Konfigurieren Sie Identitätszugriffskontrollen, um die FedRAMP High-Impact-Stufe zu erfüllen

  • Artikel

Die Zugriffssteuerung ist ein wesentlicher Bestandteil zum Erzielen einer Betriebserlaubnis der Auswirkungsstufe „High“ im Rahmen des Federal Risk and Authorization Management Program (FedRAMP).

Die folgende Liste von Steuerelementen und Steuererweiterungen in der Zugriffsteuerungsgruppe (Access Control, AC) erfordert möglicherweise eine Konfiguration in Ihrem Microsoft Entra-Mandanten.

Steuerelementengruppe BESCHREIBUNG
AC-2 Kontenverwaltung
AC-6 Mindestberechtigungen
AC-7 Fehlgeschlagene Anmeldeversuche
AC-8 Systemnutzungs-Benachrichtigung
AC-10 Steuerung simultaner Sessions
AC-11 Session-Sperre
AC-12 Beenden der Session
AC-20 Verwendung externer Informationssysteme

Jede Zeile in der folgenden Tabelle enthält eine ausführliche Anleitung, mit deren Hilfe Sie die Antwort Ihrer Organisation auf gemeinsame Zuständigkeiten für das Steuerelement oder die Steuererweiterung entwickeln können.

Configurations

FedRAMP-Steuerungs-ID und Beschreibung Leitfaden und Empfehlungen für Microsoft Entra
AC-2 KONTOVERWALTUNG

Die Organisation
(a.) identifiziert und benennt die folgenden Arten von Informationssystemkonten zur Unterstützung von Organisationsmissionen/Geschäftsfunktionen und wählt sie aus: [Zuweisung: von der Organisation definierte Informationssystemkonten];

(b.) weist Konto-Manager für Informationssystemkonten zu;

(c.) legt Bedingungen für die Gruppen- und Rollenmitgliedschaft fest;

(d.) spezifiziert autorisierte Informationssystembenutzer, Gruppen- und Rollenmitgliedschaften und Zugriffsautorisierungen (z. B. Berechtigungen) und ggf. weitere Attribute für jedes Konto;

(e.) verlangt Genehmigungen durch [Zuweisung: von der Organisation definierte Mitarbeiter oder Rollen] für die Beantragung der Erstellung von Informationssystemkonten;

(f.) erstellt, aktiviert, ändert, deaktiviert und entfernt Informationssystemkonten entsprechend den [Zuweisung: von der Organisation definierten Verfahren oder Bedingungen];

(g.) überwacht die Verwendung von Informationssystemkonten;

(h.) benachrichtigt Kontomanager:
(1.) wenn Konten nicht mehr benötigt werden;
(2.) wenn Nutzer ausgeschlossen oder übertragen werden; und
(3.) wenn sich die Nutzung einzelner Informationssysteme oder der Bedarf an Informationen ändert;

(i.) autorisiert den Zugriff auf das Informationssystem basierend auf:
(1.) einer gültigen Zugangsberechtigung;
(2.) der beabsichtigten Systemnutzung; und
(3.) anderen Attribute, die von der Organisation oder den zugehörigen Missionen/Geschäftsfunktionen verlangt werden;

(j.) überprüft Konten auf Konformität mit den Kontoverwaltungsanforderungen [FedRAMP-Zuweisung: monatlich für privilegierten Zugriff, alle sechs (6) Monate für nicht privilegierten Zugriff]; und

(k.) implementiert einen Vorgang, durch den für freigegebene oder Gruppenkonten (sofern vorhanden) bei Entfernung von Personen aus der Gruppe neue Anmeldeinformationen ausgestellt werden.

 Implementierung des Account Lifecycle Management für kundenkontrollierte Accounts. Überwachen Sie die Nutzung von Konten und benachrichtigen Sie Kundenbetreuer über Ereignisse im Kontolebenszyklus. Überprüfung der Konten auf Einhaltung der Anforderungen an die Kontenverwaltung jeden Monat für privilegierten Zugang und alle sechs Monate für nicht privilegierten Zugang.

