Uppfylla kraven för multifaktorautentisering i memorandum 22-09
Lär dig mer om att använda Microsoft Entra-ID som det centraliserade identitetshanteringssystemet när du implementerar Nolltillit principer. Se, US Office of Management and Budget (OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies.
Pm-kraven är att anställda använder företagshanterade identiteter för att komma åt program och att multifaktorautentisering skyddar anställda från avancerade onlineattacker, till exempel nätfiske. Den här attackmetoden försöker hämta och kompromettera autentiseringsuppgifter med länkar till inauthentiska platser.
Multifaktorautentisering förhindrar obehörig åtkomst till konton och data. Pm-kraven anger multifaktorautentisering med nätfiskeresistenta metoder: autentiseringsprocesser som är utformade för att identifiera och förhindra avslöjande av autentiseringshemligheter och utdata till en webbplats eller ett program som maskeras som ett legitimt system. Därför bör du fastställa vilka multifaktorautentiseringsmetoder som kvalificerar sig som nätfiskeresistenta.
Nätfiskebeständiga metoder
Vissa federala myndigheter har distribuerat moderna autentiseringsuppgifter som FIDO2-säkerhetsnycklar eller Windows Hello för företag. Många utvärderar Microsoft Entra-autentisering med certifikat.
Läs mer:
- FIDO2-säkerhetsnycklar
- Windows Hello för företag
- Översikt över Microsoft Entra-certifikatbaserad autentisering
Vissa byråer moderniserar sina autentiseringsuppgifter. Det finns flera alternativ för att uppfylla krav på nätfiskeresistent multifaktorautentisering med Microsoft Entra-ID. Microsoft rekommenderar att du använder en nätfiskeresistent multifaktorautentiseringsmetod som matchar agenturfunktionerna. Tänk på vad som är möjligt nu för multifaktorautentisering med nätfiskemotstånd för att förbättra den övergripande cybersäkerhetsstatusen. Implementera moderna autentiseringsuppgifter. Men om den snabbaste vägen inte är ett modernt tillvägagångssätt, ta steget att börja resan mot moderna metoder.
Moderna metoder
- FIDO2-säkerhetsnycklar är enligt CISA (Cybersecurity & Infrastructure Security Agency) guldstandarden för multifaktorautentisering
- Se Alternativ för lösenordslös autentisering för Microsoft Entra-ID, FIDO2-säkerhetsnycklar
- Gå till cisa.gov för Mer än ett lösenord
- Microsoft Entra-certifikatautentisering utan beroende av en federerad identitetsprovider.
- Den här lösningen innehåller smartkortimplementeringar: Common Access Card (CAC), PIV (Personal Identity Verification) och härledda PIV-autentiseringsuppgifter för mobila enheter eller säkerhetsnycklar
- Se Översikt över Microsoft Entra-certifikatbaserad autentisering
- Windows Hello för företag har nätfiskeresistent multifaktorautentisering
- Se Windows Hello för företag distributionsöversikt
- Se, Windows Hello för företag
Skydd mot extern nätfiske
Principer för Microsoft Authenticator och villkorsstyrd åtkomst framtvingar hanterade enheter: Microsoft Entra Hybrid-anslutna enheter eller enheter som har markerats som kompatibla. Installera Microsoft Authenticator på enheter som har åtkomst till program som skyddas av Microsoft Entra-ID.
Läs mer: Autentiseringsmetoder i Microsoft Entra-ID – Microsoft Authenticator-appen
Viktigt!
För att uppfylla kravet på nätfiske: Hantera endast de enheter som har åtkomst till det skyddade programmet. Användare som tillåts använda Microsoft Authenticator finns i omfånget för principer för villkorsstyrd åtkomst som kräver hanterade enheter för åtkomst. En princip för villkorsstyrd åtkomst blockerar åtkomsten till Microsoft Intune-registreringsmolnappen. Användare som tillåts använda Microsoft Authenticator finns i omfånget för den här principen för villkorsstyrd åtkomst. Använd samma grupp(er) för att tillåta Microsoft Authenticator-autentisering i principer för villkorsstyrd åtkomst för att säkerställa att användare som är aktiverade för autentiseringsmetoden finns i omfånget för båda principerna. Den här principen för villkorlig åtkomst förhindrar den viktigaste vektorn av nätfiskehot från skadliga externa aktörer. Det förhindrar också att obehöriga aktörer nätfiskear Microsoft Authenticator för att registrera en autentiseringsuppgift eller ansluta till en enhet och registrera den i Intune för att markera den som kompatibel.
