設定 CMMC 層級 2 存取控制 (AC) 控制項
Microsoft Entra ID 可協助您符合每個網路安全成熟度模型認證 (CMMC) 層級中的身分識別相關實務需求。 為了符合 CMMC V2.0 層級 2 中的需求,由公司負責執行工作,並代表美國國防部 (DoD) 完成其他設定或流程。
在 CMMC 層級 2 中,有 13 個網域具有一個或多個與身分識別相關的做法:
- 存取控制 (AC)
- 稽核和權責 (AU)
- 組態管理 (CM)
- 識別與驗證 (IA)
- 事件回應 (IR)
- 維護 (MA)
- 媒體保護 (MP)
- 人員安全性 (PS)
- 實體保護 (PE)
- 風險評估 (RA)
- 安全性評估 (CA)
- 系統與通訊保護 (SC)
- 系統與資訊完整性 (SI)
本文的其餘部分提供存取控制 (AC) 網域的指導。 有一個包含內容連結的資料表,可提供完成實作的逐步指引。
存取控制 (AC)
下表提供實務聲明和目標清單,以及 Microsoft Entra 指導和建議,讓您能夠使用 Microsoft Entra ID 符合這些需求。
| CMMC 實務聲明和目標 | Microsoft Entra 指導和建議 |
|---|---|
| AC.L2-3.1.3 實務聲明:根據已核准的授權來控制 CUI 流程。 目標: 判斷是否: [a.] 已定義資訊流程控制原則; [b.] 定義用來控制 CUI 流程的方法和強制執行機制; [c.] 識別系統內 CUI 的指定來源和目的地 (例如網路、個人和裝置),並識別系統間連接系統之間的 CUI; [d.] 已定義控制 CUI 流程的授權;以及 [e.] 強制執行控制 CUI 流程的核准授權。 |
設定條件式存取原則,以控制來自信任的位置、信任的裝置、已核准的應用程式,的 CUI 所進行的流程,並要求應用程式防護原則。 如需 CUI 的更精細授權,請設定應用程式強制執行的限制 (Exchange/SharePoint Online)、應用程控 (搭配 Microsoft Defender for Cloud Apps)、驗證內容。 部署 Microsoft Entra 應用程式 Proxy 安全地存取內部部署的應用程式。 Microsoft Entra 條件式存取中的位置條件 條件式存取原則中的授與控制項:要求裝置必須標記為符合規範 在條件式存取原則中授與控制項:需要 Microsoft Entra 混合式聯結裝置 條件式存取原則中的授與控制項:需要核准的用戶端應用程式 條件式存取原則中的授與控制項:需要應用程式防護原則 條件式存取原則中的工作階段控制項:應用程式強制執行之限制 使用 Microsoft Defender for Cloud Apps 的條件式存取應用程式控制進行保護 條件式存取原則中的雲端應用程式、動作和驗證內容 使用 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 驗證內容 設定驗證內容並指派給條件式存取原則 資訊保護 掌握並保護您的資料;協助防止資料遺失。 使用 Microsoft Purview 保護您的敏感性資料 條件式存取 Azure 資訊保護 (AIP) 的條件式存取 應用程式 Proxy 使用 Microsoft Entra 應用程式 Proxy 遠端存取內部部署應用程式 |
| AC.L2-3.1.4 實務聲明:區隔個人責任,以降低未經共謀的惡意活動風險。 目標: 判斷是否: [a.] 定義需要區隔的個人職責; [b.] 對於需要區隔的職責,責任會指派給個人;以及 [c.] 可讓個人行使需要區隔的職責所用的存取授權會授與個人。 |
藉由界定適當的存取範圍,確保適當區隔職責。 設定權利管理存取套件,以控管應用程式、群組、Teams 和 SharePoint 網站的存取權。 設定存取套件內的職責區隔檢查,以避免使用者取得過多的存取權。 在 Microsoft Entra 權利管理中,您可以設定多項原則,為每個需要透過存取套件存取的使用者社群進行不同的設定。 此設定包含限制,讓特定群組的使用者或已指派不同的存取套件不會依原則被指派其他存取套件。 在 Microsoft Entra ID 中設定系統管理單位,以設定系統管理授權,讓具有特殊權限角色的系統管理員只能對於一組有限的目錄物件 (使用者、群組、裝置) 擁有授權。 什麼是權利管理? 什麼是存取套件,我可以使用存取套件來管理哪些資源? 在 Microsoft Entra 權利管理中為存取套件設定職責區分 Microsoft Entra ID 中的管理單位 |