Verwenden Sie Microsoft Entra ID zum Bereitstellen von Konten aus externen HR-Systemen, des lokalen Active Directory oder direkt in der Cloud. Alle Vorgänge des Kontolebenszyklus werden in den Microsoft Entra-Auditprotokollen geprüft. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren und so die Überwachung und Benachrichtigung zu ermöglichen. Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen, um den Konformitätsstatus von Konten sicherzustellen.

Bereitstellen von Konten

  • Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung
  • Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
  • Hinzufügen oder Löschen von Benutzern mit Microsoft Entra-ID

    Konten überwachen

  • Aktivitätsberichte im Microsoft Entra Admin Center überwachen
  • Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel
  • Tutorial: Streamen von Protokollen an einen Azure Event Hub

    Konten überprüfen

  • Was ist Microsoft Entra-Berechtigungsverwaltung?
  • Erstellen einer Zugriffsüberprüfung eines Zugriffspakets in der Microsoft Entra-Berechtigungsverwaltung
  • Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung

    Ressourcen

  • Administratorrollenberechtigungen in Microsoft Entra ID
  • Dynamische Gruppen in Microsoft Entra ID

                         

    		•
    AC-2(1)
    Die Organisation setzt automatisierte Mechanismen zur Unterstützung der Verwaltung von Informationssystemkonten ein.    		 Verwenden Sie automatisierte Mechanismen, um die Verwaltung von kundengesteuerten Konten zu unterstützen.

    Konfigurieren Sie die automatisierte Bereitstellung von kundengesteuerten Konten aus externen HR-Systemen oder dem lokalen Active Directory. Konfigurieren Sie Microsoft Entra ID für Anwendungen, welche die Anwendungsbereitstellung unterstützen, um automatisch Benutzeridentitäten und Rollen in SaaS-Anwendungen (Software-as-a-Solution) in der Cloud zu erstellen, auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Zur leichteren Überwachung der Kontonutzung können Sie Microsoft Entra ID-Identitätsschutz-Protokolle, die riskante Benutzer und Anmeldungen als auch Risikoerkennungen anzeigen, sowie Überwachungsprotokolle direkt in Microsoft Sentinel oder den Event Hub streamen.

    bereitstellen

  • Planen von Cloud HR-Anwendung zu Microsoft Entra-Benutzerbereitstellung
  • Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
  • Was ist die automatisierte Bereitstellung von SaaS-App-Benutzern in Microsoft Entra ID?
  • Tutorials zur Integration von SaaS-Apps für die Verwendung mit Microsoft Entra ID

    Überwachung

  • Untersuchen eines Risikos
  • Aktivitätsberichte im Microsoft Entra Admin Center überwachen
  • Was ist Microsoft Sentinel?
  • Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID
  • Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
    		•
    AC-2(2)
    Das Informationssystem [FedRAMP-Auswahl: deaktiviert] temporäre Konten und Notfallkonten automatisch nach [FedRAMP-Zuweisung: 24 Stunden nach der letzten Verwendung].

    AC-02(3)
    Das Informationssystem deaktiviert inaktive Konten automatisch nach [FedRAMP-Zuweisung: fünfunddreißig (35) Tagen für Benutzerkonten].

    AC-2 (3) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anforderung: Der Dienstanbieter definiert den Zeitraum für Nichtbenutzerkonten (z. B. Konten, die Geräten zugeordnet sind). Die Fristen werden vom JAB/AO genehmigt und akzeptiert. Wenn die Benutzerverwaltung eine Funktion des Dienstes ist, werden Berichte über die Tätigkeit der Consumerbenutzer zur Verfügung gestellt.

    		 Verwenden Sie automatisierte Mechanismen, um das automatische Entfernen oder Deaktivieren von temporären Konten und Notfallkonten nach 24 Stunden ab der letzten Verwendung und aller kundengesteuerten Konten nach 35 Tagen Inaktivität zu unterstützen.

