Konfigurieren Sie Identitätszugriffskontrollen, um die FedRAMP High-Impact-Stufe zu erfüllen

Die Zugriffssteuerung ist ein wesentlicher Bestandteil, um das Betriebserfordernis des hohen Auswirkungsgrads des Federal Risk and Authorization Management Program (FedRAMP) zu erfüllen.

Die folgende Liste der Steuerelemente und Steuerelementverbesserungen in der Zugriffssteuerungsfamilie (AC) erfordert möglicherweise eine Konfiguration in Ihrem Microsoft Entra Mandanten.

Kontrollfamilie BESCHREIBUNG
AC-2 Kontenverwaltung
AC-6 Mindestberechtigungen
AC-7 Fehlgeschlagene Anmeldeversuche
AC-8 Systemnutzungs-Benachrichtigung
AC-10 Steuerung simultaner Sessions
AC-11 Session-Sperre
AC-12 Beenden der Session
AC-20 Verwendung externer Informationssysteme

Jede Zeile in der folgenden Tabelle bietet eine detaillierte Anleitung, um die Antwort Ihrer Organisation auf gemeinsame Verantwortlichkeiten hinsichtlich Kontrolle oder Kontrollverbesserung zu entwickeln.

Konfigurationen

FedRAMP-Steuerungs-ID und Beschreibung Microsoft Entra Anleitungen und Empfehlungen
AC-2 KONTOVERWALTUNG

Die Organisation
(a.) identifiziert und benennt die folgenden Arten von Informationssystemkonten zur Unterstützung von Organisationsmissionen/Geschäftsfunktionen und wählt sie aus: [Zuweisung: von der Organisation definierte Informationssystemkonten];

(b.) Ordnet Kontoverwalter für Informationssystemkonten zu;

(c.) legt Bedingungen für die Gruppen- und Rollenmitgliedschaft fest;

(d.) spezifiziert autorisierte Informationssystembenutzer, Gruppen- und Rollenmitgliedschaften und Zugriffsautorisierungen (z. B. Berechtigungen) und ggf. weitere Attribute für jedes Konto;

(e.) verlangt Genehmigungen durch [Zuweisung: von der Organisation definierte Mitarbeiter oder Rollen] für die Beantragung der Erstellung von Informationssystemkonten;

(f.) erstellt, aktiviert, ändert, deaktiviert und entfernt Informationssystemkonten entsprechend den [Zuweisung: von der Organisation definierten Verfahren oder Bedingungen];

(g.) überwacht die Verwendung von Informationssystemkonten;

(h.) benachrichtigt Kundenbetreuer:
(1.) wenn Konten nicht mehr benötigt werden;
(2.) wenn Nutzer ausgeschlossen oder übertragen werden; und
(3.) wenn sich die Nutzung einzelner Informationssysteme oder der Bedarf an Informationen ändert;

(i.) autorisiert den Zugriff auf das Informationssystem basierend auf:
(1.) einer gültigen Zugangsberechtigung;
(2.) beabsichtigte Systemnutzung; und
(3.) anderen Attribute, die von der Organisation oder den zugehörigen Missionen/Geschäftsfunktionen verlangt werden;

(j.) überprüft Konten auf Konformität mit den Kontoverwaltungsanforderungen [FedRAMP-Zuweisung: monatlich für privilegierten Zugriff, alle sechs (6) Monate für nicht privilegierten Zugriff]; und

(k.) Ein Prozess wird etabliert, durch den neue Zugangsdaten für freigegebene oder Gruppenkonten (sofern vorhanden) ausgestellt werden, wenn Personen aus der Gruppe entfernt werden.

 Implementierung des Account Lifecycle Management für kundenkontrollierte Accounts. Überwachen Sie die Nutzung von Konten und benachrichtigen Sie Kundenbetreuer über Ereignisse im Kontolebenszyklus. Überprüfung der Konten auf Einhaltung der Anforderungen an die Kontenverwaltung jeden Monat für privilegierten Zugang und alle sechs Monate für nicht privilegierten Zugang.

Verwenden Sie Microsoft Entra ID, um Konten aus externen HR-Systemen, on-premises Active Directory oder direkt in der Cloud bereitzustellen. Alle Kontolebenszyklusvorgänge werden in den Microsoft Entra Überwachungsprotokollen überwacht. Sie können Protokolle mithilfe einer SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel sammeln und analysieren. Alternativ können Sie Azure Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren, um die Überwachung und Benachrichtigung zu ermöglichen. Verwenden Sie Microsoft Entra Berechtigungsverwaltung mit Zugriffsüberprüfungen, um den Compliancestatus von Konten sicherzustellen.

Bereitstellen von Konten

  • Planung der Cloud-HR-Anwendung zur Microsoft Entra-Benutzerbereitstellung
  • Microsoft Entra Connect Sync: Verstehen und Anpassen der Synchronisierung
  • Benutzer mithilfe von Microsoft Entra ID

    Konten überwachen

  • Audit-Aktivitätsberichte im Microsoft Entra Admin Center
  • Verbinden Microsoft Entra Daten mit Microsoft Sentinel
  • Tutorial: Logs zu einem Azure Event Hub streamen

    Konten überprüfen

  • Was ist das Microsoft Entra-Berechtigungsmanagement?
  • Eine Zugriffsüberprüfung für ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung erstellen
  • Überprüfung des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung

    Ressourcen

  • Administrator-Rollenberechtigungen in Microsoft Entra ID
  • Dynamische Gruppen in Microsoft Entra ID

                         

    		•
    AC-2(1)
    Die Organisation setzt automatisierte Mechanismen zur Unterstützung der Verwaltung von Informationssystemkonten ein.    		 Verwenden Sie automatisierte Mechanismen, um die Verwaltung von kundengesteuerten Konten zu unterstützen.

    Konfigurieren Sie die automatisierte Bereitstellung von kundengesteuerten Konten aus externen HR-Systemen oder on-premises Active Directory. Konfigurieren Sie für Anwendungen, die die Anwendungsbereitstellung unterstützen, Microsoft Entra ID so, dass benutzerbasierte Identitäten und Rollen in Cloudsoftware als SaaS-Anwendungen automatisch erstellt werden, auf die Benutzer zugreifen müssen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Um die Überwachung der Kontonutzung zu vereinfachen, können Sie Microsoft Entra ID Protection-Protokolle, die riskante Benutzer, riskante Anmeldungen und Risikoerkennungen anzeigen, sowie Überwachungsprotokolle direkt in Microsoft Sentinel oder Event Hubs streamen.

    bereitstellen

  • Planung der Cloud-HR-Anwendung zur Microsoft Entra-Benutzerbereitstellung
  • Microsoft Entra Connect Sync: Verstehen und Anpassen der Synchronisierung
  • Was ist die automatisierte SaaS-App-Benutzerbereitstellung in Microsoft Entra ID?
  • SaaS-App-Integrationslernprogramme zur Verwendung mit Microsoft Entra ID

    Überwachen und Prüfen

  • Untersuchen eines Risikos
  • Audit-Aktivitätsberichte im Microsoft Entra Admin Center
  • Was ist Microsoft Sentinel?
  • Microsoft Sentinel: Verbinden von Daten aus Microsoft Entra ID
  • Tutorial: Streamen von Microsoft Entra-Protokollen in einen Azure Event Hub
    		•
    AC-2(2)
    Das Informationssystem [FedRAMP-Auswahl: deaktiviert] temporäre Konten und Notfallkonten automatisch nach [FedRAMP-Zuweisung: 24 Stunden nach der letzten Verwendung].

    AC-02(3)
    Das Informationssystem deaktiviert inaktive Konten automatisch nach [FedRAMP-Zuweisung: fünfunddreißig (35) Tagen für Benutzerkonten].

    AC-2 (3) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anforderung: Der Dienstanbieter definiert den Zeitraum für Nichtbenutzerkonten (z. B. Konten, die Geräten zugeordnet sind). Die Fristen werden vom JAB/AO genehmigt und akzeptiert. Wenn die Benutzerverwaltung eine Funktion des Dienstes ist, werden Berichte über die Tätigkeit der Consumerbenutzer zur Verfügung gestellt.

    		 Verwenden Sie automatisierte Mechanismen, um das automatische Entfernen oder Deaktivieren von temporären Konten und Notfallkonten nach 24 Stunden ab der letzten Verwendung und aller kundengesteuerten Konten nach 35 Tagen Inaktivität zu unterstützen.

    Implementieren Sie die Kontoverwaltungsautomatisierung mit Microsoft Graph und Microsoft Graph PowerShell. Verwenden Sie Microsoft Graph zum Überwachen von Anmeldeaktivitäten und Microsoft Graph PowerShell, um Maßnahmen für Konten im erforderlichen Zeitrahmen zu ergreifen.

