy biztonsági kulcsokhoz
- Lásd: A Microsoft Entra tanúsítványalapú hitelesítésének áttekintése
- Vállalati Windows Hello adathalászatnak ellenálló többtényezős hitelesítéssel rendelkezik
Külső adathalászat elleni védelem
A Microsoft Authenticator és a Feltételes hozzáférési szabályzatok felügyelt eszközöket kényszerítenek ki: a Microsoft Entra hibrid csatlakoztatott eszközöket vagy megfelelőként megjelölt eszközöket. Telepítse a Microsoft Authenticatort a Microsoft Entra ID által védett alkalmazásokat elérő eszközökön.
További információ: Hitelesítési módszerek a Microsoft Entra ID-ban – Microsoft Authenticator alkalmazás
Fontos
Az adathalászatnak ellenálló követelményeknek való megfelelés érdekében: Csak a védett alkalmazáshoz hozzáférő eszközök kezelése. A Microsoft Authenticator használatára jogosult felhasználók olyan feltételes hozzáférési szabályzatok hatókörébe tartoznak, amelyek felügyelt eszközöket igényelnek a hozzáféréshez. A feltételes hozzáférési szabályzat letiltja a Microsoft Intune regisztrációs felhőalkalmazáshoz való hozzáférést. A Microsoft Authenticator használatára jogosult felhasználók a feltételes hozzáférési szabályzat hatókörébe tartoznak. Ugyanezekkel a csoportokkal engedélyezheti a Microsoft Authenticator hitelesítését a feltételes hozzáférési szabályzatokban, így biztosítva, hogy a hitelesítési módszerhez engedélyezett felhasználók hatóköre mindkét házirendre kiterjedjen. Ez a feltételes hozzáférési szabályzat megakadályozza az adathalász fenyegetések legjelentősebb vektorát a rosszindulatú külső szereplőktől. Azt is megakadályozza, hogy a rosszindulatú szereplő adathalászati Microsoft Authenticator regisztráljon egy hitelesítő adatot, vagy csatlakozzon egy eszközhöz, és regisztrálja azt az Intune-ban, hogy megfelelőként jelölje meg.
További információ:
- Tervezze meg a Microsoft Entra hibrid csatlakozás implementációját, vagy
- Útmutató: A Microsoft Entra csatlakozás implementálásának megtervezve
- Lásd még: Gyakori feltételes hozzáférési szabályzat: Megfelelő eszköz, Microsoft Entra hibrid csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
Feljegyzés
A Microsoft Authenticator nem adathalászatnak ellenálló. A feltételes hozzáférési szabályzat konfigurálásával megkövetelheti, hogy a felügyelt eszközök védelmet szerezzenek a külső adathalász fenyegetések ellen.
Örökölt
Összevont identitásszolgáltatók (IDP-k), például Active Directory összevonási szolgáltatások (AD FS) (AD FS) adathalászat-rezisztens módszerekkel konfigurálva. Bár az ügynökségek adathalászati ellenállást érnek el az összevont identitásszolgáltatóval, költséggel, összetettséggel és kockázattal járnak. A Microsoft ösztönzi a Microsoft Entra idP azonosítójának biztonsági előnyeit, és megszünteti az összevont identitásszolgáltatóhoz kapcsolódó kockázatokat
További információ:
- A Microsoft 365 védelme a helyszíni támadások ellen
- AD összevonási szolgáltatások üzembe helyezése az Azure-ban
- Az AD FS konfigurálása felhasználói tanúsítványhitelesítéshez
Adathalászat-rezisztens módszerekkel kapcsolatos szempontok
A jelenlegi eszközképességek, felhasználói személyek és egyéb követelmények többtényezős metódusokat diktálhatnak. Az USB-C-támogatással rendelkező FIDO2 biztonsági kulcsokhoz például USB-C portokkal rendelkező eszközökre van szükség. Vegye figyelembe a következő információkat az adathalászatnak ellenálló többtényezős hitelesítés kiértékelésekor:
- A támogatott eszköztípusok és képességek: kioszkok, laptopok, mobiltelefonok, biometrikus olvasók, USB, Bluetooth és közelmezőhöz közeli kommunikációs eszközök
