Configurar os controles de AC (Controle de Acesso) da CMMC Nível 2
O Microsoft Entra ID pode ajudar você a atender aos requisitos de prática relacionados à identidade em cada nível da CMMC (Certificação de Modelo de Maturidade de Segurança Cibernética). Para estar em conformidade com os requisitos no nível 2 da CMMC V2.0, é responsabilidade das empresas que executam o trabalho com e em nome do DoD (Departamento de Defesa dos EUA) concluir outras configurações ou processos.
No CMMC Nível 2, existem 13 domínios com uma ou mais práticas relacionadas à identidade:
- Controle de Acesso (AC)
- Auditoria e responsabilidade (AU)
- Gerenciamento de Configuração (CM)
- Identificação e autenticação (IA)
- IR (Resposta a Incidentes)
- Manutenção (MA)
- Proteção de mídia (MP)
- Segurança de pessoal (PS)
- Proteção física (PE)
- Avaliação de risco (RA)
- Avaliação de segurança (CA)
- Proteção do sistema e das comunicações (SC)
- Integridade do sistema e das informações (SI)
O restante deste artigo fornece diretrizes para o domínio de AC (Controle de Acesso). Há uma tabela com os links para o conteúdo que fornece diretrizes passo a passo para realizar a prática.
Controle de Acesso (AC)
A tabela a seguir fornece uma lista de objetivos e instruções práticas, bem como diretrizes e recomendações do Microsoft Entra para permitir que você atenda a esses requisitos com o Microsoft Entra ID.
| Instrução prática e objetivos do CMMC | Orientações e recomendações do Microsoft Entra |
|---|---|
| AC.L2-3.1.3 Instrução de prática: controlar o fluxo de CUI de acordo com autorizações aprovadas. Objetivos: Determinar se: [a.] as políticas de controle de fluxo de informações são definidas; [b.] métodos e mecanismos de imposição para controlar o fluxo de CUI são definidos; [c.] fontes e destinos designados (por exemplo, redes, indivíduos e dispositivos) para CUI dentro do sistema e entre sistemas interconectados são identificados; [d.] as autorizações para controlar o fluxo de CUI são definidas; e [e.] autorizações aprovadas para controlar o fluxo de CUI são impostas. |
Configure políticas de acesso condicional para controlar o fluxo de CUI de localizações confiáveis, dispositivos confiáveis, aplicativos aprovados e exigir uma política de proteção de aplicativo. Para obter uma autorização mais refinada para CUI, configure restrições impostas pelo aplicativo (Exchange/SharePoint Online), Controle de Aplicativo (com o Microsoft Defender para Aplicativos de Nuvem) e Contexto de Autenticação. Implantar o proxy de aplicativo do Microsoft Entra para proteger o acesso aos aplicativos locais. Condição de localização no acesso condicional do Microsoft Entra Conceder controles na política de acesso condicional – Exigir que o dispositivo seja marcado como em conformidade Conceder controles na política de acesso condicional – Exigir dispositivo ingressado no Microsoft Entra híbrido Conceder controles na política de acesso condicional – Exigir aplicativo cliente aprovado Conceder controles na política de acesso condicional – Exigir uma política de proteção de aplicativo Controles de sessão na política de acesso condicional – Restrições impostas pelo aplicativo Proteger com o Microsoft Defender para Controle de Aplicativos de Acesso Condicional para Aplicativos de Nuvem Aplicativos de nuvem, ações e contexto de autenticação na política de acesso condicional Acesso remoto a aplicativos locais usando o proxy de aplicativo do Microsoft Entra Contexto de autenticação Configuração do contexto de autenticaçãoe Atribuir à Política de Acesso Condicional Proteção de Informações Conhecer e proteger seus dados ajudar a evitar a perda de dados. Proteger seus dados confidenciais com o Microsoft Purview Acesso Condicional Acesso condicional para a AIP (Proteção de Informações do Azure) Proxy do Aplicativo Acesso remoto a aplicativos locais usando o proxy de aplicativo do Microsoft Entra |