    Implementieren Sie die Automatisierung der Kontoverwaltung mit Microsoft Graph und Microsoft Graph PowerShell. Verwenden Sie Microsoft Graph, um Anmeldeaktivitäten zu überwachen, und Microsoft Graph PowerShell, um Innerhalb des erforderlichen Zeitrahmens Maßnahmen für Konten zu ergreifen.

    Bestimmen von Inaktivität

  • Verwalten inaktiver Benutzerkonten in Microsoft Entra ID
  • Verwalten veralteter Geräte in Microsoft Entra ID

    Entfernen oder Deaktivieren von Konten

  • Arbeiten mit Benutzern in Microsoft Graph
  • Abrufen eines Benutzers
  • Benutzer aktualisieren
  • Löschen eines Benutzers

    Arbeiten mit Geräten in Microsoft Graph

  • Gerät abrufen
  • Gerät aktualisieren
  • Gerät löschen

    Weitere Informationen finden Sie in der Microsoft Graph PowerShell-Dokumentation.

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
    		•
    AC-2(4)
    Das Informationssystem überwacht automatisch alle Aktionen zur Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [FedRAMP-Zuweisung: den Systembesitzer der Organisation und/oder des Dienstanbieters].    		 Implementieren Sie ein automatisiertes Überwachungs- und Benachrichtigungssystem für den Verwaltungslebenszyklus kundengesteuerter Konten.

    Alle Vorgänge im Kontolebenszyklus (z. B. Erstellen, Ändern, Aktivieren, Deaktivieren und Entfernen des Kontos) werden in den Azure AD-Überwachungsprotokollen überwacht. Zur Unterstützung von Benachrichtigungen können Sie die Protokolle direkt in Microsoft Sentinel oder Event Hubs streamen.

    Überwachung

  • Aktivitätsberichte im Microsoft Entra Admin Center überwachen
  • Microsoft Sentinel: Verbinden von Daten über Microsoft Entra ID

    Benachrichtigung

  • Was ist Microsoft Sentinel?
  • Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
    		•
    AC-2(5)
    Die Organisation erfordert, dass sich Benutzer abmelden, wenn [FedRAMP-Zuweisung: die Inaktivität voraussichtlich fünfzehn (15) Minuten überschreitet].

    AC-2 (5) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anleitung: Sollte einen kürzeren Zeitrahmen als AC-12 verwenden

    		 Implementieren Sie eine Geräteabmeldung nach einem 15-minütigen Zeitraum der Inaktivität.

    Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, die den Zugriff auf kompatible Geräte beschränkt. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen (Mobile Device Management, mobile Geräteverwaltung) wie z. B. Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    MDM-Richtlinie

  • Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird und ein Kennwort zum Entsperren erforderlich ist (Android, iOS, Windows 10).
    		•
    AC-2(7)

    Die Organisation:
    (a.) erstellt und verwaltet privilegierte Benutzerkonten gemäß einem Zugriffsschema auf Rollenbasis, mit dem der Zugriff auf und die Rechte im Informationssystem mithilfe von Rollen organisiert werden;
    (b.) überwacht die Zuweisung privilegierter Rollen; und
    (c.) [FedRAMP-Zuweisung: deaktiviert/widerruft den Zugriff innerhalb eines organisationsspezifischen Zeitrahmens], wenn privilegierte Rollenzuweisungen nicht mehr geeignet sind.

    		 Verwalten und überwachen Sie privilegierte Rollenzuweisungen, indem Sie ein rollenbasiertes Zugriffsschema für kundenkontrollierte Konten anwenden. Deaktivierung oder Entzug von Zugriffsrechten für Konten, wenn diese nicht mehr angemessen sind.

    Implementieren Sie Microsoft Entra Privileged Identity Management mit Zugriffsüberprüfungen für privilegierte Rollen in Microsoft Entra ID, um Rollenzuweisungen zu überwachen und Rollenzuweisungen zu entfernen, sobald sie nicht mehr angemessen sind. Zur Unterstützung der Überwachung können Sie die Überwachungsprotokolle direkt in Microsoft Sentinel oder Event Hubs streamen.

