設定 CMMC 層級 2 存取控制 (AC) 控制件
Microsoft Entra ID 可協助您符合每個網路安全性成熟度模型認證 (CMMC) 層級的身分識別相關實務需求。 為了符合 CMMC V2.0 層級 2 中的需求,公司負責執行工作,並代表美國國防部(DoD)完成其他設定或程式。
在 CMMC 層級 2 中,有 13 個網域具有一或多個與身分識別相關的做法:
- 存取控制 (AC)
- 稽核與責任(AU)
- 組態管理 (CM)
- 識別與驗證 (IA)
- 事件回應 (IR)
- 維護 (MA)
- 媒體保護(MP)
- 人員安全(PS)
- 實體保護(PE)
- 風險評估(RA)
- 安全性評估 (CA)
- 系統與通訊保護 (SC)
- 系統與資訊完整性 (SI)
本文的其餘部分提供 存取控制 (AC) 網域的指引。 有一個包含內容鏈接的數據表,提供完成練習的逐步指引。
存取控制 (AC)
下表提供練習聲明和目標清單,以及 Microsoft Entra 指引和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指引和建議 |
|---|---|
| 交流。L2-3.1.3 實務聲明: 根據核准的授權控制 CUI 流程。 目標: 判斷是否: [a.] 已定義資訊流程控制原則; [b.] 定義用來控制 CUI 流程的方法和強制執行機制: [c.] 識別系統內 CUI 的指定來源和目的地(例如網路、個人和裝置),並識別出系統間連接系統之間的 CUI: [d.] 已定義控制 CUI 流程的授權;和 [e.] 系統會強制執行核准的授權,以控制 CUI 的流程。 |
設定條件式存取原則,以控制來自受信任位置、受信任裝置、已核准的應用程式,以及要求應用程式保護原則的 CUI 流程。 如需 CUI 的更精細授權,請設定應用程式強制執行的限制(Exchange/SharePoint Online)、應用程控(含 適用於雲端的 Microsoft Defender 應用程式)、驗證內容。 部署 Microsoft Entra 應用程式 Proxy,以保護對內部部署應用程式的存取。 Microsoft Entra 條件式存取中的位置條件 在條件式存取原則中授與控件 - 要求裝置標示為符合規範 在條件式存取原則中授與控件 - 要求 Microsoft Entra 混合式已加入裝置 在條件式存取原則中授與控制項 - 需要核准的用戶端應用程式 在條件式存取原則中授與控件 - 需要應用程式保護原則 條件式存取原則中的會話控件 - 應用程式強制執行的限制 使用 適用於雲端的 Microsoft Defender 應用程式條件式存取應用程控來保護 條件式存取原則中的雲端應用程式、動作和驗證內容 使用 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 驗證內容 設定驗證內容和指派給條件式存取原則 資訊保護 知道並保護您的數據;協助防止數據遺失。 使用 Microsoft Purview 保護您的敏感性資料 條件式存取 Azure 資訊保護的條件式存取 (AIP) 應用程式 Proxy 使用 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 |
| 交流。L2-3.1.4 實踐聲明: 分開個人的職責,以減少惡意活動的風險,而不勾結。 目標: 判斷是否: [a.] 定義需要分離的個人職責: [b.] 需要分離的職責責任會指派給個別個人:和 [c.] 可讓個人行使需要區隔之職責的存取許可權會授與個別人員。 |
藉由界定適當的存取範圍,確保適當區分職責。 設定權利管理存取套件,以控管應用程式、群組、Teams 和 SharePoint 網站的存取權。 設定存取套件內的職責區隔檢查,以避免使用者取得過多的存取權。 在 Microsoft Entra 權利管理中,您可以設定多個原則,並針對需要透過存取套件存取的每個使用者社群設定不同的設定。 此設定包含限制,讓特定群組的使用者或已指派不同的存取套件,不會依原則指派其他存取套件。 在 Microsoft Entra 識別符中設定系統管理單位來設定系統管理許可權,讓具有特殊許可權角色的系統管理員只能擁有一組有限的目錄物件(使用者、群組、裝置) 的許可權。 什麼是權利管理? 什麼是存取套件,以及可以使用它們管理哪些資源? 在 Microsoft Entra 權利管理中設定存取套件的職責區隔 Microsoft Entra ID 中的 管理員 單位 |