| AC.L2-3.1.4 Instrução de prática: separar as tarefas de indivíduos para reduzir o risco de atividades maliciosas sem colusão. Objetivos: Determinar se: [a.] as tarefas de indivíduos que exigem separação são definidas; [b.] responsabilidades por tarefas que exigem separação são atribuídas a indivíduos separados; e [c.] privilégios de acesso que permitem que os indivíduos exerçam tarefas que exigem separação são concedidos a indivíduos separados. |
Garantir a separação adequada de tarefas por meio da definição de escopo do acesso apropriado. Configure pacotes de Acesso de Gerenciamento de Direitos para controlar o acesso a aplicativos e grupos, bem como a sites do Teams e do SharePoint. Configure verificações de separação de tarefas em pacotes de acesso para evitar que um usuário obtenha acesso excessivo. No gerenciamento de direitos do Microsoft Entra, é possível configurar várias políticas, com configurações diferentes para cada comunidade de usuários que precisará de acesso por meio de um pacote de acesso. Essa configuração inclui restrições de modo que um usuário de um grupo específico ou que já recebeu um pacote de acesso diferente não receba outros pacotes de acesso, por política. Configure unidades administrativas no Microsoft Entra ID para definir o escopo do privilégio administrativo, de modo que os administradores com funções com privilégios tenham escopo apenas para ter esses privilégios no conjunto limitado de objetos de diretório (usuários, grupos e dispositivos). O que é gerenciamento de direitos? O que são pacotes do acesso e quais recursos posso gerenciar com eles? Configurar a separação de tarefas para um pacote de acesso no gerenciamento de direitos do Microsoft Entra Unidades administrativas no Microsoft Entra ID |
| AC.L2-3.1.5 Instrução de prática: empregar o princípio de privilégios mínimos, incluindo funções de segurança específicas e contas privilegiadas. Objetivos: Determinar se: [a.] contas privilegiadas estão identificadas; [b.] o acesso a contas privilegiadas é autorizado de acordo com o princípio de privilégios mínimos; [c.] funções de segurança são identificadas; e [d.] o acesso a funções de segurança é autorizado de acordo com o princípio de privilégios mínimos. |
Você é responsável por implementar e impor a regra de privilégios mínimos. Essa ação pode ser realizada com o Privileged Identity Management para configurar a imposição, o monitoramento e os alertas. Defina os requisitos e as condições para a associação de função. Depois que as contas privilegiadas forem identificadas e gerenciadas, use as revisões de acesso e o Gerenciamento do Ciclo de Vida de Direitos para definir, manter e auditar o acesso adequado. Use a API do MS Graph para descobrir e monitorar as funções de diretório. Atribuir funções Atribuir funções do Microsoft Entra no PIM Atribuir funções de recurso do Azure no Privileged Identity Management Atribuir proprietários e membros qualificados ao PIM para Grupos Definir configurações de função Definir configurações de função do Microsoft Entra no PIM Definir configurações de função de recurso do Azure no PIM Definir as configurações do PIM para Grupos no PIM Configurar alertas Alertas de segurança para funções do Microsoft Entra no PIM Configurar alertas de segurança para funções de recursos do Azure no Privileged Identity Management |
| AC.L2-3.1.6 Instrução de prática: usar contas ou funções sem privilégios ao acessar funções que não são de segurança. Objetivos: Determinar se: [a.] funções que não são de segurança são identificadas; e [b.] os usuários precisam usar contas ou funções sem privilégios ao acessar funções que não são de segurança. AC.L2-3.1.7 Instrução de prática: impedir que usuários sem privilégios executem funções privilegiadas e capturem a execução dessas funções em logs de auditoria. Objetivos: Determinar se: [a.] funções privilegiadas são definidas; [b.] usuários não privilegiados são definidos; [c.] usuários não privilegiados são impedidos de executar funções privilegiadas; e [d.] a execução de funções privilegiadas é capturada em logs de auditoria. |