- Szervezeti felhasználói személyek: frontvonalbeli dolgozók, vállalati tulajdonú hardverrel és anélkül dolgozó távoli dolgozók, kiemelt hozzáférésű munkaállomásokkal rendelkező rendszergazdák és üzleti felhasználók közötti vendégfelhasználók
- Logisztika: többtényezős hitelesítési módszerek, például FIDO2 biztonsági kulcsok, intelligens kártyák, kormányzati eszközök vagy TPM-chipekkel rendelkező Windows-eszközök terjesztése, konfigurálása és regisztrálása
- Federal Information Processing Standards (FIPS) 140 validation at an authenticator assurance level: egyes FIDO biztonsági kulcsok FIPS 140 érvényesítve vannak az NIST SP 800-63B által beállított AAL3 szinteken
- Lásd: Authenticator assurance levels
- Lásd: NIST authenticator assurance level 3 by using Microsoft Entra ID
- Nyissa meg a nist.gov for NIST Special Publication 800-63B, Digital Identity Guidelines
Az adathalászatnak ellenálló többtényezős hitelesítés implementálási szempontjai
Az adathalászatnak ellenálló módszerek alkalmazáshoz és virtuális eszközök bejelentkezéséhez való implementálásának támogatásáról a következő szakaszokban olvashat.
Alkalmazás-bejelentkezési forgatókönyvek különböző ügyfelektől
Az alábbi táblázat az adathalászatnak ellenálló többtényezős hitelesítési forgatókönyvek rendelkezésre állását ismerteti az alkalmazásokba való bejelentkezéshez használt eszköztípus alapján:
| Eszköz | Az AD FS összevont identitásszolgáltatóként tanúsítványhitelesítéssel | Microsoft Entra-tanúsítványhitelesítés | FIDO2 biztonsági kulcsok | Vállalati Windows Hello | Microsoft Authenticator feltételes hozzáférési szabályzatokkal, amelyek kényszerítik a Microsoft Entra hibrid csatlakoztatását vagy megfelelő eszközeit |
|---|---|---|---|---|---|
| Windows-eszköz |  |
|
|
|
|
| iOS-mobileszköz | |
|
Nem alkalmazható | Nem alkalmazható | |
| Androidos mobileszköz | |
|
Nem alkalmazható | Nem alkalmazható | |
| macOS-eszköz | |
|
Edge/Chrome | Nem alkalmazható | |
További információ: A FIDO2 jelszó nélküli hitelesítés böngészőtámogatása
Integrációt igénylő virtuális eszközök bejelentkezési forgatókönyvei
Az adathalászatnak ellenálló többtényezős hitelesítés kényszerítéséhez szükség lehet az integrációra. Többtényezős hitelesítés kényszerítése alkalmazásokhoz és eszközökhöz hozzáférő felhasználók számára. Az öt adathalászatnak ellenálló többtényezős hitelesítési típus esetében ugyanazokat a funkciókat használva érheti el a következő eszköztípusokat:
| Célrendszer | Integrációs műveletek |
|---|---|
| Azure Linux rendszerű virtuális gép (virtuális gép) | Linux rendszerű virtuális gép engedélyezése a Microsoft Entra-bejelentkezéshez |
| Azure-beli Windows virtuális gép | A Windows rendszerű virtuális gép engedélyezése a Microsoft Entra-bejelentkezéshez |
| Azure Virtual Desktop | Az Azure Virtual Desktop engedélyezése a Microsoft Entra-bejelentkezéshez |
| A helyszínen vagy más felhőben üzemeltetett virtuális gépek | Engedélyezze az Azure Arcot a virtuális gépen, majd engedélyezze a Microsoft Entra bejelentkezését. Linuxhoz jelenleg privát előzetes verzióban érhető el. Az ezekben a környezetekben üzemeltetett Windows rendszerű virtuális gépek támogatása az ütemtervünkben szerepel. |
| Nem Microsoft virtuális asztali megoldás | A virtuális asztali megoldás integrálása alkalmazásként a Microsoft Entra ID-ban |
Adathalászat-rezisztens többtényezős hitelesítés kényszerítése
A feltételes hozzáféréssel többtényezős hitelesítést kényszeríthet ki a bérlő felhasználói számára. A bérlők közötti hozzáférési szabályzatok hozzáadásával kikényszerítheti a külső felhasználókra.