| 交流。L2-3.1.5 實務聲明: 採用最低許可權原則,包括特定安全性函式和特殊許可權帳戶。 目標: 判斷是否: [a.] 識別特殊許可權帳戶; [b.] 根據最低許可權原則授權存取特殊許可權帳戶: [c.] 識別安全性函式;和 [d.] 安全性函式的存取權會根據最低許可權原則獲得授權。 |
您必須負責實作並強制執行最低許可權規則。 您可以使用 Privileged Identity Management 來完成此動作,以設定強制執行、監視和警示。 設定角色成員資格的需求和條件。 識別及管理特殊許可權帳戶之後,請使用 權利生命週期管理 和 存取權檢閱 來設定、維護和稽核適當的存取權。 使用 MS Graph API 來探索和監視目錄角色。 指派角色 在 PIM 中指派 Microsoft Entra 角色 在 Privileged Identity Management 中指派 Azure 資源角色 為群組的 PIM 指派合格的擁有者和成員 設定角色設定 在 PIM 中設定 Microsoft Entra 角色設定 在 PIM 中設定 Azure 資源角色設定 在 PIM 中設定群組設定 PIM 設定警示 PIM 中 Microsoft Entra 角色的安全性警示 在 Privileged Identity Management 中設定 Azure 資源角色的安全性警示 |
| 交流。L2-3.1.6 練習語句: 存取非安全性功能時,請使用非特殊許可權帳戶或角色。 目標: 判斷是否: [a.] 識別非安全性函式;和 [b.] 存取非安全性功能時,用戶必須使用非特殊許可權帳戶或角色。 交流。L2-3.1.7 練習語句: 防止非特殊許可權的使用者執行特殊許可權函式,並在稽核記錄中擷取這類函式的執行。 目標: 判斷是否: [a.] 已定義特殊許可權函式; [b.] 定義非特殊許可權的使用者; [c.] 禁止非特殊許可權使用者執行特殊許可權函式;和 [d.] 特殊許可權函式的執行會在稽核記錄中擷取。 |
AC 中的需求。L2-3.1.6 和 AC。L2-3.1.7 彼此互補。 需要個別帳戶,以取得特殊許可權和非特殊許可權的使用。 設定 Privileged Identity Management (PIM) 以引進 Just-In-Time(JIT) 特殊許可權存取,並移除常設存取權。 設定角色型條件式存取原則,以限制特殊許可權用戶的生產力應用程式存取。 對於具有高度特殊許可權的使用者,請保護裝置作為特殊許可權存取案例的一部分。 所有特殊許可權動作都會在 Microsoft Entra 稽核記錄中擷取。 保護特殊許可權存取概觀 在 PIM 中設定 Microsoft Entra 角色設定 條件式存取原則中的使用者和群組 為什麼特殊許可權存取裝置很重要 |
| 交流。L2-3.1.8 練習語句: 限制不成功的登入嘗試。 目標: 判斷是否: [a.] 定義限制未成功登入嘗試的方法;和 [b.] 已定義限制未成功登入嘗試的方法已實作。 |
啟用自定義智慧鎖定設定。 以秒為單位設定鎖定閾值和鎖定持續時間,以實作這些需求。 使用 Microsoft Entra 智慧鎖定防止使用者帳戶遭受攻擊 管理 Microsoft Entra 智慧鎖定值 |
| 交流。L2-3.1.9 練習聲明: 提供與適用 CUI 規則一致的隱私權和安全性通知。 目標: 判斷是否: [a.] CUI 所指定規則所需的隱私權和安全性通知會識別、一致且與特定 CUI 類別相關聯;和 [b.] 隱私權和安全性通知隨即顯示。 |
透過 Microsoft Entra ID,您可以傳遞通知或橫幅訊息給所有需要和記錄通知的應用程式,再授與存取權。 您可以將這些使用規定原則以特定使用者 (成員或來賓) 為目標。 您也可以透過條件式存取原則為每個應用程式自定義它們。 條件式存取 什麼是 Microsoft Entra 識別符中的條件式存取? 使用規定 Microsoft Entra 使用規定 檢視誰已接受和拒絕的報告 |