Os requisitos do AC.L2-3.1.6 e do AC.L2-3.1.7 complementam um ao outro. Exigir contas separadas para uso privilegiado e não privilegiado. Configure o PIM (Privileged Identity Management) para trazer o acesso privilegiado JIT (just-in-time) e remover o acesso permanente. Configure políticas de Acesso Condicional baseadas em função para limitar o acesso ao aplicativo de produtividade para usuários privilegiados. Para usuários altamente privilegiados, proteja os dispositivos como parte da história de acesso privilegiado. Todas as ações privilegiadas são capturadas nos logs de auditoria do Microsoft Entra. Visão geral da proteção de acesso privilegiado Definir configurações de função do Microsoft Entra no PIM Usuários e grupos na política de acesso condicional Por que dispositivos de acesso privilegiado são importantes |
| AC.L2-3.1.8 Instrução de prática: limitar tentativas de logon malsucedidas. Objetivos: Determinar se: [a.] os meios para limitar tentativas de logon malsucedidas estão definidos; e [b.] os meios definidos para limitar tentativas de logon malsucedidas estão implementados. |
Habilite configurações de bloqueio inteligente personalizadas. Configure o limite de bloqueio e a duração do bloqueio em segundos para implementar esses requisitos. Proteger contas de usuário contra ataques com o bloqueio inteligente do Microsoft Entra Gerenciar valores de bloqueio inteligente do Microsoft Entra |
| AC.L2-3.1.9 Instrução de prática: fornecer avisos de privacidade e segurança consistentes com as regras da CUI aplicáveis. Objetivos: Determinar se: [a.] os avisos de privacidade e segurança exigidos pelas regras especificadas pela CUI são identificados, consistentes e associados à categoria de CUI específica; e [b.] avisos de privacidade e segurança são exibidos. |
Com o Microsoft Entra ID, é possível entregar mensagens de notificação ou de banner para todos os aplicativos que exigem e registram a confirmação antes de conceder acesso. Você pode direcionar de maneira granular esses termos de uso de políticas para usuários específicos (membro ou convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional. Acesso Condicional O que é o Acesso Condicional no Microsoft Entra ID? Termos de uso Termos de uso do Microsoft Entra Exibir relatório de quem aceitou e recusou |
| AC.L2-3.1.10 Instrução de prática: usar bloqueio de sessão com exibições que ocultam padrões para impedir o acesso e a exibição de dados após um período de inatividade. Objetivos: Determinar se: [a.] o período de inatividade após o qual o sistema inicia um bloqueio de sessão é definido; [b.] o acesso ao sistema e a exibição de dados são impedidos iniciando um bloqueio de sessão após o período de inatividade definido; e [c.] informações visíveis anteriormente são ocultadas por meio de uma exibição com ocultação de padrões após o período de inatividade definido. |
Implemente o bloqueio de dispositivo usando uma política de acesso condicional para restringir o acesso a dispositivos em conformidade ou ingressado no Microsoft Entra híbrido. Defina as configurações de política no dispositivo para impor o bloqueio de dispositivo no nível do sistema operacional com soluções de MDM, como o Intune. O Microsoft Intune, o Configuration Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, defina a configuração de Frequência de entrada para forçar os usuários a autenticar novamente. Exigir que o dispositivo seja marcado como em conformidade Conceder controles na política de acesso condicional – Exigir dispositivo ingressado no Microsoft Entra híbrido Frequência de entrada do usuário Configure dispositivos para o máximo de minutos de inatividade até a tela ser bloqueada (Android, iOS, Windows 10). |
| AC.L2-3.1.11 Instrução de prática: encerrar (automaticamente) uma sessão de usuário após uma condição definida. Objetivos: Determinar se: [a.] condições que exigem que uma sessão de usuário seja encerrada são definidas; e [b.] uma sessão de usuário é encerrada automaticamente após qualquer uma das condições definidas ocorrer. |