    Verwalten

  • Was ist Microsoft Entra Privileged Identity Management?
  • Maximale Aktivierungsdauer

    Monitor

  • Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM)
  • Anzeigen des Überwachungsverlaufs für Microsoft Entra-Rollen in PIM
  • Aktivitätsberichte im Microsoft Entra Admin Center überwachen
  • Was ist Microsoft Sentinel?
  • Verbinden von Daten über Microsoft Entra-ID
  • Tutorial: Streamen von Microsoft Entra-Protokollen an einen Azure-Event Hub
    		•
    AC-2(11)
    Das Informationssystem erzwingt [Zuweisung: von der Organisation definierte Umstände und/oder die Nutzungsbedingungen] für [Zuweisung: von der Organisation definierte Informationssystemkonten].    		 Erzwingen Sie die Nutzung von kundengesteuerten Konten, um vom Kunden definierte Bedingungen oder Umstände zu erfüllen.

    Erstellen Sie Richtlinien für den bedingten Zugriff, um Zugriffssteuerungsentscheidungen über Benutzer und Geräte hinweg durchzusetzen.

    Bedingter Zugriff

  • Erstellen der Richtlinie für bedingten Zugriff
  • Was ist bedingter Zugriff?
    		•
    AC-2(12)

    Die Organisation:
    (a) überwacht Informationssystemkonten auf [Zuweisung: von der Organisation definierte ungewöhnliche Nutzung]; und
    (b) meldet die atypische Nutzung von Konten des Informationssystems an [FedRAMP-Zuweisung: mindestens die ISSO und/oder eine ähnliche Rolle innerhalb der Organisation].

    AC-2 (12) (a) und AC-2 (12) (b) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Für privilegierte Konten erforderlich.

    		 Überwachen Sie kundengesteuerte Konten mit privilegiertem Zugriff auf untypische Nutzung, und melden Sie diese.

    Zur Unterstützung bei der Überwachung von untypischer Nutzung können Sie Microsoft Entra ID Protection-Protokolle zum Anzeigen riskanter Benutzer und Anmeldungen als auch von Risikoerkennungen sowie Überwachungsprotokolle zur Erleichterung der Korrelation mit der Berechtigungszuweisung direkt in eine SIEM-Lösung wie Microsoft Sentinel streamen. Sie können auch Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren.

    ID-Schutz

  • Was ist Microsoft Entra ID Protection?
  • Untersuchen eines Risikos
  • Benachrichtigungen zu Microsoft Entra ID-Protection

    Konten überwachen

  • Was ist Microsoft Sentinel?
  • Aktivitätsberichte im Microsoft Entra Admin Center überwachen
  • Verbinden von Microsoft Entra-Daten mit Microsoft Sentinel
  • Tutorial: Streamen von Protokollen an einen Azure Event Hub
    		•
    AC-2(13)
    Die Organisation deaktiviert Konten von Benutzern, von denen ein erhebliches Risiko ausgeht, innerhalb [FedRAMP-Zuweisung: einer (1) Stunde] nach Risikoerkennung.    		 Deaktivieren Sie kundengesteuerte Konten von Benutzern, die ein erhebliches Risiko darstellen, innerhalb von einer Stunde.

    Konfigurieren und aktivieren Sie in Microsoft Entra ID die Identity Protection eine Benutzerrisikorichtlinie mit dem Schwellenwert hoch. Erstellen Sie Richtlinien für den bedingten Zugriff, um den Zugriff für riskante Benutzer und riskante Anmeldungen zu sperren. Konfigurieren Sie Risikorichtlinien, um Benutzern die Möglichkeit zu geben, sich selbst zu korrigieren und nachfolgende Anmeldeversuche zu entsperren.

    ID-Schutz

  • Was ist Microsoft Entra ID Protection?

