Konfigurieren von Identifizierungs- und Authentifizierungskontrollen, um das FedRAMP High Impact Level mit Microsoft Entra ID zu erreichen

Identifikation und Authentifizierung sind entscheidend, um das High Impact Level des Federal Risk and Authorization Management Program (FedRAMP, Programm für Risiko- und Autorisierungsmanagement bei US-Bundesbehörden) zu erreichen.

Die folgende Liste von Steuerelementen und Steuererweiterungen der Identifizierungs- und Authentifizierungsfamilie (IA) erfordert möglicherweise eine Konfiguration in Ihrem Microsoft Entra-Mandanten.

Steuerelementengruppe BESCHREIBUNG
IA-2 Identifikation und Authentifizierung (Organisationsbenutzer)
IA-3 Identifikation und Authentifizierung von Geräten
IA-4 Bezeichnerverwaltung
IA-5 Authentifikatorverwaltung
IA-6 Authentifikatorfeedback
IA-7 Kryptografiemodulauthentifizierung
IA-8 Identifikation und Authentifizierung (Organisationsexterne Benutzer*innen)

Jeder Eintrag der folgenden Liste bietet präskriptive Anleitungen, die Sie bei der Entwicklung der Reaktion Ihrer Organisation auf jegliche gemeinsamen Verantwortlichkeiten für Steuerelemente oder -verbesserungen unterstützen.

Configurations

FedRAMP-Steuerungs-ID und Beschreibung Leitfaden und Empfehlungen für Microsoft Entra
IA-2 Identifizierung und Authentifizierung von Benutzern
Das Informationssystem sorgt für eine eindeutige Identifikation und Authentifizierung der Organisationsbenutzer (oder der Prozesse, die im Namen der Organisationsbenutzer agieren).
Eindeutiges Identifizieren und Authentifizieren von Benutzern oder Prozessen, die für Benutzer agieren.

Microsoft Entra ID identifiziert Benutzer- und Dienstprinzipalobjekte direkt und eindeutig. Microsoft Entra ID bietet mehrere Authentifizierungsmethoden, und Sie können Methoden konfigurieren, die dem Authentication Assurance Level (AAL) 3 des National Institute of Standards and Technology (NIST) entsprechen.

Bezeichner

  • Benutzer: Arbeiten mit Benutzern in Microsoft Graph : ID-Eigenschaft
  • Dienstprinzipale: ServicePrincipal-Ressourcentyp : ID-Eigenschaft

    Authentifizierung und mehrstufige Authentifizierung

  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform
  • IA-2(1)
    Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Netzwerkzugriff auf privilegierte Konten.

    IA-2(3)
    Das Informationssystem implementiert eine mehrstufige Authentifizierung für den lokalen Zugriff auf privilegierte Konten.
    mehrstufige Authentifizierung für alle Zugriffe auf privilegierte Konten.

    Konfigurieren Sie die folgenden Elemente für eine vollständige Lösung, um sicherzustellen, dass jeder Zugriff auf privilegierte Konten mehrstufige Authentifizierung erfordert.

    Konfigurieren Sie Richtlinien für bedingten Zugriff so, dass für alle Benutzer*innen eine Multi-Faktor-Authentifizierung erforderlich ist.
    Implementieren Sie Microsoft Entra Privileged Identity Management so, dass die Multi-Faktor-Authentifizierung erforderlich ist, bevor die Zuweisung privilegierter Rollen aktiv wird.

    Wenn die Erfordernis zur Aktivierung durch Privileged Identity Management eingerichtet wurde, können privilegierte Konten nicht ohne Netzwerkzugriff aktiviert werden, sodass der lokale Zugriff nie privilegiert ist.

    Multi-Faktor-Authentifizierung und Privileged Identity Management

  • Bedingter Zugriff: Erfordern der Multi-Faktor-Authentifizierung (MFA) für alle Benutzer*innen
  • Konfigurieren der Microsoft Entra-Rolleneinstellungen in Privileged Identity Management
  • IA-2(2)
    Das Informationssystem implementiert eine mehrstufige Authentifizierung für den Netzwerkzugriff auf nicht privilegierte Konten.

    IA-2 (4)
    Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den lokalen Zugriff auf nicht privilegierte Konten.
    Implementieren der Multi-Faktor-Authentifizierung für alle Zugriffe auf nicht privilegierte Konten

    Konfigurieren Sie die folgenden Elemente als Gesamtlösung, um sicherzustellen, dass alle Zugriffe auf nicht privilegierte Konten MFA erfordern.