Habilite a CAE (Avaliação contínua de acesso) para todos os aplicativos com suporte. Para os aplicativos que não dão suporte à CAE ou para condições não aplicáveis à CAE, implemente políticas no Microsoft Defender para Aplicativos de Nuvem para encerrar automaticamente as sessões quando ocorrerem condições. Além disso, configure o Microsoft Entra ID Protection para avaliar o risco de entrada e de usuário. Use o Acesso Condicional com a Proteção de Identidade para permitir que o usuário corrija o risco automaticamente. Avaliação contínua de acesso no Microsoft Entra ID Controlar o uso de aplicativos de nuvem com a criação de políticas O que é o Microsoft Entra ID Protection? |
| AC.L2-3.1.12 Instrução de prática: monitorar e controlar sessões de acesso remoto. Objetivos: Determinar se: [a.] sessões de acesso remoto são permitidas; [b.] os tipos de acesso remoto permitido são identificados; [c.] sessões de acesso remoto são controladas; e [d.] sessões de acesso remoto são monitoradas. |
No mundo atual, os usuários acessam aplicativos baseados em nuvem quase exclusivamente de modo remoto em redes desconhecidas ou não confiáveis. Para proteger esse padrão de acesso, é fundamental adotar entidades de confiança zero. A fim de atender a esses requisitos de controles em um mundo de nuvem moderno, precisamos verificar cada solicitação de acesso explicitamente, implementar privilégios mínimos e pressupor a violação. Configure localizações nomeadas para delinear redes internas versus externas. Configure o controle de aplicativo com Acesso Condicional para rotear o acesso por meio do Microsoft Defender para Aplicativos de Nuvem. Configure o Defender para Aplicativos de Nuvem para controlar e monitorar todas as sessões. Guia de implantação de Confiança Zero para o Microsoft Entra ID Condição de localização no acesso condicional do Microsoft Entra Implantar o Controle de Aplicativos de Acesso Condicional do Cloud App Security para aplicativos do Microsoft Entra O que é o Microsoft Defender for Cloud Apps? Monitorar os alertas gerados no Microsoft Defender para Aplicativos de Nuvem |
| AC.L2-3.1.13 Instrução de prática: empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. Objetivos: Determinar se: [a.] mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto são identificados; e [b.] mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto são implementados. |
Todos os serviços Web do Microsoft Entra voltados para o cliente são protegidos com o protocolo TLS e implementados por meio da criptografia validada por FIPS. Considerações sobre a segurança de dados do Microsoft Entra (microsoft.com) |
| AC.L2-3.1.14 Instrução de prática: rotear o acesso remoto por meio de pontos de controle de acesso gerenciados. Objetivos: Determinar se: [a.] os pontos de controle de acesso gerenciado são identificados e implementados; e [b.] o acesso remoto é roteado por meio de pontos de controle de acesso à rede gerenciada. |
Configure localizações nomeadas para delinear redes internas versus externas. Configure o controle de aplicativo com Acesso Condicional para rotear o acesso por meio do Microsoft Defender para Aplicativos de Nuvem. Configure o Defender para Aplicativos de Nuvem para controlar e monitorar todas as sessões. Proteja os dispositivos usados por contas privilegiadas como parte da história de acesso privilegiado. Condição de localização no Acesso Condicional do Microsoft Entra Controles de sessão na política de acesso condicional Visão geral da proteção de acesso privilegiado |
| AC.L2-3.1.15 Instrução de prática: autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. Objetivos: Determinar se: [a.] comandos privilegiados autorizados para execução remota são identificados; [b.] informações relevantes à segurança com autorização para serem acessadas remotamente são identificadas; [c.] a execução dos comandos privilegiados identificados por meio do acesso remoto é autorizada; e [d.] o acesso às informações relevantes de segurança identificadas por meio do acesso remoto é autorizado. |