    Bedingter Zugriff

  • Was ist bedingter Zugriff?
  • Erstellen der Richtlinie für bedingten Zugriff
  • Bedingter Zugriff: Auf dem Benutzerrisiko basierender bedingter Zugriff
  • Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden
  • Eigenwartung mit Risikorichtlinie
    		•
    AC-6(7)

    Die Organisation:
    (a.) überprüft [FedRAMP-Zuweisung: mindestens jährlich] die Berechtigungen, die [FedRAMP-Zuweisung: allen Benutzern mit Berechtigungen] zugewiesen sind, um die Notwendigkeit solcher Berechtigungen zu überprüfen; und
    (b.) weist Berechtigungen entsprechend den Organisationszielen bzw. geschäftlichen Anforderungen im notwendigen Maße neu zu oder entfernt sie.

    		 Überprüfen und validieren Sie jedes Jahr alle Benutzer mit privilegiertem Zugang. Stellen Sie sicher, dass Privilegien neu zugewiesen (oder ggf. entfernt) werden, um sie mit dem Unternehmensauftrag und den Geschäftsanforderungen in Einklang zu bringen.

    Verwenden Sie die Microsoft Entra-Berechtigungsverwaltung mit Zugriffsüberprüfungen für privilegierte Benutzer, um zu überprüfen, ob ein privilegierter Zugriff erforderlich ist.

    Zugriffsüberprüfungen

  • Was ist Microsoft Entra-Berechtigungsverwaltung?
  • Erstellen einer Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management (PIM)
  • Überprüfen des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung
    		•
    AC-7 U Fehlgeschlagene Anmeldeversuche

    Die Organisation:
    (a.) erzwingt ein Limit von [FedRAMP-Zuweisung: nicht mehr als drei (3)] aufeinanderfolgenden ungültigen Anmeldeversuchen eines Benutzers innerhalb von [FedRAMP-Zuweisung: fünfzehn (15) Minuten]; und
    (b.) [Auswahl: sperrt das Konto/den Knoten automatisch für [FedRAMP-Zuweisung: mindestens drei (3) Stunden oder bis zum Entsperren durch einen Administrator]; verzögert die nächste Anmeldeaufforderung gemäß [Zuweisung: dem von der Organisation definierten Verzögerungsalgorithmus]], wenn die maximale Anzahl nicht erfolgreicher Versuche überschritten wird.

    		 Begrenzung auf maximal drei aufeinanderfolgende fehlgeschlagene Anmeldeversuche bei vom Kunden bereitgestellten Ressourcen innerhalb von 15 Minuten. Sperren Sie das Konto für mindestens drei Stunden oder bis zur Entsperrung durch einen Administrator.

    Aktivieren Sie benutzerdefinierte Smart Lockout-Einstellungen. Konfigurieren Sie den Sperrschwellenwert und die Sperrdauer in Sekunden, um diese Anforderungen umzusetzen.

    Smart Lockout

  • Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra
  • Verwalten von Microsoft Entra Smart Lockout-Werten
    		•
    AC-8 Systemnutzungsbenachrichtigung

    Das Informationssystem:
    (a.) zeigt Benutzern [Zuweisung: eine von der Organisation definierte Nachricht oder ein Banner zur Systemnutzung (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)] an, bevor der Zugriff auf das System gewährt wird, das Datenschutz- und Sicherheitshinweise im Einklang mit den geltenden Bundesgesetzen, Durchführungsverordnungen, Direktiven, Richtlinien, Vorschriften, Standards und Anleitungen enthält und Folgendes besagt:
    (1.) Benutzer greifen auf ein Informationssystem der US-Regierung zu;
    (2.) Die Nutzung des Informationssystems kann überwacht, aufgezeichnet und überprüft werden;
    (3.) Die unbefugte Nutzung des Informationssystems ist verboten und unterliegt strafrechtlichen und zivilrechtlichen Sanktionen;
    (4.) Die Nutzung des Informationssystems bedeutet die Zustimmung zur Überwachung und Aufzeichnung;

    (b.) belässt die Benachrichtigungsmeldung oder das Banner auf dem Bildschirm, bis der Benutzer die Nutzungsbedingungen bestätigt und eindeutige Handlungen durchführt, um sich anzumelden und nachfolgend auf das Informationssystem zuzugreifen; und

    (c.) für öffentlich zugängliche Systeme:
    (1.) zeigt Informationen zur Systemnutzung und [Zuweisung: von der Organisation definierte Bedingungen (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)], bevor es weiteren Zugriff gewährt;
    (2.) zeigt gegebenenfalls Verweise auf Überwachung, Aufzeichnung oder Überprüfung an, die im Einklang mit Datenschutzvorkehrungen für solche Systeme stehen, die diese Tätigkeiten im Allgemeinen verbieten; und
    (3.) enthält eine Beschreibung der autorisierten Nutzungsarten des Systems.

    AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anforderung: Der Dienstanbieter bestimmt Elemente der Cloudumgebung, die die Steuerung für die Systemnutzungsbenachrichtigung erfordern. Die Elemente der Cloudumgebung, die eine Benachrichtigung über die Systemnutzung erfordern, werden vom JAB/AO genehmigt und akzeptiert.
    Anforderung: Der Dienstanbieter legt fest, wie die Systemnutzungsbenachrichtigung überprüft wird, und stellt eine angemessene Periodizität der Überprüfung bereit. Die Überprüfung und Periodizität der Systemnutzungsbenachrichtigungen werden vom JAB/AO genehmigt und akzeptiert.
    Anleitung: Im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, kann der Prozentsatz der zu überprüfenden Elemente, die eine Einstellung erfordern und die Prüfung bestehen (oder nicht bestehen), angegeben werden.
    Anforderung: Nicht im Rahmen einer Überprüfung der Konfigurationsbaseline ausgeführt, muss eine dokumentierte Vereinbarung darüber vorliegen, wie die Ergebnisse der Überprüfung und die erforderliche Periodizität der Überprüfung durch den Dienstanbieter bereitgestellt werden. Die dokumentierte Vereinbarung über die Überprüfung der Ergebnisse wird von der JAB/AO genehmigt und akzeptiert.

    		 Zeigen Sie Datenschutz- und Sicherheitshinweise an, und fordern Sie deren Bestätigung durch den Benutzer, bevor Sie den Zugriff auf Informationssysteme gewähren.

    Mit Microsoft Entra ID können Sie Benachrichtigungs- oder Bannermeldungen für alle Apps bereitstellen, die vor Gewähren des Zugriffs eine Bestätigung erfordern und erfassen. Sie können diese Nutzungsbedingungen genau auf bestimmte Benutzer (Mitglied oder Gast) ausrichten. Sie können sie auch über Richtlinien für bedingten Zugriff für jede Anwendung anpassen.

    Nutzungsbedingungen

  • Microsoft Entra Nutzungsbedingungen
  • Anzeigen des Berichts über abgelehnte und akzeptierte Nutzungsbedingungen
    		•
    AC-10 Steuerung simultaner Sitzungen
    Das Informationssystem beschränkt die Anzahl gleichzeitiger Sitzungen für jeden [Zuweisung: durch die Organisation definierte Konten und/oder Kontotypen] auf [FedRAMP-Zuweisung: drei (3) Sitzungen für privilegierten Zugriff und zwei (2) Sitzungen für nicht privilegierten Zugriff].    		 Beschränken Sie gleichzeitige Sitzungen auf drei Sitzungen für privilegierten Zugriff und zwei für nicht privilegierten Zugriff.

    Aktuell stellen Benutzer Verbindungen von mehreren Geräten her, manchmal auch gleichzeitig. Das Beschränken gleichzeitiger Sitzungen führt zu beeinträchtigter Funktionalität für Benutzer und bietet nur einen geringen Nutzen im Hinblick auf die Sicherheit. Ein besserer Ansatz zum Erreichen dieser Zielsetzung ist die Einführung eines Zero Trust-Sicherheitsstatus. Bedingungen werden vor dem Erstellen einer Sitzung explizit überprüft, und diese Überprüfung wird während der gesamten Lebensdauer einer Sitzung kontinuierlich fortgesetzt.

    Verwenden Sie zusätzlich die folgenden ausgleichenden Steuerungsmöglichkeiten.