    Konfigurieren Sie Richtlinien für bedingten Zugriff so, dass MFA für alle Benutzer erforderlich ist.
    Konfigurieren Sie Richtlinien zur Geräteverwaltung über MDM (wie z. B. Microsoft Intune), Microsoft Endpoint Manager (MEM) oder Gruppenrichtlinienobjekte (GPO), um die Verwendung bestimmter Authentifizierungsmethoden zu erzwingen.
    Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

    Microsoft empfiehlt die Verwendung eines kryptografischen Multi-Faktor-Hardware-Authentifikators (z. B. FIDO2-Sicherheitsschlüssel, Windows Hello for Business (mit Hardware-TPM) oder Smartcard), um die Anforderungen der Sicherheitsstufe AAL3 zu erfüllen. Wenn Ihre Organisation vollständig cloudbasiert ist, empfehlen wir die Verwendung von FIDO2-Sicherheitsschlüsseln oder Windows Hello for Business.

    Windows Hello for Business wurde nicht auf dem erforderlichen FIPS 140-Sicherheitsniveau validiert. Daher müssen Kunden, die US-Bundesbehörden sind, eine Risikobewertung und Evaluierung durchführen, bevor sie es als AAL3 akzeptieren. Weitere Informationen zur Windows Hello for Business FIPS 140-Validierung finden Sie unter Microsoft NIST AALs.

    Sehen Sie sich die folgenden Anleitungen zu MDM-Richtlinien an, die sich je nach Authentifizierungsmethoden geringfügig unterscheiden.

    Smart-Card / Windows Hello for Business
    Kennwortlose Strategie - Erfordert Windows Hello for Business oder Smartcard
    Markieren des Geräts als kompatibel erforderlich
    Bedingter Zugriff - MFA für alle Benutzer fordern

    Ausschließlich Hybrid
    Kennwortlose Strategie - Konfigurieren Sie die Benutzerkonten so, dass die Kennwortauthentifizierung nicht genehmigt wird

    Ausschließlich Smartcard
    Erstellen einer Regel zum Senden eines Authentifizierungsmethodenanspruchs
    Konfigurieren von Authentifizierungsrichtlinien

    FIDO2-Sicherheitsschlüssel
    Kennwortlose Strategie - Ausschließen des Anbieters von Passwörtern
    Markieren des Geräts als kompatibel erforderlich
    Bedingter Zugriff - MFA für alle Benutzer fordern

    Authentifizierungsmethoden
    Kennwortlose Anmeldung mit Microsoft Entra (Vorschau) | FIDO2-Sicherheitsschlüssel
    Kennwortlose Sicherheitsschlüsselanmeldung unter Windows– Microsoft Entra ID
    ADFS: Zertifikatauthentifizierung mit Microsoft Entra ID und Office 365
    Wie die Smartcard-Anmeldung im Windows (Windows 10 funktioniert)
    Windows Hello for Business-Übersicht (Windows 10)

    Weitere Ressourcen:
    CSP-Richtlinien – Windows-Clientenverwaltung
    Planen einer Bereitstellung mit kennwortloser Authentifizierung mit Microsoft Entra ID

    IA-2 (5)
    Die Organisation fordert, dass die Authentifizierung von Einzelpersonen über einen individuellen Authentifikator erfolgt, wenn ein Gruppenauthentifikator verwendet wird.
    Wenn mehrere Benutzer Zugriff auf ein gemeinsames oder Gruppenkonto-Kennwort haben, verlangen Sie von jedem Benutzer, dass er sich zuerst mit einem individuellen Authentifikator authentifiziert.

    Verwenden Sie ein einzelnes Konto pro Benutzer. Wenn ein gemeinsames Konto erforderlich ist, genehmigt Microsoft Entra ID die Bindung mehrerer Authentifikatoren an ein Konto, sodass jeder Benutzer über einen individuellen Authentifikator verfügt.

    Ressourcen

  • Funktionsweise: Microsoft Entra-Multi-Faktor-Authentifizierung
  • Verwalten von Authentifizierungsmethoden für die Microsoft Entra-Multi-Faktor-Authentifizierung
  • IA-2 (8)
    Das Informationssystem implementiert einen Authentifizierungsmechanismus für den Netzwerkzugriff auf privilegierte Konten, der Schutz vor Replay-Angriffen bietet.
    Implementieren Sie gegen Replay-Angriffe gehärtete Authentifizierungsmechanismen für den Netzwerkzugriff auf privilegierte Konten.

    Konfigurieren Sie Richtlinien für bedingten Zugriff so, dass für alle Benutzer*innen eine Multi-Faktor-Authentifizierung erforderlich ist. Alle Microsoft Entra-Authentifizierungsmethoden der Authentication Assurance Levels 2 und 3 verwenden entweder Nonce oder Challenges und sind resistent gegen Replay-Attacken.

    References

  • Bedingter Zugriff: Erfordern der Multi-Faktor-Authentifizierung (MFA) für alle Benutzer*innen
  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform
  • IA-2(11)
    Das Informationssystem implementiert eine Multi-Faktor-Authentifizierung für den Remotezugriff auf privilegierte und nicht privilegierte Konten, sodass einer der Faktoren über ein Gerät bereitgestellt wird, das von dem System getrennt ist, auf das zugegriffen werden soll, und das [FedRAMP-Zuweisung: FIPS 140-2, NIAP-Zertifizierung oder NSA-Zulassung*] erfüllt.

    *Nationale Partnerschaft für Informationssicherheit (National Information Assurance Partnership, NIAP)
    Zusätzliche FedRAMP-Anforderungen und -Leitlinien:
    Leitlinie: PIV = separates Gerät. Weitere Informationen finden Sie unter „NIST SP 800-157 Guidelines for Derived Personal Identity Verification (PIV) Credentials” (NIST SP 800-157 Leitlinien für abgeleitete PIV-Berechtigungsnachweise). FIPS 140-2 bedeutet, dass etwas vom Validierungsprogramm für kryptografische Module (Cryptographic Module Validation Program, CMVP) überprüft wurde.
    Implementieren Sie die Microsoft Entra-MFA für den Fernzugriff auf vom Kunden bereitgestellte Ressourcen, so dass einer der Faktoren von einem Gerät bereitgestellt wird, das von dem System, das den Zugriff erhält, getrennt ist, wenn das Gerät die FIPS-140-2, NIAP-Zertifizierung oder die NSA-Zulassung erfüllt.

    Siehe Anleitung für IA-02(1-4). Microsoft Entra-Authentifizierungsmethoden, die bei AAL3 die Anforderungen für separate Geräte erfüllen, sind die folgenden:

    FIDO2-Sicherheitsschlüssel

  • Windows Hello for Business mit Hardware-TPM (TPM wird von NIST 800-63B Abschnitt 5.1.7.1 als gültiger „etwas, das Sie haben“-Faktor anerkannt)
  • Smartcard

    Referenzen

  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform
  • NIST 800-63B Abschnitt 5.1.7.1
  • **IA-2(12)*
    Das Informationssystem akzeptiert PIV-Anmeldeinformationen (Personal Identity Verification, Persönliche Identitätsüberprüfung) und führt eine elektronische Überprüfung der Anmeldeinformationen durch.

    Zusätzliche FedRAMP-Anforderungen und -Leitlinien für IA-2 (12):
    Leitlinie: Schließen Sie die Common Access Card (CAC) ein, d.h. die technische DoD-Implementierung von PIV/FIPS 201/HSPD-12.
    Annahme und Überprüfung von PIV-Ausweisen (Personal Identity Verification). Diese Kontrolle entfällt, wenn der Kunde keine PIV-Berechtigungsnachweise einsetzt.

    Konfigurieren Sie die Verbundauthentifizierung mit Active Directory-Verbunddienste (ADFS), um PIV (Zertifikatauthentifizierung) als primäre und mehrstufige Authentifizierungsmethode zu akzeptieren und den Anspruch der mehrstufigen Authentifizierung (MultipleAuthN) auszugeben, wenn PIV verwendet wird. Konfigurieren Sie die Verbunddomäne in Microsoft Entra ID, indem Sie federatedIdpMfaBehavior auf enforceMfaByFederatedIdp (empfohlen) oder „SupportsMfa“ auf $True festlegen, um Anforderungen für die Multi-Faktor-Authentifizierung aus Microsoft Entra ID an Active Directory Federation Services weiterzuleiten. Alternativ können Sie PIV für die Anmeldung auf Windows-Geräten und später die integrierte Windows-Authentifizierung zusammen mit nahtlosem Single Sign-On verwenden. Windows Server und Client verifizieren Zertifikate standardmäßig, wenn sie zur Authentifizierung verwendet werden.

    Ressourcen

  • Was ist ein Verbund mit Microsoft Entra ID?
  • Konfigurieren Sie die AD FS-Unterstützung für die Benutzerzertifikat-Authentifizierung
  • Konfigurieren von Authentifizierungsrichtlinien
  • Schützen von Ressourcen mit der Microsoft Entra-Multi-Faktor-Authentifizierung und AD FS
  • New-MgDomainFederationConfiguration
  • Microsoft Entra Connect: Nahtloses einmaliges Anmelden
  • IA-3 Geräteidentifikation und -Authentifizierung
    Das Informationssystem führt eine eindeutige Identifikation und Authentifizierung für [Zuweisung: von der Organisation definierten Geräte oder Gerätetypen] durch, bevor eine [Auswahl (eine oder mehrere Optionen): lokale, Remote-, Netzwerk-] Verbindung hergestellt wird.
    Implementieren Sie die Geräteidentifikation und -Authentifizierung, bevor Sie eine Verbindung herstellen.

    Konfigurieren Sie Microsoft Entra ID, um mit Microsoft Entra registrierte, in Microsoft Entra eingebundene und hybrid in Microsoft Entra eingebundene Geräte zu identifizieren und zu authentifizieren.

    Ressourcen

  • Was ist eine Geräteidentität?
  • Planen einer Microsoft Entra-Gerätebereitstellung
  • Vorschreiben der Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs
  • IA-04 Verwaltung des Bezeichners
    Die Organisation verwaltet Informationssystem-IDs für Benutzer und Geräte wie folgt:
    (a.) Erhalten der Autorisierung von [FedRAMP-Zuweisung, mindestens der ISSO (oder eine ähnliche Funktion innerhalb der Organisation)], um eine Einzel-, Gruppen-, Rollen- oder Geräte-ID zuzuweisen;
    (b.) Auswählen eines Bezeichners, der eine Person, Gruppe, Rolle oder Gerät identifiziert;
    (c.) Zuweisen des Bezeichners zu einer bestimmten Person, Gruppe, Rolle oder einem bestimmten Gerät;
    (d.) Verhindern der Wiederverwendung von Bezeichnern für [FedRAMP-Zuordnung: mindestens zwei (2) Jahre]; Und
    (e.) Deaktivieren des Bezeichners nach [FedRAMP-Zuweisung: fünfunddreißig (35) Tagen (siehe zusätzliche Anforderungen und Leitlinien)]
    Zusätzliche FedRAMP-Anforderungen und Leitlinien für IA-4e:
    Anforderung: Der Dienstanbieter definiert den Zeitraum der Inaktivität für Gerätebezeichner.
    Leitlinie: Informationen zu DoD-Clouds finden Sie auf der DoD-Cloudwebsite für spezifische DoD-Anforderungen, die über FedRAMP hinausgehen.

    IA-4(4)
    Die Organisation verwaltet einzelne Bezeichner, indem sie jede Person eindeutig als [FedRAMP-Zuordnung: Auftragnehmer; ausländische Staatsangehörige] identifiziert.
    Deaktivieren Sie Kontokennungen nach 35 Tagen Inaktivität und verhindern Sie ihre Wiederverwendung für zwei Jahre. Verwaltung individueller Kennungen durch eindeutige Identifizierung jeder einzelnen Person (z. B. Auftragnehmer und ausländische Staatsangehörige).

    Weisen Sie individuelle Kontoidentifikatoren und den Status in Microsoft Entra ID zu, und verwalten Sie diese gemäß den bestehenden Organisationsrichtlinien, die in AC-02 definiert sind. Befolgen Sie AC-02(3), um Benutzer- und Gerätekonten nach 35 Tagen Inaktivität automatisch zu deaktivieren. Stellen Sie sicher, dass durch die organisationsweite Richtlinie alle im deaktivierten Zustand verbleibenden Konten für mindestens 2 Jahre im System verbleiben. Danach können Sie sie entfernen.

    Bestimmen von Inaktivität

  • Verwalten inaktiver Benutzerkonten in Microsoft Entra ID
  • Verwalten veralteter Geräte in Microsoft Entra ID
  • Siehe AC-02-Anleitung
  • IA-5 Authentifikatorverwaltung
    Die Organisation verwaltet Authentifikatoren des Informationssystems wie folgt:
    (a.) Überprüfen der Identität der Person, Gruppe, Rolle oder des Geräts, die/der den Authentifikator erhält, als Teil der ursprünglichen Verteilung des Authentifikators;
    (b.) Einrichten des anfänglichen Authentifikatorinhalts für Authentifikatoren, die von der Organisation definiert werden;
    (c.) Sicherstellen, dass die Authentifikatoren über ausreichende Mechanismen für ihre beabsichtigte Verwendung verfügen;
    (d.) Erstellen und implementieren administrativer Verfahren für die Erstverteilung von Authentifikatoren, für verlorene, kompromittierte oder beschädigte Authentifikatoren und für das Sperren von Authentifikatoren;
    (e.) Ändern des Standardinhalts von Authentifikatoren vor der Installation des Informationssystems;
    (f.) Festlegen von Mindest- und Höchstgrenzen für die Lebensdauer und von Bedingungen für die Wiederverwendung von Authentifikatoren;
    (g.) Ändern/Aktualisieren von Authentifikatoren [Zuordnung: durch die Organisation definierte Zeitspanne nach Authentifikatortyp].
    (h.) Schutz von Authentifikatorinhalten vor unbefugter Offenlegung und Änderung;
    (i.) Verpflichten von Personen und der Geräte, bestimmte Sicherheitsvorkehrungen zum Schutz von Authentifikatoren zu ergreifen, und deren Umsetzung; Und
    (j.) Ändern von Authentifikatoren für Gruppen-/Rollenkonten, wenn sich die Mitgliedschaft zu diesen Konten ändert.

    Zusätzliche FedRAMP-Anforderungen und -Leitlinien für IA-5:
    Anforderung: Authentifikatoren müssen mit den NIST SP 800-63-3 Digital Identity Guidelines (Leitlinien zur digitalen Identität) IAL, AAL, FAL Level 3 konform sein. https://pages.nist.gov/800-63-3 für Link
    Konfigurieren und Verwalten von Authentifikatoren des Informationssystems.

    Microsoft Entra ID unterstützt verschiedene Authentifizierungsmethoden. Sie können Ihre vorhandenen Organisationsrichtlinien für die Verwaltung verwenden. Weitere Informationen finden Sie in der Anleitung zur Authentifikatoren-Auswahl in IA-02(1-4). Aktivieren Sie Benutzer in der kombinierten Registrierung für SSPR und der Microsoft Entra-MFA und verlangen Sie von den Benutzern, dass sie mindestens zwei akzeptable MFA-Methoden registrieren, um die Selbstreparatur zu erleichtern. Sie können benutzerkonfigurierte Authentifikatoren jederzeit über die Authentifizierungsmethoden-API deaktivieren.

    Authentifikatorenstärke/Authentifikatoreninhalt schützen

  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform

    Authentifizierungsmethoden und die kombinierte Registrierung

  • Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?
  • Die kombinierte Registrierung für SSPR und die Microsoft Entra-Multi-Faktor-Authentifizierung

    Authentifikatoren deaktivieren

  • API-Übersicht über die Microsoft Entra Authentifizierungsmethoden
  • IA-5(1)
    Das Informationssystem für die kennwortbasierte Authentifizierung:
    (a.) Erzwingt die minimale Kennwortkomplexität von [Zuweisung: von der Organisation definierte Anforderungen an Groß-/Kleinschreibung, Anzahl von Zeichen, Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, einschließlich Mindestanforderungen für jeden Typ];
    (b.) Erzwingt mindestens die folgende Anzahl geänderter Zeichen, wenn neue Kennwörter erstellt werden: [FedRAMP-Zuweisung: mindestens fünfzig Prozent (50%)];
    (c.) Speichert und überträgt Kennwörter ausschließlich in kryptografisch geschützter Form;
    (d.) Erzwingt Einschränkungen für die minimale und maximale Lebensdauer von Kennwörtern von [Zuweisung: durch die Organisation definierte Zahlen für mindeste Lebensdauer, maximale Lebensdauer];
    (e.)** Verbietet die Wiederverwendung von Kennwörtern für [FedRAMP-Zuweisung: vierundzwanzig (24)] Generationen; Und
    (f.) Erlaubt die Verwendung eines temporären Kennworts für Systemanmeldungen mit sofortiger Änderung in ein dauerhaftes Kennwort.