| AC.L2-3.1.5 實務聲明:採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 目標: 判斷是否: [a.] 識別具特殊權限的帳戶; [b.] 根據最低授權原則授權存取具特殊權限的帳戶; [c.] 識別安全性函數;以及 [d.] 安全性函數的存取權會根據最低授權原則獲得授權。 |
您必須負責實作並強制執行最低授權規則。 您可以使用 Privileged Identity Management 完成此動作,以設定強制執行、監視和警示。 設定角色成員資格的需求和條件。 識別和管理具特殊權限的帳戶之後,請使用權利生命週期管理和存取權檢閱設定、維護和稽核適當的存取權。 使用 MS Graph API 探索和監視目錄角色。 指派角色 在 PIM 中指派 Microsoft Entra 角色 在 Privileged Identity Management 中指派 Azure 資源角色 為群組指派 PIM 的合格擁有者和成員 設定角色設定 在 PIM 中設定Microsoft Entra 角色設定 在 PIM 中設定 Azure 資源角色設定 在 PIM 中設定適用於群組的 PIM 設定 設定警示 PIM 中 Microsoft Entra 角色的安全性警示 在 Privileged Identity Management 中設定 Azure 資源角色的安全性警示 |
| AC.L2-3.1.6 實務聲明:存取非安全性功能時,請使用非權限帳戶或角色。 目標: 判斷是否: [a.] 識別非安全性函數;以及 [b.] 存取非安全性功能時,使用者必須使用非權限帳戶或角色。 AC.L2-3.1.7 實務聲明:防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。 目標: 判斷是否: [a.] 已定義行具特殊權限的函式; [b.] 定義非特殊權限的使用者; [c.] 防止不具特殊權限的使用者執行具特殊權限的函式;以及 [d.] 稽核記錄會擷取特殊權限函數的執行。 |
AC.L2-3.1.6 和 AC.L2-3.1.7 的需求彼此互補。 對於特殊權限和非特殊權限的使用,需要個別帳戶。 設定 Privileged Identity Management (PIM) 以引進 Just-In-Time(JIT) 特殊權限存取,並移除常設存取權。 配置角色型條件式存取原則,以限制特殊權限使用者的生產力應用程式存取。 對於具有高度特殊權限的使用者,請保護裝置做為特殊權限存取案例的一部分。 Microsoft Entra 稽核記錄會擷取全部特殊權限的動作。 特殊權限存取概觀 在 PIM 中設定Microsoft Entra 角色設定 條件式存取原則中的使用者和群組 為什麼特殊權限存取裝置很重要 |
| AC.L2-3.1.8 實務聲明:限制失敗的登入嘗試。 目標: 判斷是否: [a.] 定義限制未成功登入嘗試的方法;以及 [b.] 實作對於限制未成功登入嘗試所定義的方法。 |
啟用自訂智慧型鎖定設定。 設定鎖定閾值和鎖定持續時間 (以秒為單位),以實作這些需求。 使用 Microsoft Entra 智慧鎖定防止使用者帳戶遭受攻擊 管理 Microsoft Entra 智慧鎖定值 |
| AC.L2-3.1.9 實務聲明:提供與適用 CUI 規則一致的隱私權和安全性注意事項。 目標: 判斷是否: [a.] CUI 指定的規則所需的隱私權和安全性通知會經過識別、保持一致,並且與特定 CUI 類別相關聯;以及 [b.] 隱私權和安全性通知隨即顯示。 |
使用 Microsoft Entra ID,您可以在授與存取權之前,為需要和記錄確認的全部應用程式提供通知或橫幅訊息。 您可以更精確地將這些使用規定原則的目標設定為特定使用者 (成員或來賓)。 您也可以透過條件式存取原則,根據每個應用程式自訂他們。 條件式存取 什麼是 Microsoft Entra ID 中的條件式存取? 使用規定 Microsoft Entra 使用規定 檢視已接受和已拒絕的人員報表 |