    Verwenden Sie Richtlinien für bedingten Zugriff, um den Zugriff auf kompatible Geräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um mit MDM-Lösungen wie Intune Einschränkungen für die Benutzeranmeldung auf Betriebssystemebene zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden.

    Verwenden Sie Privileged Identity Management, um privilegierte Konten weiter einzuschränken und zu steuern.

    Konfigurieren Sie eine intelligente Kontosperrung für ungültige Anmeldeversuche.

    Implementierungsleitfaden

    Zero Trust

  • Sicherstellung der Identität mit Zero Trust
  • Fortlaufende Zugriffsevaluierung in Microsoft Entra ID

    Bedingter Zugriff

  • Was ist der bedingte Zugriff in Microsoft Entra ID?
  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    Geräterichtlinien

  • Weitere Smartcard-Gruppenrichtlinieneinstellungen und Registrierungsschlüssel
  • Übersicht über Microsoft Endpoint Manager

    Ressourcen

  • Was ist Microsoft Entra Privileged Identity Management?
  • Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra

    Weitere Anleitungen zur erneuten Auswertung von Sitzungen und Risikominderung finden Sie unter AC-12.

    		•
    AC-11 Sitzungssperre
    Das Informationssystem:
    (a) verhindert weiteren Zugriff auf das System, indem eine Sitzungssperre nach [FedRAMP-Zuweisung: fünfzehn (15) Minuten] Inaktivität oder nach Erhalt einer Anforderung eines Benutzers initiiert wird; und
    (b) erhält die Sitzungssperre aufrecht, bis der Benutzer den Zugriff mithilfe festgelegter Identifizierungs- und Authentifizierungsverfahren erneut herstellt.

    AC-11(1)
    Das Informationssystem verbirgt über die Sitzungssperre Informationen, die zuvor auf dem Anzeigegerät sichtbar waren, mit einem allgemein sichtbaren Bild.

    		 Implementieren Sie eine Sitzungssperre nach einer 15-minütigen Inaktivität oder nach Erhalt einer Anfrage von einem Benutzer. Behalten Sie die Sitzungssperre bei, bis sich der Benutzer erneut authentifiziert. Verbirgt zuvor sichtbare Informationen, wenn eine Sitzungssperre eingeleitet wird.

    Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, um den Zugriff auf kompatible Geräte zu beschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen wie Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    MDM-Richtlinie

  • Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird (Android, iOS, Windows 10).
    		•
    AC-12 Sitzungsende
    Das Informationssystem beendet eine Benutzersitzung automatisch nach [Zuweisung: von der Organisation definierten Bedingungen oder Auslöseereignissen, die eine Trennung der Sitzung erfordern].    		 Beenden Sie Benutzersitzungen automatisch, wenn von der Organisation definierte Bedingungen oder Triggerereignisse auftreten.

    Implementieren Sie die automatische erneute Auswertung von Benutzersitzungen mit Microsoft Entra-Funktionen wie dem risikobasierten bedingten Zugriff und der fortlaufenden Zugriffsevaluierung. Sie können Inaktivitätsbedingungen auf Geräteebene implementieren, wie es unter AC-11 beschrieben ist.

    Ressourcen

  • Risikobasierter bedingter Zugriff beim Anmelden
  • Bedingter Zugriff anhand des Benutzerrisikos
  • Fortlaufende Zugriffsevaluierung
    		•
    AC-12(1)
    Das Informationssystem:
    (a.) stellt eine Abmeldefunktion für benutzerseitig initiierte Kommunikationssitzungen bereit, wenn eine Authentifizierung verwendet wird, um Zugriff auf [Zuweisung: von der Organisation definierte Datenressourcen] zu erhalten; und
    (b.) zeigt Benutzern eine ausdrückliche Abmeldenachricht an, die die zuverlässige Beendigung authentifizierter Kommunikationssitzungen signalisiert.

    AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anleitung: Testen der Abmeldefunktionalität (OTG-SESS-006) Testen der Abmeldefunktionalität

    		 Stellen Sie eine Abmeldefunktion für alle Sitzungen bereit, und zeigen Sie eine ausdrückliche Abmeldenachricht an.