Läs mer:
- Planera implementeringen av din Microsoft Entra-hybridanslutning, eller
- Anvisningar: Planera implementeringen av Din Microsoft Entra-anslutning
- Se även gemensam princip för villkorsstyrd åtkomst: Kräv en kompatibel enhet, Microsoft Entra Hybrid-ansluten enhet eller multifaktorautentisering för alla användare
Kommentar
Microsoft Authenticator är inte nätfiskebeständigt. Konfigurera principen för villkorsstyrd åtkomst för att kräva att hanterade enheter får skydd mot externa nätfiskehot.
Legacy
Federerade identitetsprovidrar (IDP:er) som Active Directory Federation Services (AD FS) (AD FS) som konfigurerats med nätfiskeresistenta metoder. Medan byråer uppnår nätfiskemotstånd med federerad IdP, ökar det kostnader, komplexitet och risker. Microsoft uppmuntrar säkerhetsfördelarna med Microsoft Entra-ID för en IdP, vilket tar bort den associerade risken för en federerad IdP
Läs mer:
- Skydda Microsoft 365 från lokala attacker
- Distribuera AD Federation Services i Azure
- Konfigurera AD FS för autentisering med användarcertifikat
Överväganden för nätfiskeresistenta metoder
Dina aktuella enhetsfunktioner, användarpersoner och andra krav kan diktera multifaktormetoder. FIDO2-säkerhetsnycklar med USB-C-stöd kräver till exempel enheter med USB-C-portar. Tänk på följande information när du utvärderar nätfiskeresistent multifaktorautentisering:
- Enhetstyper och funktioner som du kan stödja: kiosker, bärbara datorer, mobiltelefoner, biometriska läsare, USB, Bluetooth och närfältskommunikationsenheter
- Organisationsanvändare: frontlinjearbetare, distansarbetare med och utan företagsägd maskinvara, administratörer med privilegierad åtkomst till arbetsstationer och företags-till-företag-gästanvändare
- Logistik: distribuera, konfigurera och registrera multifaktorautentiseringsmetoder som FIDO2-säkerhetsnycklar, smartkort, statligt möblerad utrustning eller Windows-enheter med TPM-chips
- FIPS 140-validering (Federal Information Processing Standards) 140 på autentiseringsnivå: vissa FIDO-säkerhetsnycklar är FIPS 140 verifierade på nivåer för AAL3 som angetts av NIST SP 800-63B
- Se, Authenticator-säkerhetsnivåer
- Se NIST-autentiseringsnivå 3 med hjälp av Microsoft Entra-ID
- Gå till nist.gov för NIST Special Publication 800-63B, Riktlinjer för digital identitet
Implementeringsöverväganden för nätfiskeresistent multifaktorautentisering
I följande avsnitt finns stöd för implementering av nätfiskeresistenta metoder för inloggning med program och virtuella enheter.