| AC.L2-3.1.10 實務聲明:使用具有模式隱藏顯示的工作階段鎖定,以防止在一段時間閒置後存取和檢視資料。 目標: 判斷是否: [a.] 定義系統起始工作階段鎖定前的閒置期間; [b.] 在定義的閒置期間之後起始工作階段鎖定,以防止存取系統和檢視資料;以及 [c.] 先前可見的資訊會透過隱藏模式的顯示,在定義的閒置期間之後隱藏。 |
實作裝置鎖定,方法為使用條件式存取原則,限制存取符合規範的裝置或 Microsoft Entra 混合式連結裝置。 在裝置上設定原則設定,以利用 MDM 解決方案 (例如 Intune),在作業系統層級強制執行裝置鎖定。 也可以在混合式部署中考慮 Microsoft Intune、Configuration Manager 或群組原則物件。 若為非受控裝置,請設定 [登入頻率] 設定,以強制使用者重新驗證。 [裝置需要標記為合規] 在條件式存取原則中授與控制項:需要 Microsoft Entra 混合式聯結裝置 使用者登入頻率 設定裝置最多閒置幾分鐘後鎖定螢幕 (Android、iOS、Windows 10)。 |
| AC.L2-3.1.11 實務聲明:在定義的條件之後 (自動) 終止使用者工作階段。 目標: 判斷是否: [a.] 定義需要使用者工作階段終止的條件;以及 [b.] 任何定義的條件發生之後,使用者工作階段會自動終止。 |
為全部支援的應用程式啟用持續存取評估 (CAE)。 對於不支援 CAE 的應用程式,或適用於 CAE 的條件,請在 Microsoft Defender for Cloud Apps 中實作原則,以便在條件發生時自動終止工作階段。 此外,設定 Microsoft Entra ID Protection 評估使用者和登入風險。 使用條件式存取搭配 Microsoft Entra ID Protection,讓使用者能夠自動補救風險。 Microsoft Entra ID 中的持續性存取評估 建立原則控制雲端應用程式使用量 什麼是 Microsoft Entra ID Protection? |
| AC.L2-3.1.12 實務聲明:監視及控制遠端存取工作階段。 目標: 判斷是否: [a.] 允許遠端存取工作階段; [b.] 識別允許的遠端存取類型; [c.] 控制遠端存取工作階段;以及 [d.] 監視遠端存取工作階段。 |
在現今的世界,使用者幾乎完全從未知或不受信任的網路遠端存取雲端式應用程式。 務必保護這種存取模式,以便採用零信任主體。 為了符合現今雲端世界中的這些控制需求,我們必須明確驗證每個存取要求、實作最低授權並假設缺口。 設定具名位置來劃定內部與外部網路。 設定條件式存取應用程式控制,透過 Microsoft Defender for Cloud Apps 路由存取。 設定適用於雲端的 Defender 控制和監視全部工作階段。 Microsoft Entra ID 的零信任部署指南 Microsoft Entra 條件式存取中的位置條件 為 Microsoft Entra 應用程式部署 Cloud App Security 條件式存取應用程式控制 什麼是 Microsoft Defender for Cloud Apps? 監視 Microsoft Defender for Cloud Apps 所發出警示 |
| AC.L2-3.1.13 實務聲明:採用密碼編譯機制來保護遠端存取工作階段的機密性。 目標: 判斷是否: [a.] 識別密碼編譯機制來保護遠端存取工作階段的機密性;以及 [b.] 實作密碼編譯機制來保護遠端存取工作階段的機密性。 |
全部 Microsoft Entra 客戶適合的 Web 服務都受到傳輸層安全性 (TLS) 通訊協議保護,並使用 FIPS 驗證的密碼編譯來實作。 Microsoft Entra 資料安全性考量 (microsoft.com) |
| AC.L2-3.1.14 實務聲明:透過受控存取控制點路由遠端存取。 目標: 判斷是否: [a.] 識別並實作受控存取控制點;以及 [b.] 遠端存取是透過受控網路存取控制點路由傳送。 |