    Bestimmen von Inaktivität

  • Manage inaktive Benutzerkonten in Microsoft Entra ID
  • Manage veraltete Geräte in Microsoft Entra ID

    Entfernen oder Deaktivieren von Konten

  • Arbeiten mit Benutzern in Microsoft Graph
  • Einen Benutzer abrufen
  • Benutzer aktualisieren
  • Löschen eines Benutzers

    Arbeiten mit Geräten in Microsoft Graph

  • Gerät abrufen
  • Gerät aktualisieren
  • Gerät löschen

    Siehe Microsoft Graph PowerShell-Dokumentation

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
    		•
    AC-2(4)
    Das Informationssystem überwacht automatisch alle Aktionen zur Erstellung, Änderung, Aktivierung, Deaktivierung und Entfernung von Konten und benachrichtigt [FedRAMP-Zuweisung: den Systembesitzer der Organisation und/oder des Dienstanbieters].    		 Implementieren Sie ein automatisiertes Überwachungs- und Benachrichtigungssystem für den Verwaltungslebenszyklus kundengesteuerter Konten.

    Alle Kontolebenszyklusvorgänge, z. B. Kontoerstellung, Änderung, Aktivieren, Deaktivieren und Entfernen, werden in den Azure Überwachungsprotokollen überwacht. Sie können die Protokolle direkt in Microsoft Sentinel oder Event Hubs streamen, um hilfe bei der Benachrichtigung zu erhalten.

    Überwachung

  • Audit-Aktivitätsberichte im Microsoft Entra Admin Center
  • Microsoft Sentinel: Verbinden von Daten aus Microsoft Entra ID

    Benachrichtigung

  • Was ist Microsoft Sentinel?
  • Tutorial: Streamen von Microsoft Entra-Protokollen in einen Azure Event Hub
    		•
    AC-2(5)
    Die Organisation erfordert, dass sich Benutzer abmelden, wenn [FedRAMP-Zuweisung: die Inaktivität voraussichtlich fünfzehn (15) Minuten überschreitet].

    AC-2 (5) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anleitung: Sollte einen kürzeren Zeitrahmen als AC-12 verwenden

    		 Implementieren Sie eine Geräteabmeldung nach einem 15-minütigen Zeitraum der Inaktivität.

    Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, die den Zugriff auf kompatible Geräte beschränkt. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen (Mobile Device Management, mobile Geräteverwaltung) wie z. B. Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    MDM-Richtlinie

  • Konfigurieren Sie Geräte für maximale Inaktivitätsminuten, bis der Bildschirm gesperrt wird, und erfordert ein Kennwort zum Entsperren (Android, iOS, Windows 10).
    		•
    AC-2(7)

    Die Organisation:
    (a.) erstellt und verwaltet privilegierte Benutzerkonten gemäß einem Zugriffsschema auf Rollenbasis, mit dem der Zugriff auf und die Rechte im Informationssystem mithilfe von Rollen organisiert werden;
    (b.) überwacht die Zuweisung privilegierter Rollen; und
    (c) Führt [FedRAMP-Zuweisung: deaktiviert/widerruft den Zugriff innerhalb eines organisationsspezifischen Zeitrahmens] durch, wenn privilegierte Rollenzuweisungen nicht mehr geeignet sind.

    		 Verwalten und überwachen Sie privilegierte Rollenzuweisungen, indem Sie ein rollenbasiertes Zugriffsschema für kundenkontrollierte Konten anwenden. Deaktivierung oder Entzug von Zugriffsrechten für Konten, wenn diese nicht mehr angemessen sind.

    Implementieren Sie Microsoft Entra Privileged Identity Management mit Zugriffsüberprüfungen für privilegierte Rollen in Microsoft Entra ID, um Rollenzuweisungen zu überwachen und Rollenzuweisungen zu entfernen, wenn sie nicht mehr geeignet sind. Sie können Überwachungsprotokolle direkt in Microsoft Sentinel oder Event Hubs streamen, um die Überwachung zu unterstützen.

    Verwalten

  • Was ist Microsoft Entra Privileged Identity Management?
  • Maximale Aktivierungsdauer

    Bildschirm

  • Erstellen Sie eine Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management
  • Anzeigen des Auditverlaufs für Microsoft Entra-Rollen im Privileged Identity Management
  • Audit-Aktivitätsberichte im Microsoft Entra Admin Center
  • Was ist Microsoft Sentinel?
  • Daten von Microsoft Entra ID verbinden
  • Tutorial: Streamen von Microsoft Entra-Protokollen in einen Azure Event Hub
    		•
    AC-2(11)
    Das Informationssystem erzwingt [Zuweisung: von der Organisation definierte Umstände und/oder Nutzungsbedingungen] für [Zuweisung: von der Organisation definierte Konten des Informationssystems].    		 Erzwingen Sie die Nutzung von kundengesteuerten Konten, um vom Kunden definierte Bedingungen oder Umstände zu erfüllen.

    Erstellen Sie Richtlinien für den bedingten Zugriff, um Zugriffssteuerungsentscheidungen über Benutzer und Geräte hinweg durchzusetzen.

