Soddisfare i requisiti di autorizzazione del memorandum 22-09

Questa serie di articoli include indicazioni sull'uso di Microsoft Entra ID come sistema di gestione delle identità centralizzato durante l'implementazione dei principi Zero Trust. Consultare US Office of Management and Budget (OMB) M 22-09 Memorandum per i capi dei dipartimenti esecutivi e delle agenzie.

I requisiti dei memo sono tipi di imposizione nei criteri di autenticazione a più fattori e controlli per dispositivi, ruoli, attributi e Privileged Access Management.

Controlli basati su dispositivo

Un requisito del memorandum 22-09 è almeno un segnale basato su dispositivo per le decisioni di autorizzazione per accedere a un sistema o a un'applicazione. Imporre il requisito utilizzando l'accesso condizionale. Applicare diversi segnali del dispositivo durante l'autorizzazione. Vedere la tabella seguente per il segnale e il requisito di recuperare il segnale.

Segnale Recupero del segnale
È un dispositivo gestito Integrazione con Intune o un'altra soluzione di gestione di dispositivi mobili (MDM) che supporta l'integrazione.
Microsoft Entra aggiunto ibrido Active Directory gestisce il dispositivo e questo è idoneo.
Il dispositivo è conforme Integrazione con Intune o un'altra soluzione MDM che supporta l'integrazione. Consultare Creare criteri di conformità in Microsoft Intune.
Segnali di minaccia Microsoft Defender per endpoint e altri strumenti di rilevamento e reazione dagli endpoint (EDR) dispongono di integrazioni con Microsoft Entra ID e Intune che inviano segnali di minaccia per negare l'accesso. I segnali di minaccia supportano il segnale di stato conforme.
Criteri di accesso tra tenant (anteprima pubblica) Considerare attendibili i segnali dei dispositivi da dispositivi in altre organizzazioni.

Controlli basati sui ruoli

Usare il controllo degli accessi in base al ruolo (RBAC) per applicare le autorizzazioni tramite assegnazioni di ruolo in un determinato ambito. Ad esempio, assegnare l'accesso usando le funzionalità di gestione entitlement, inclusi i pacchetti di accesso e le verifiche di accesso. Gestire le autorizzazioni con richieste self-service e usare l'automazione per gestire il ciclo di vita. Ad esempio, terminare automaticamente l'accesso in base ai criteri.

Altre informazioni:

Controlli basati su attributi

Il controllo degli accessi in base all'attributo (ABAC) usa i metadati assegnati a un utente o a una risorsa per consentire o negare l'accesso durante l'autenticazione. Vedere le sezioni seguenti per creare autorizzazioni usando le imposizione del controllo degli accessi ABAC per i dati e le risorse tramite l'autenticazione.

Attributi assegnati agli utenti

Usare gli attributi assegnati agli utenti, archiviati nel Microsoft Entra ID, per creare autorizzazioni utente. Gli utenti vengono assegnati automaticamente ai gruppi di appartenenza dinamici in base a un set di regole definito durante la creazione del gruppo. Le regole aggiungono o rimuovono un utente dal gruppo in base alla valutazione delle regole rispetto all'utente e ai relativi attributi. È consigliabile gestire gli attributi e non impostare attributi statici al giorno della creazione.

Altre informazioni: Creare o aggiornare un gruppo dinamico in Microsoft Entra ID

Attributi assegnati ai dati

Con Microsoft Entra ID, è possibile integrare l'autorizzazione con i dati. Vedere le sezioni seguenti per integrare l'autorizzazione. È possibile configurare l'autenticazione nei criteri di accesso condizionale: limitare le azioni eseguite dagli utenti in un'applicazione o nei dati. Questi criteri di autenticazione vengono quindi mappati nell'origine dati.

Le origini dati possono essere file di Microsoft Office come Word, Excel o siti di SharePoint mappati all'autenticazione. Usare l'autenticazione assegnata ai dati nelle applicazioni. Questo approccio richiede l'integrazione con il codice dell'applicazione e che gli sviluppatori adottino la funzionalità. Usare l'integrazione dell'autenticazione con le app Microsoft Defender per il cloud per controllare le azioni eseguite sui dati tramite i controlli di sessione.

Combinare gruppi di appartenenza dinamica con il contesto di autenticazione per controllare i mapping di accesso utente tra i dati e gli attributi utente.

Altre informazioni:

Attributi assegnati alle risorse

Azure include il controllo degli accessi in base all'attributo (Azure ABAC) per l'archiviazione. Assegnare tag di metadati ai dati archiviati in un account Archiviazione BLOB di Azure. Assegnare i metadati agli utenti usando le assegnazioni di ruolo per concedere l'accesso.

Ulteriori informazioni: Che cos'è il controllo degli accessi in base all'attributo di Azure?

Gestione degli accessi con privilegi

Il memo cita l'inefficienza dell'uso degli strumenti di Privileged Access Management con credenziali temporanee a fattore singolo per accedere ai sistemi. Queste tecnologie includono insiemi di credenziali delle password che accettano l'accesso con autenticazione a più fattori per un amministratore. Questi strumenti generano una password per un account alternativo per accedere al sistema. L'accesso al sistema si verifica con un singolo fattore.

Gli strumenti Microsoft implementano Privileged Identity Management (PIM) per i sistemi con privilegi con Microsoft Entra ID come sistema di gestione delle identità centrale. Imporre l'autenticazione a più fattori per la maggior parte dei sistemi con privilegi che sono applicazioni, elementi dell'infrastruttura o dispositivi.

Usare PIM per un ruolo con privilegi, quando viene implementato con le identità di Microsoft Entra. Identificare i sistemi con privilegi che richiedono protezioni per impedire lo spostamento laterale.

Altre informazioni:

Passaggi successivi