設定具名位置來劃定內部與外部網路。 設定條件式存取應用程式控制,透過 Microsoft Defender for Cloud Apps 路由存取。 設定適用於雲端的 Defender 控制和監視全部工作階段。 保護具特殊權限的帳戶做為特殊權限存取案例一部分的裝置。 Microsoft Entra 條件式存取中的位置條件 條件式存取原則中的工作階段控制項 特殊權限存取概觀 |
| AC.L2-3.1.15 實務聲明:授權遠端執行權限命令,以及遠端存取安全性相關資訊。 目標: 判斷是否: [a.] 識別獲授權進行遠端執行的特殊權限命令; [b.] 識別獲授權可遠端存取的安全性相關資訊; [c.] 授權透過遠端存取執行已識別的特殊權限命令;以及 [d.] 授權遠端存取已識別的安全性相關資訊。 |
條件式存取是零信任控制平面,以便在結合驗證內容時,以存取應用程式的原則為目標。 您可以在這些應用程式中套用不同的原則。 保護具特殊權限的帳戶做為特殊權限存取案例一部分的裝置。 設定條件式存取原則,以便在執行特殊權限命令時,要求特殊權限使用者使用這些受保護的裝置。 條件式存取原則中的雲端應用程式、動作和驗證內容 特殊權限存取概觀 在條件式存取原則中篩選裝置作為條件 |
| AC.L2-3.1.18 實務聲明:控制行動裝置的連線。 目標: 判斷是否: [a.] 識別處理、儲存或傳輸 CUI 的行動裝置; [b.] 授權行動裝置連線;以及 [c.] 行動裝置連線會受到監視和記錄。 |
透過 MDM (例如 Microsoft Intune)、Configuration Manager 或群組原則物件 (GPO) 設定裝置管理原則來強制執行行動裝置設定和連線設定檔。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 InTune 在 Microsoft Intune 中的裝置合規性原則 Microsoft Intune 中的應用程式管理是什麼? |
| AC.L2-3.1.19 實務聲明:在行動裝置和行動運算平台上加密 CUI。 目標: 判斷是否: [a.] 識別處理、儲存或傳輸 CUI 的行動裝置和行動運算平台;以及 [b.] 加密用來保護已識別的行動裝置和行動運算平台上的 CUI。 |
受控裝置 設定條件式存取原則以強制執行符合規範或 Microsoft Entra 混合式加入裝置,並確保受控裝置已透過裝置管理解決方案適當地設定,以加密 CUI。 非受控裝置 設定條件式存取原則,要求應用程式防護原則。 條件式存取原則中的授與控制項:要求裝置必須標記為符合規範 在條件式存取原則中授與控制項:需要 Microsoft Entra 混合式聯結裝置 條件式存取原則中的授與控制項:需要應用程式防護原則 |
| AC.L2-3.1.21 實務聲明:限制在外部系統上使用可攜式儲存裝置。 目標: 判斷是否: [a.] 識別並記載在外部系統上使用包含 CUI 的可攜式儲存裝置; [b.] 對於在外部系統上包含 CUI 的可攜式儲存裝置定義使用限制;以及 [c.] 對於在外部系統上包含 CUI 的可攜式儲存裝置依照定義限制使用。 |
透過 MDM (例如 Microsoft Intune)、Configuration Manager 或組策略物件 (GPO) 設定裝置管理原則來控制系統上的可攜式儲存裝置使用。 設定 Windows 裝置的原則設定,以完全禁止或限制在作業系統層級使用可攜式存放裝置。 對於您可能無法透過 Microsoft Defender for Cloud Apps 完全控制可攜式儲存區塊下載存取權的其他全部裝置。 設定條件式存取原則,以強制裝置合規性。 條件式存取 [裝置需要標記為合規] 需要已加入 Microsoft Entra 混合式的裝置 設定驗證工作階段管理 Intune 在 Microsoft Intune 中的裝置合規性原則 在 Intune Microsoft 中使用系統管理範本限制 USB 裝置 Microsoft Defender for Cloud Apps 在適用於雲端的 Defender 應用程式中建立工作階段原則 |