| 交流。L2-3.1.10 練習語句: 使用會話鎖定搭配模式隱藏顯示,以防止在一段時間後存取和檢視數據。 目標: 判斷是否: [a.] 在未使用期間之後,系統會定義會話鎖定; [b.] 在定義的閑置期間之後起始會話鎖定,以防止存取系統和檢視數據;和 [c.] 先前可見的資訊會透過隱藏模式的顯示,隱藏在定義的閑置期間之後。 |
使用條件式存取原則來實作裝置鎖定,以限制對相容或 Microsoft Entra 混合式已加入裝置的存取。 在裝置上設定原則設定,以使用 Intune 等 MDM 解決方案在 OS 層級強制執行裝置鎖定。 您也可以在混合式部署中考慮 Microsoft Intune、Configuration Manager 或組策略物件。 針對非受控裝置,設定 [登入頻率] 設定以強制使用者重新驗證。 [裝置需要標記為合規] 在條件式存取原則中授與控件 - 要求 Microsoft Entra 混合式已加入裝置 使用者登入頻率 設定裝置最多幾分鐘的無啟用時間,直到螢幕鎖定(Android、 iOS、 Windows 10)。 |
| 交流。L2-3.1.11 練習語句: 在定義條件之後終止(自動)用戶會話。 目標: 判斷是否: [a.] 定義需要用戶會話終止的條件;和 [b.] 在發生任何定義的條件之後,用戶會話會自動終止。 |
為所有支援的應用程式啟用持續存取評估 (CAE)。 對於不支援 CAE 或不適用於 CAE 條件的應用程式,請在 適用於雲端的 Microsoft Defender Apps 中實作原則,以在發生條件時自動終止會話。 此外,設定 Microsoft Entra ID Protection 來評估使用者和登入風險。 使用條件式存取搭配身分識別保護,讓用戶能夠自動補救風險。 Microsoft Entra ID 中的持續存取評估 建立原則來控制雲端應用程式使用量 什麼是 Microsoft Entra ID Protection? |
| 交流。L2-3.1.12 練習語句: 監視和控制遠端訪問會話。 目標: 判斷是否: [a.] 允許遠端訪問會話; [b.] 識別允許的遠端存取類型; [c.] 遠端訪問會話受到控制;和 [d.] 會監視遠端訪問會話。 |
在現今的世界裡,用戶幾乎完全從未知或不受信任的網路遠端存取雲端式應用程式。 請務必保護這種存取模式,以採用零信任主體。 為了符合新式雲端世界中的這些控制需求,我們必須明確驗證每個存取要求,實作最低許可權並假設外洩。 設定具名位置來劃定內部與外部網路。 設定條件式存取應用程控,以透過 適用於雲端的 Microsoft Defender Apps 路由存取。 設定 適用於雲端的 Defender Apps 來控制和監視所有工作階段。 Microsoft Entra ID 的 零信任 部署指南 Microsoft Entra 條件式存取中的位置條件 為 Microsoft Entra 應用程式部署 雲端 App 安全性 條件式存取應用程控 什麼是 適用於雲端的 Microsoft Defender Apps? 監視 適用於雲端的 Microsoft Defender Apps 中引發的警示 |
| 交流。L2-3.1.13 練習語句: 採用密碼編譯機制來保護遠端訪問會話的機密性。 目標: 判斷是否: [a.] 識別用來保護遠端訪問會話機密性的密碼編譯機制;和 [b.] 實作保護遠端訪問會話機密性的密碼編譯機制。 |
所有 Microsoft Entra 客戶面向的 Web 服務都會使用傳輸層安全性 (TLS) 通訊協議來保護,並使用 FIPS 驗證的密碼編譯來實作。 Microsoft Entra 數據安全性考慮 (microsoft.com) |
| 交流。L2-3.1.14 練習語句: 透過受控訪問控制點路由遠端訪問。 目標: 判斷是否: [a.] 受控訪問控制點已識別並實作;和 [b.] 遠端訪問是透過受控網路訪問控制點路由傳送。 |
設定具名位置來劃定內部與外部網路。 設定條件式存取應用程控,以透過 適用於雲端的 Microsoft Defender Apps 路由存取。 設定 適用於雲端的 Defender Apps 來控制和監視所有工作階段。 保護特殊許可權帳戶用來作為特殊許可權存取案例一部分的裝置。 Microsoft Entra 條件式存取中的位置條件 條件式存取原則中的會話控件 保護特殊許可權存取概觀 |
| 交流。L2-3.1.15 練習語句: 授權遠端執行特殊許可權命令,以及遠端訪問安全性相關信息。 目標: 判斷是否: [a.] 識別獲授權進行遠端執行的特殊許可權命令; [b.] 識別授權遠端訪問的安全性相關信息; [c.] 已授權透過遠端訪問執行已識別的特殊許可權命令;和 [d.] 已授權透過遠端存取已識別的安全性相關信息。 |
條件式存取是結合驗證內容時,零信任 控制平面以原則為目標,以存取您的應用程式。 您可以在這些應用程式中套用不同的原則。 保護特殊許可權帳戶用來作為特殊許可權存取案例一部分的裝置。 設定條件式存取原則,以在執行特殊許可權命令時,要求特殊許可權使用者使用這些受保護的裝置。 條件式存取原則中的雲端應用程式、動作和驗證內容 保護特殊許可權存取概觀 篩選裝置作為條件式存取原則中的條件 |
| 交流。L2-3.1.18 練習語句: 控制行動裝置的連線。 目標: 判斷是否: [a.] 識別處理、儲存或傳輸 CUI 的行動裝置; [b.] 行動裝置連線已獲授權;和 [c.] 行動裝置聯機會受到監視和記錄。 |
透過 MDM 設定裝置管理原則(例如 Microsoft Intune)、Configuration Manager 或組策略物件 (GPO),以強制執行行動裝置組態和連線配置檔。 設定條件式存取原則以強制執行裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式裝置 InTune Microsoft Intune 中的裝置合規性原則 什麼是 Microsoft Intune 中的應用程式管理? |
| 交流。L2-3.1.19 練習聲明: 在行動裝置和行動運算平臺上加密 CUI。 目標: 判斷是否: [a.] 識別處理、儲存或傳輸 CUI 的行動裝置和行動運算平臺:和 [b.] 加密是用來保護已識別行動裝置和行動運算平臺上的 CUI。 |
受管理裝置 設定條件式存取原則以強制執行相容或 Microsoft Entra 混合式已加入裝置,並確保受控裝置已透過裝置管理解決方案適當地設定,以加密 CUI。 非受控裝置 設定條件式存取原則以要求應用程式保護原則。 在條件式存取原則中授與控件 - 要求裝置標示為符合規範 在條件式存取原則中授與控件 - 要求 Microsoft Entra 混合式已加入裝置 在條件式存取原則中授與控件 - 需要應用程式保護原則 |
| 交流。L2-3.1.21 練習語句: 限制在外部系統上使用可攜式存儲設備。 目標: 判斷是否: [a.] 識別並記載在外部系統上使用包含 CUI 的可攜式儲存裝置: [b.] 定義在外部系統上包含 CUI 的可攜式儲存裝置使用限制:和 [c.] 在外部系統上使用包含 CUI 的可攜式儲存裝置會限制為已定義。 |
透過 MDM 設定裝置管理原則(例如 Microsoft Intune)、Configuration Manager 或組策略物件 (GPO)來控制系統上可攜式存放裝置的使用。 在 Windows 裝置上設定原則設定,以完全禁止或限制在 OS 層級使用可攜式存放裝置。 對於您可能無法透過 適用於雲端的 Microsoft Defender Apps 完全控制可攜式儲存區塊下載存取權的所有其他裝置。 設定條件式存取原則以強制執行裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式裝置 設定驗證工作階段管理 Intune Microsoft Intune 中的裝置合規性原則 在 Microsoft Intune 中使用系統管理範本限制 USB 裝置 適用於雲端應用程式的 Microsoft Defender 在 適用於雲端的 Defender Apps 中建立會話原則 |