Scenarier för programinloggning från olika klienter
I följande tabell beskrivs tillgängligheten för nätfiskeresistenta scenarier för multifaktorautentisering baserat på enhetstypen som används för att logga in på programmen:
| Enhet | AD FS som federerad IdP med certifikatautentisering | Microsoft Entra-certifikatautentisering | FIDO2-säkerhetsnycklar | Windows Hello för företag | Microsoft Authenticator med principer för villkorsstyrd åtkomst som framtvingar Microsoft Entra-hybridanslutning eller kompatibla enheter |
|---|---|---|---|---|---|
| Windows-enhet |  |
|
|
|
|
| mobil iOS-enhet | |
|
Ej tillämpligt | Ej tillämpligt | |
| Mobil Android-enhet | |
|
Ej tillämpligt | Ej tillämpligt | |
| macOS-enhet | |
|
Edge/Chrome | Inte tillämpligt | |
Läs mer: Webbläsarstöd för lösenordslös FIDO2-autentisering
Inloggningsscenarier för virtuella enheter som kräver integrering
För att framtvinga nätfiskeresistent multifaktorautentisering kan det vara nödvändigt med integrering. Framtvinga multifaktorautentisering för användare som har åtkomst till program och enheter. För de fem nätfiskeresistenta multifaktorautentiseringstyperna använder du samma funktioner för att komma åt följande enhetstyper:
| Målsystem | Integreringsåtgärder |
|---|---|
| Virtuell Azure Linux-dator (VM) | Aktivera den virtuella Linux-datorn för Microsoft Entra-inloggning |
| Azure Windows VM | Aktivera den virtuella Windows-datorn för Microsoft Entra-inloggning |
| Azure Virtual Desktop | Aktivera Azure Virtual Desktop för Microsoft Entra-inloggning |
| Virtuella datorer som finns lokalt eller i andra moln | Aktivera Azure Arc på den virtuella datorn och aktivera sedan Microsoft Entra-inloggning. För närvarande i privat förhandsversion för Linux. Stöd för virtuella Windows-datorer som finns i dessa miljöer finns i vår översikt. |
| Lösning för virtuellt skrivbord som inte är microsoft | Integrera den virtuella skrivbordslösningen som en app i Microsoft Entra-ID |
Framtvinga nätfiskeresistent multifaktorautentisering
Använd villkorsstyrd åtkomst för att framtvinga multifaktorautentisering för användare i din klientorganisation. Med tillägg av principer för åtkomst mellan klientorganisationer kan du tillämpa dem på externa användare.
Läs mer: Översikt: Åtkomst mellan klientorganisationer med externt ID för Microsoft Entra
Tillämpning mellan olika myndigheter
Använd Microsoft Entra B2B-samarbete för att uppfylla krav som underlättar integrering:
- Begränsa vilka andra Microsoft-klienter som användarna har åtkomst till
- Tillåt åtkomst till användare som du inte behöver hantera i klientorganisationen, men framtvinga multifaktorautentisering och andra åtkomstkrav
Läs mer: Översikt över B2B-samarbete
Framtvinga multifaktorautentisering för partner och externa användare som har åtkomst till organisationsresurser. Den här åtgärden är vanlig i scenarier för samarbete mellan byråer. Använd microsoft Entra-principer för åtkomst mellan klientorganisationer för att konfigurera multifaktorautentisering för externa användare som har åtkomst till program och resurser.
Konfigurera förtroendeinställningar i principer för åtkomst mellan klientorganisationer för att lita på den multifaktorautentiseringsmetod som gästanvändaren använder. Undvik att låta användare registrera en multifaktorautentiseringsmetod med din klientorganisation. Aktivera dessa principer per organisation. Du kan fastställa metoderna för multifaktorautentisering i användarens hemklientorganisation och avgöra om de uppfyller kraven för nätfiskeresistens.
Lösenordsprinciper
Pm:et kräver att organisationer ändrar ineffektiva lösenordsprinciper, till exempel komplexa, roterade lösenord. Tillämpning omfattar borttagning av kravet på specialtecken och siffror, med tidsbaserade principer för lösenordsrotation. Överväg i stället följande alternativ:
- Lösenordsskydd för att framtvinga en gemensam lista över svaga lösenord som Microsoft underhåller
- Inkludera dessutom anpassade förbjudna lösenord
- Se Eliminera felaktiga lösenord med Microsoft Entra-lösenordsskydd
- Självbetjäning av lösenordsåterställning för att göra det möjligt för användare att återställa lösenord, till exempel efter kontoåterställning
- Microsoft Entra ID Protection för aviseringar om komprometterade autentiseringsuppgifter
- Vad är risker?
Även om pm:et inte är specifikt för principer som ska användas med lösenord bör du överväga standarden från NIST 800-63B.
Se NIST Special Publication 800-63B, Riktlinjer för digital identitet.