További információ: Áttekintés: Bérlők közötti hozzáférés Microsoft Entra Külső ID
Végrehajtás ügynökségek között
A Microsoft Entra B2B-együttműködés használata az integrációt megkönnyítő követelmények teljesítéséhez:
- A többi Microsoft-bérlő hozzáférésének korlátozása a felhasználók számára
- A bérlőben nem kezelendő felhasználók hozzáférésének engedélyezése, de többtényezős hitelesítés és egyéb hozzáférési követelmények kikényszerítése
További információ: B2B-együttműködés áttekintése
Többtényezős hitelesítés kényszerítése a vállalati erőforrásokhoz hozzáférő partnerek és külső felhasználók számára. Ez a művelet gyakori az ügynökségek közötti együttműködési forgatókönyvekben. A Microsoft Entra bérlők közötti hozzáférési szabályzatainak használatával konfigurálhatja a többtényezős hitelesítést az alkalmazásokhoz és erőforrásokhoz hozzáférő külső felhasználók számára.
A bérlők közötti hozzáférési szabályzatokban konfigurálja a megbízhatósági beállításokat, hogy megbízzanak a vendégfelhasználó bérlő által használt többtényezős hitelesítési módszerben. Kerülje, hogy a felhasználók többtényezős hitelesítési módszert regisztrálnak a bérlőnél. Engedélyezze ezeket a szabályzatokat szervezetenként. Meghatározhatja a többtényezős hitelesítési módszereket a felhasználói otthoni bérlőben, és eldöntheti, hogy megfelelnek-e az adathalászati ellenállásra vonatkozó követelményeknek.
Jelszószabályzatok
A feljegyzés megköveteli, hogy a szervezetek módosítják a nem hatékony jelszóházirendeket, például az összetett, elforgatott jelszavakat. A kényszerítés magában foglalja a speciális karakterek és számok követelményének eltávolítását az időalapú jelszóváltási szabályzatokkal. Ehelyett vegye figyelembe a következő lehetőségeket:
- Jelszóvédelem a Microsoft által fenntartott gyenge jelszavak gyakori listájának kikényszerítéséhez
- Emellett egyéni tiltott jelszavakat is tartalmazhat
- Lásd: Hibás jelszavak kiküszöbölése a Microsoft Entra Password Protection használatával
- Az önkiszolgáló jelszó-visszaállítás lehetővé teszi a felhasználók számára a jelszavak alaphelyzetbe állítását, például a fiók helyreállítása után
- Microsoft Entra ID-védelem a feltört hitelesítő adatokkal kapcsolatos riasztásokhoz
- Mit jelent a kockázat?
Bár a feljegyzés nem a jelszavakkal használható szabályzatokra vonatkozik, vegye figyelembe az NIST 800-63B szabványát.
Lásd: NIST Special Publication 800-63B, Digital Identity Guidelines.
Következő lépések
- A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval
- Nagyvállalati szintű identitáskezelő rendszer
- A 22–09. számú memorandum engedélyezési követelményeinek teljesítése
- A 22–09. számú memorandumban tárgyalt Teljes felügyelet egyéb területei
- Identitás biztonságossá tétele Teljes felügyelet
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: