Erfüllen der Autorisierungsanforderungen des Memorandums 22-09

Diese Artikelreihe enthält Anleitungen zur Verwendung von Microsoft Entra ID als zentrales Identitätsverwaltungssystem bei der Implementierung von Zero Trust-Prinzipien. Siehe US Office of Management and Budget (OMB) M 22-09 Memorandum für die Leiter der Exekutivabteilungen und Behörden.

Die Anforderungen des Memorandums sind Erzwingungstypen in Multi-Faktor-Authentifizierungsrichtlinien und Kontrollen für Geräte, Rollen, Attribute und die Verwaltung privilegierter Zugriffe.

Gerätebasierte Zugriffssteuerungen

Eine Anforderung des Memorandums 22-09 ist mindestens ein gerätebasiertes Signal für Autorisierungsentscheidungen für den Zugriff auf ein System oder eine Anwendung. Erzwingen Sie die Anforderung mithilfe des bedingten Zugriffs. Wenden Sie während der Autorisierung mehrere Gerätesignale an. In der folgenden Tabelle finden Sie Informationen zum Signal und zu den Anforderungen für den Signalabruf.

Signal Signalabruf
Gerät wird verwaltet Die Integration in Intune oder einer anderen Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM), die die Integration unterstützt.
Hybrid in Microsoft Entra eingebunden Active Directory verwaltet das Gerät, und es ist qualifiziert.
Gerät ist kompatibel Die Integration in Intune oder einer anderen MDM-Lösung, die die Integration unterstützt. Erstellen Sie eine Konformitätsrichtlinie in Microsoft Intune.
Bedrohungssignale Microsoft Defender for Endpoint und andere Tools für die Ermittlung von und Reaktion auf Endpunkte (Endpoint Detection and Response, EDR) verfügen über Microsoft Entra ID- und Intune-Integrationen, die Bedrohungssignale zum Verweigern des Zugriffs senden. Bedrohungssignale unterstützen das Konformitätsstatussignal.
Mandantenübergreifende Zugriffsrichtlinien (öffentliche Vorschau) Vertrauen Sie Gerätesignalen von Geräten in anderen Organisationen.

Rollenbasierte Zugriffssteuerungen

Verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um Autorisierungen über Rollenzuweisungen in einem bestimmten Bereich zu erzwingen. Weisen Sie den Zugriff beispielsweise mithilfe von Features der Berechtigungsverwaltung (einschließlich Zugriffspakete und Zugriffsüberprüfungen) zu. Verwalten Sie Autorisierungen mit Self-Service-Anforderungen, und verwenden Sie die Automatisierung zum Verwalten des Lebenszyklus. Beenden Sie beispielsweise den Zugriff anhand bestimmter Kriterien automatisch.

Weitere Informationen:

Attributbasierte Zugriffssteuerungen

Bei der attributbasierten Zugriffssteuerung (Attribute-based Access Controls, ABAC) werden Meta-Daten, die einem Benutzer oder einer Ressource zugewiesen sind, zum Gewähren oder Verweigern des Zugriffs während der Authentifizierung verwendet. In den folgenden Abschnitten finden Sie Informationen zum Erstellen von Autorisierungen mithilfe von ABAC-Erzwingungen für Daten und Ressourcen durch Authentifizierung.

Attribute, die Benutzern zugewiesen sind

Verwenden Sie Attribute, die Benutzer*innen zugewiesen und in Microsoft Entra ID gespeichert sind, zum Erstellen von Autorisierungen für Benutzer*innen. Benutzende werden automatisch dynamischen Mitgliedschaftsgruppen zugewiesen, basierend auf einem Regelsatz, den Sie während der Gruppenerstellung definieren. Regeln fügen einen Benutzer zu einer Gruppe hinzu oder entfernen ihn aus dieser basierend auf der Regelauswertung des Benutzers und seiner Attribute. Es wird empfohlen, Attribute zu verwalten und am Erstellungstag keine statischen Attribute festzulegen.

Weitere Informationen: Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID

Attribute, die Daten zugewiesen sind

Mit Microsoft Entra ID können Sie die Autorisierung in die Daten integrieren. In den folgenden Abschnitten finden Sie Informationen zur Integration der Autorisierung. Sie können die Authentifizierung in Richtlinien für bedingten Zugriff konfigurieren: Aktionen einschränken, die Benutzer in einer Anwendung oder für Daten ausführen. Diese Authentifizierungsrichtlinien werden dann in der Datenquelle zugeordnet.

Datenquellen können Dateien von Microsoft Office-Anwendungen wie Word, Excel oder SharePoint-Websites sein, die der Authentifizierung zugeordnet sind. Verwenden Sie die Authentifizierung, die Daten in Anwendungen zugewiesen ist. Dieser Ansatz erfordert eine Integration in den Anwendungs-Code und die Übernahme der Funktionalität durch die Entwickler. Verwenden Sie die Integration der Authentifizierung in Microsoft Defender for Cloud-Apps, um Aktionen für Daten über Sitzungssteuerungen zu steuern.

Kombinieren Sie dynamische Mitgliedschaftsgruppen mit dem Authentifizierungskontext, um den Benutzerzugriff zwischen den Daten und den Benutzerattributen zu steuern.

Weitere Informationen:

Attribute, die Daten Ressourcen sind

Azure umfasst die attributbasierte Zugriffssteuerung (Azure ABAC) für die Speicherung. Weisen Sie den in einem Azure BLOB Storage-Konto gespeicherten Daten Meta-Daten-Tags zu. Weisen Sie Benutzern die Meta-Daten mithilfe von Rollenzuweisungen zu, um den Zugriff zu gewähren.

Weitere Informationen: Was ist die attributbasierte Zugriffssteuerung in Azure (Azure Attribute-Based Access Control, Azure ABAC)?

Privileged Access Management

In dem Memorandum wird die Ineffizienz der Verwendung von Tools für die Verwaltung privilegierter Zugriffe mit kurzlebigen Anmeldeinformationen für Zugriffssysteme mit einem Faktor angeführt. Zu diesen Technologien gehören Kennworttresore, die die Anmeldung mit Multi-Faktor-Authentifizierung für einen Administrator akzeptieren. Diese Tools generieren ein Kennwort für ein alternatives Konto für den Zugriff auf das System. Der Systemzugriff erfolgt mit einem einzelnen Faktor.

Microsoft-Tools implementieren Privileged Identity Management (PIM) für privilegierte Systeme mit Microsoft Entra ID als zentralem System für die Identitätsverwaltung. Erzwingen Sie die Multi-Faktor-Authentifizierung für die meisten privilegierten Systeme, bei denen es sich um Anwendungen, Infrastrukturelemente oder Geräte handelt.

Verwenden Sie PIM für eine privilegierte Rolle, wenn sie mit Microsoft Entra-Identitäten implementiert ist. Identifizieren sie privilegierte Systeme, die Schutz erfordern, um Lateral Movement zu verhindern.

Weitere Informationen:

Nächste Schritte