    Zusätzliche FedRAMP-Anforderungen und -Leitlinien für IA-5 (1) a und d:
    Leitlinie: Wenn Kennwortrichtlinien mit der Leitlinie NIST SP 800-63B Memorized Secret (Gespeichertes Geheimnis) (Abschnitt 5.1.1) konform sind, kann das Steuerelement als konform betrachtet werden.
    Implementieren Sie kennwortbasierte Authentifizierungsanforderungen.

    Gemäß NIST SP 800-63B Abschnitt 5.1.1: Verwalten Sie eine Liste häufig verwendeter, erwarteter oder kompromittierten Kennwörter.

    Beim Microsoft Entra-Kennwortschutz werden globale Standardlisten mit gesperrten Kennwörtern automatisch auf alle Benutzer eines Microsoft Entra-Mandanten angewendet. Zur Unterstützung Ihrer Geschäfts- und Sicherheitsanforderungen können Sie Einträge in einer benutzerdefinierten Liste mit gesperrten Kennwörtern definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand dieser Listen mit gesperrten Kennwörtern überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen.

    Kennwortlose Strategien werden dringend empfohlen. Dieses Steuerelement gilt nur für Kennwortauthentifikatoren, sodass es nicht mehr anwendbar ist, wenn Kennwörter als verfügbarer Authentifikator entfernt werden.

    NIST-Referenzdokumente

  • NIST-Sonderveröffentlichung 800-63B
  • NIST-Sonderveröffentlichung 800-53 Revision 5 – IA-5-Steuerungsoptimierung (1)

    Resource

  • Ausschließen unsicherer Kennwörter mithilfe des Microsoft Entra-Kennwortschutzes
  • IA-5(2)
    Das Informationssystem für die PKI-basierte Authentifizierung:
    (a.) Verifiziert Zertifizierungen, indem ein Zertifizierungspfad zu einem akzeptierten Vertrauensanker erstellt und überprüft wird, einschließlich einer Überprüfung der Informationen zum Zertifikatstatus;
    (b.) Erzwingt autorisierten Zugriff auf den entsprechenden privaten Schlüssel;
    (c.) Ordnet die authentifizierte Identität dem Konto der Einzelperson oder Gruppe zu; Und
    (d.) Implementiert einen lokalen Cache mit Sperrdaten, um die Pfaderkennung und -überprüfung zu unterstützen, falls ein Zugriff auf die Sperrinformationen über das Netzwerk nicht möglich ist.
    Implementieren Sie PKI-basierte Authentifizierungsanforderungen.

    Führen Sie einen Microsoft Entra-Verbund über AD FS durch, um die PKI-basierte Authentifizierung zu implementieren. Standardmäßig validiert AD FS Zertifikate, speichert Sperrdaten lokal und ordnet Benutzer der authentifizierten Identität in Active Directory zu.

    Ressourcen

  • Was ist ein Verbund mit Microsoft Entra ID?
  • Konfigurieren Sie die AD FS-Unterstützung für die Benutzerzertifikat-Authentifizierung
  • IA-5(4)
    Die Organisation verwendet automatisierte Tools, um zu ermitteln, ob Kennwortauthentifikatoren ausreichend stark sind, um [FedRAMP-Zuweisung: Komplexität gemäß IA-5 (1) Control Enhancement (H) Part A (Erweiterung der Kontrolle, Teil A)] zu erfüllen.

    Zusätzliche FedRAMP-Anforderungen und -Leitlinien für IA-5(4):
    Leitlinie: Wenn bei der Erstellung von Kennwortauthentifikatoren keine automatischen Mechanismen zur Durchsetzung der Stärke verwendet werden, müssen automatisierte Mechanismen verwendet werden, um die Stärke erstellter Kennwortauthentifikatoren zu überprüfen.
    Verwenden Sie automatisierte Tools, um die Anforderungen an die Kennwortstärke zu überprüfen.

    Microsoft Entra ID implementiert automatische Mechanismen, welche die Stärke der Kennwortauthentifizierung bei der Erstellung durchsetzen. Dieser automatisierte Mechanismus kann auch erweitert werden, um die Kennwortauthentifizierungsstärke für das lokale Active Directory durchzusetzen. Die Revision 5 von NIST 800-53 widerrief IA-04(4) und hat die Anforderung in IA-5(1) aufgenommen.