O acesso condicional é o painel de controle de Confiança Zero para direcionar políticas para acesso aos seus aplicativos quando combinado com o contexto de autenticação. Você pode aplicar diferentes políticas nesses aplicativos. Proteja os dispositivos usados por contas privilegiadas como parte da história de acesso privilegiado. Configure políticas de Acesso Condicional para requerer o uso desses dispositivos protegidos por usuários privilegiados ao executar comandos privilegiados. Aplicativos de nuvem, ações e contexto de autenticação na política de acesso condicional Visão geral da proteção de acesso privilegiado Filtrar para dispositivos como uma condição na política de acesso condicional |
| AC.L2-3.1.18 Instrução de prática: controlar a conexão de dispositivos móveis. Objetivos: Determinar se: [a.] dispositivos móveis que processam, armazenam ou transmitem a CUI são identificados; [b.] as conexões de dispositivo móvel são autorizadas; e [c.] as conexões de dispositivo móvel são monitoradas e registradas. |
Configure políticas de gerenciamento de dispositivo por meio do MDM (como o Microsoft Intune), do Configuration Manager, ou de GPOs (objetos de política de grupo) para impor a configuração de dispositivo móvel e o perfil de conexão. Configure as políticas de Acesso Condicional para impor a conformidade do dispositivo. Acesso Condicional Exigir que o dispositivo seja marcado como em conformidade Exigir um dispositivo ingressado no Microsoft Entra híbrido Intune Políticas de conformidade do dispositivo no Microsoft Intune O que é gerenciamento de aplicativo no Microsoft Intune? |
| AC.L2-3.1.19 Instrução de prática: criptografar CUI em dispositivos móveis e plataformas de computação móvel. Objetivos: Determinar se: [a.] dispositivos móveis e plataformas de computação móvel que processam, armazenam ou transmitem CUI são identificados; e [b.] a criptografia é empregada para proteger CUI em dispositivos móveis e plataformas de computação móvel identificados. |
Dispositivo gerenciado Configure políticas de acesso condicional para impor dispositivos em conformidade ou ingressados no Microsoft Entra híbrido e garantir que os dispositivos gerenciados sejam configurados adequadamente por meio da solução de gerenciamento de dispositivos para criptografar a CUI. Dispositivo não gerenciado Configure políticas de Acesso Condicional para requerer políticas de proteção de aplicativos. Conceder controles na política de acesso condicional – Exigir que o dispositivo seja marcado como em conformidade Conceder controles na política de acesso condicional – Exigir dispositivo ingressado no Microsoft Entra híbrido Conceder controles na política de acesso condicional – Exigir uma política de proteção de aplicativo |
| AC.L2-3.1.21 Instrução de prática: limitar o uso de dispositivos portáteis de armazenamento em sistemas externos. Objetivos: Determinar se: [a.] o uso de dispositivos de armazenamento portáteis que contêm CUI em sistemas externos é identificado e documentado; [b.] limites para o uso de dispositivos de armazenamento portáteis que contêm CUI em sistemas externos são definidos; e [c.] o uso de dispositivos de armazenamento portáteis que contêm CUI em sistemas externos é limitado conforme definido. |
Configure políticas de gerenciamento de dispositivos por meio do MDM (como o Microsoft Intune), do Configuration Manager ou de GPOs (objetos de política de grupo) para controlar o uso de dispositivos de armazenamento removíveis nos sistemas. Defina as configurações de política no dispositivo Windows para proibir ou restringir completamente o uso de armazenamento portátil no nível do sistema operacional. Para todos os outros dispositivos em que você pode não conseguir controlar de modo granular o acesso ao download do bloco de armazenamento portátil inteiramente com o Microsoft Defender para Aplicativos de Nuvem. Configure as políticas de Acesso Condicional para impor a conformidade do dispositivo. Acesso Condicional Exigir que o dispositivo seja marcado como em conformidade Exigir um dispositivo ingressado no Microsoft Entra híbrido Configurar o gerenciamento de sessão de autenticação Intune Políticas de conformidade do dispositivo no Microsoft Intune Restringir os dispositivos USB usando modelos administrativos no Microsoft Intune Microsoft Defender for Cloud Apps Criar políticas de sessão no Defender para Aplicativos de Nuvem |