    Alle in Microsoft Entra ID angezeigten Webschnittstellen bieten eine Abmeldefunktion für vom Benutzer initiierte Kommunikations-Sessions. Wenn SAML-Anwendungen in Microsoft Entra ID integriert sind, implementieren Sie das einmalige Abmelden.

    Abmeldefunktion

  • Wenn der Benutzer Überall abmelden auswählt, werden alle aktuell ausgestellten Token widerrufen.

    Meldung anzeigen
    Microsoft Entra ID zeigt automatisch eine Meldung an, nachdem ein benutzerseitiges Abmelden initiiert wurde.

    Screenshot einer Zugriffssteuerungsmeldung

    Ressourcen

  • Anzeigen und Suchen Ihrer letzten Anmeldeaktivität auf der Seite „Meine Anmeldungen“
  • SAML-Protokoll für einmaliges Abmelden
    		•
    AC-20 Verwendung externer Informationssysteme
    Die Organisation legt Geschäftsbedingungen fest, die konsistent zu mit anderen Organisationen, die externe Informationssysteme besitzen, betreiben und/oder pflegen, hergestellten Vertrauensbeziehungen sind, und ermöglicht autorisierten Personen:
    (a.) Zugriff auf das Informationssystem über externe Informationssysteme; und
    (b.) das Verarbeiten, Speichern oder Übertragen von organisationsgesteuerten Informationen mithilfe externer Informationssysteme.

    AC-20(1)
    Die Organisation erlaubt autorisierten Personen nur dann, ein externes Informationssystem zu nutzen, um auf das Informationssystem zuzugreifen oder um von der Organisation kontrollierte Informationen zu verarbeiten, zu speichern oder zu übertragen, wenn die Organisation:
    (a.) die Implementierung der erforderlichen Sicherheitskontrollen auf dem externen System, wie in der Informationssicherheitsrichtlinie und dem Sicherheitsplan der Organisation angegeben, überprüft; oder
    (b.) genehmigte Verbindungs- oder Verarbeitungsvereinbarungen des Informationssystems mit der Organisationsentität, die das externe Informationssystem hostet, beibehält.

    		 Legen Sie Bedingungen fest, die autorisierten Personen den Zugriff auf die vom Kunden bereitgestellten Ressourcen über externe Informationssysteme wie nicht verwaltete Geräte und externe Netzwerke ermöglichen.

    Fordern Sie die Annahme von Nutzungsbedingungen für autorisierte Benutzer, die von externen Systemen auf Ressourcen zugreifen. Implementieren Sie Richtlinien für den bedingten Zugriff, um den Zugriff von externen Systemen einzuschränken. Richtlinien für bedingten Zugriff können in Defender for Cloud-Apps integriert werden, um Steuerungsmöglichkeiten für cloudbasierte und lokale Anwendungen aus externen Systemen bereitzustellen. Die Verwaltung mobiler Anwendungen in Intune kann Daten der Organisation auf Anwendungsebene, einschließlich benutzerdefinierter Apps und Store-Apps, auf verwalteten Geräten schützen, die mit externen Systemen interagieren. Ein Beispiel wäre der Zugriff auf Clouddienste. Sie können die App-Verwaltung auf Geräten im Besitz der Organisation und persönlichen Geräten verwenden.

    Geschäftsbedingungen

  • Nutzungsbedingungen: Microsoft Entra ID

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Bedingungen der Richtlinie für bedingten Zugriff: Gerätestatus (Vorschau)
  • Schutz mit der App-Steuerung für bedingten Zugriff für Microsoft Defender-für-Cloud-Apps
  • Standortbedingung beim bedingten Zugriff in Microsoft Entra

    MDM

  • Was ist Microsoft Intune?
  • Was sind die Defender-für-Cloud-Apps?
  • Was ist die Microsoft Intune App-Verwaltung?

    Resource

  • Integrieren von lokalen Apps in Defender-für-Cloud-Apps
    		•

    Nächste Schritte