    Ressourcen

  • Ausschließen unsicherer Kennwörter mithilfe des Microsoft Entra-Kennwortschutzes
  • Microsoft Entra-Kennwortschutz für Active Directory-Domänendienste
  • NIST-Sonderveröffentlichung 800-53 Revision 5 – IA-5-Steuerungsoptimierung (4)
  • IA-5(6)
    Die Organisation schützt die Authentifikatoren entsprechend der Sicherheitskategorie der Informationen, auf die der Authentifikator Zugriff erlaubt.
    Schützen Sie Authentifikatoren gemäß Definition des FedRAMP High Impact Levels.

    Weitere Informationen dazu, wie Microsoft Entra ID Authentifikatoren schützt, finden Sie unter Überlegungen zur Microsoft Entra-Datensicherheit.

    IA-05(7)
    Die Organisation stellt sicher, dass unverschlüsselte statische Authentifikatoren nicht in Anwendungen oder Zugriffsskripts eingebettet oder über Funktionstasten gespeichert werden.
    Stellen Sie sicher, dass unverschlüsselte statische Authentifikatoren (etwa ein Passwort) nicht in Anwendungen oder Zugriffsskripte eingebettet oder auf Funktionstasten gespeichert sind.

    Implementieren Sie verwaltete Identitäten oder Dienstprinzipalobjekte (nur mit einem Zertifikat konfiguriert).

    Ressourcen

  • Was sind verwaltete Identitäten für Azure-Ressourcen?
  • Erstellen einer Microsoft Entra-App und eines Dienstprinzipals im Portal
  • IA-5(8)
    Die Organisation implementiert [FedRAMP-Zuweisung: verschiedene Authentifikatoren auf verschiedenen Systemen], um das Risiko einer Kompromittierung zu verwalten, da Einzelpersonen Konten auf mehreren Informationssystemen haben.
    Implementieren Sie Sicherheitsvorkehrungen, wenn Personen Konten auf mehreren Informationssystemen betreiben.

    Implementieren Sie das einmalige Anmelden, indem Sie alle Anwendungen mit Microsoft Entra ID verbinden, im Gegensatz zu individuellen Konten auf mehreren Informationssystemen.

    Was ist Azure Single Sign-On?

    IA-5(11)
    Das Informationssystem für die auf Hardwaretoken basierende Authentifizierung nutzt Mechanismen, die den [Zuweisung: von der Organisation definierte Qualitätsanforderungen für Token] entsprechen.
    Setzen Sie vom FedRAMP High Impact Level geforderte Qualitätsanforderungen für Hardware-Token durch.

    Erfordern Sie die Verwendung von Hardwaretoken, die mit AAL3 konform sind.

    Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform

    IA-5(13)
    Das Informationssystem verbietet die Verwendung von zwischengespeicherten Authentifikatoren nach [Zuweisung: von der Organisation definierter Zeitraum].
    Erzwingen Sie den Ablauf von zwischengespeicherten Authentifikatoren.

    Zwischengespeicherte Authentifikatoren werden zur Authentifizierung beim lokalen Computer verwendet, wenn das Netzwerk nicht verfügbar ist. Um die Verwendung von zwischengespeicherten Authentifikatoren zu beschränken, konfigurieren Sie Windows-Geräte so, dass ihre Verwendung deaktiviert wird. Wo dies nicht möglich oder sinnvoll ist, verwenden Sie folgende ausgleichende Maßnahmen:

    Konfigurieren Sie Sitzungssteuerungen für den bedingten Zugriff mit von Anwendungen erzwungenen Einschränkungen für Office-Anwendungen.
    Konfigurieren Sie den bedingten Zugriff durch Anwendungssteuerungen für andere Anwendungen.

    Ressourcen

  • Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen, die zwischengespeichert werden
  • Sitzungssteuerungen in der Richtlinie für den bedingten Zugriff: Von der Anwendung erzwungene Einschränkungen
  • Sitzungssteuerung in der Richtlinie für bedingten Zugriff – Anwendungssteuerung für bedingten Zugriff
  • IA-6 Feedback des Authentifikators
    Das Informationssystem verhindert die Rückmeldung von Authentifizierungsinformationen während des Authentifizierungsprozesses, um die Informationen vor einer möglichen Ausnutzung durch Unbefugte zu schützen.
    Verdecken Sie Authentifizierungs--Feedbackinformationen während des Authentifizierungsvorgangs.

    Standardmäßig verschleiert Microsoft Entra ID das gesamte Authentifikatorfeedback.

    IA-7 Authentifizierung anhand eines kryptografischen Moduls
    Das Informationssystem implementiert Authentifizierungsmechanismen in einem kryptografischen Modul, die den Anforderungen geltender Bundesgesetze, Durchführungsverordnungen, Direktiven, Richtlinien, Bestimmungen, Normen und Vorschriften für eine solche Authentifizierung entsprechen.
    Implementieren Sie Mechanismen für die Authentifizierung zu einem kryptografischen Modul, das den geltenden Bundesgesetzen entspricht.

    Für das FedRAMP High Impact Level ist der AAL3-Authentifikator erforderlich. Alle Authentifikatoren, die von Microsoft Entra ID bei AAL3 unterstützt werden, stellen Mechanismen bereit, um den Bedienerzugriff auf das Modul nach Bedarf zu authentifizieren. Konfigurieren Sie z. B. in einer Windows Hello for Business-Bereitstellung mit Hardware-TPM die Stufe der TPM-Eigentümerautorisierung.

    Ressourcen

  • Weitere Informationen finden Sie unter IA-02 (2 und 4).
  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform
  • Gruppenrichtlinieneinstellungen für TPM-Dienste
  • IA-8 Identifikation und Authentifizierung (Nicht zur Organisation gehörende Benutzer)
    Das Informationssystem identifiziert und authentifiziert eindeutig nicht-organisatorische Benutzer (oder Vorgänge), die im Namen von nicht-organisatorischen Benutzern handeln.
    Das Informationssystem bietet eindeutige Identifikation und Authentifizierung für organisationsexterne Benutzer*innen (oder Vorgänge, die im Namen von organisationsexternen Benutzer*innen ausgeführt werden).

    Microsoft Entra ID bietet eindeutige Identifikation und Authentifizierung für organisationsexterne Benutzer, die im Mandanten der Organisation oder in externen Verzeichnissen ansässig sind, mithilfe von Protokollen, die durch das Federal Identity, Credential, and Access Management (FICAM) anerkannt sind.

    Ressourcen

  • Was ist B2B Collaboration in Microsoft Entra ID?
  • Direkter Verbund mit einem Identitätsanbieter für B2B
  • Eigenschaften eines B2B-Gastbenutzers
  • IA-8(1)
    Das Informationssystem akzeptiert PIV-Anmeldeinformationen (Personal Identity Verification, Persönliche Identitätsüberprüfung) von anderen Bundesbehörden und führt eine elektronische Überprüfung der Anmeldeinformationen durch.

    IA-8(4)
    Das Informationssystem entspricht den von der FICAM herausgegebenen Profilen.
    Akzeptieren und überprüfen Sie die von anderen Bundesbehörden ausgestellten PIV-Ausweise. Entspricht den von der FICAM herausgegebenen Profilen.

    Konfigurieren Sie Microsoft Entra ID so, dass es PIV-Anmeldeinformationen über einen Verbund (OIDC, SAML) oder lokal über die integrierte Windows-Authentifizierung akzeptiert.

    Ressourcen

  • Was ist ein Verbund mit Microsoft Entra ID?
  • Konfigurieren Sie die AD FS-Unterstützung für die Benutzerzertifikat-Authentifizierung
  • Was ist B2B Collaboration in Microsoft Entra ID?
  • Direkter Verbund mit einem Identitätsanbieter für B2B
  • IA-8(2)
    Das Informationssystem akzeptiert nur FICAM-genehmigte Anmeldeinformationen von Drittanbietern.
    Akzeptieren Sie durch FICAM anerkannte Anmeldeinformationen.

    Microsoft Entra ID unterstützt Authentifikatoren auf den AALs 1, 2 und 3. Schränken Sie die Verwendung von Authentifikatoren entsprechend der Sicherheitskategorie des Systems, auf das zugegriffen wird, ein.

    Microsoft Entra ID unterstützt eine Vielzahl von Authentifizierungsmethoden.

    Ressourcen

  • Welche Authentifizierungs- und Prüfmethoden stehen in Microsoft Entra ID zur Verfügung?
  • API-Übersicht über die Richtlinien der Microsoft Entra Authentifizierungsmethoden
  • Erreichen von NIST Authentication Assurance Levels mit der Microsoft Identity Platform                                     
  • Nächste Schritte