    Bedingter Zugriff

  • Erstellen Sie eine Richtlinie für bedingten Zugriff
  • Was ist bedingter Zugriff?
    		•
    AC-2(12)

    Die Organisation:
    (a) Überwacht Aktivität auf Benutzerkonten von Informationssystemen bezüglich [Zuweisung: von der Organisation definierte ungewöhnliche Nutzung]; und
    (b) Meldet die atypische Nutzung von Benutzerkonten des Informationssystems an [FedRAMP-Zuweisung: mindestens an die ISSO und/oder eine ähnliche Rolle innerhalb der Organisation].

    AC-2 (12) (a) und AC-2 (12) (b) Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Für privilegierte Konten erforderlich.

    		 Überwachen Sie kundengesteuerte Konten mit privilegiertem Zugriff auf untypische Nutzung, und melden Sie diese.

    Um Hilfe bei der Überwachung atypischer Nutzung zu erhalten, können Sie Microsoft Entra ID Protection Protokolle streamen, die riskante Benutzer, riskante Anmeldungen und Risikoerkennungen anzeigen, sowie Überwachungsprotokolle, die mit Korrelation mit der Berechtigungszuweisung helfen, direkt in eine SIEM-Lösung wie Microsoft Sentinel. Sie können auch Event Hubs verwenden, um Protokolle in SIEM-Lösungen von Drittanbietern zu integrieren.

    ID-Schutz

  • Was ist Microsoft Entra ID Protection?
  • Untersuchen eines Risikos
  • Microsoft Entra ID Protection benachrichtigungen

    Konten überwachen

  • Was ist Microsoft Sentinel?
  • Audit-Aktivitätsberichte im Microsoft Entra Admin Center
  • Verbinden Microsoft Entra Daten mit Microsoft Sentinel
  • Tutorial: Logs zu einem Azure Event Hub streamen
    		•
    AC-2(13)
    Die Organisation deaktiviert Konten von Benutzern, von denen ein erhebliches Risiko ausgeht, innerhalb [FedRAMP-Zuweisung: einer (1) Stunde] nach Risikoerkennung.    		 Deaktivieren Sie kundengesteuerte Konten von Benutzern, die ein erhebliches Risiko darstellen, innerhalb von einer Stunde.

    Konfigurieren und aktivieren Sie in Microsoft Entra ID Protection eine Benutzerrisikorichtlinie, wobei der Schwellenwert auf "Hoch" festgelegt ist. Erstellen Sie Richtlinien für den bedingten Zugriff, um den Zugriff für riskante Benutzer und riskante Anmeldungen zu sperren. Konfigurieren Sie Risikorichtlinien, um Benutzern die Möglichkeit zu geben, sich selbst zu korrigieren und nachfolgende Anmeldeversuche zu entsperren.

    ID-Schutz

  • Was ist Microsoft Entra ID Protection?

    Bedingter Zugriff

  • Was ist bedingter Zugriff?
  • Erstellen Sie eine Richtlinie für bedingten Zugriff
  • Bedingter Zugriff: Auf dem Benutzerrisiko basierender bedingter Zugriff
  • Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden
  • Selbstkorrektur mit Risikopolitik
    		•
    AC-6(7)

    Die Organisation:
    (a.) überprüft [FedRAMP-Zuweisung: mindestens jährlich] die Berechtigungen, die [FedRAMP-Zuweisung: allen Benutzern mit Berechtigungen] zugewiesen sind, um die Notwendigkeit solcher Berechtigungen zu überprüfen; und
    (b.) weist Berechtigungen entsprechend den Organisationszielen bzw. geschäftlichen Anforderungen im notwendigen Maße neu zu oder entfernt sie.

    		 Überprüfen und validieren Sie jedes Jahr alle Benutzer mit privilegiertem Zugang. Stellen Sie sicher, dass Privilegien neu zugewiesen (oder ggf. entfernt) werden, um sie mit dem Unternehmensauftrag und den Geschäftsanforderungen in Einklang zu bringen.

    Verwenden Sie Microsoft Entra Berechtigungsverwaltung mit Zugriffsüberprüfungen für privilegierte Benutzer, um zu überprüfen, ob privilegierter Zugriff erforderlich ist.

    Zugriffsüberprüfungen

  • Was ist das Microsoft Entra-Berechtigungsmanagement?
  • Erstellen Sie eine Zugriffsüberprüfung für Microsoft Entra-Rollen in Privileged Identity Management
  • Überprüfung des Zugriffs auf ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung
    		•
    AC-7 Fehlgeschlagene Anmeldeversuche

    Die Organisation:
    (a.) erzwingt ein Limit von [FedRAMP-Zuweisung: nicht mehr als drei (3)] aufeinanderfolgenden ungültigen Anmeldeversuchen eines Benutzers innerhalb von [FedRAMP-Zuweisung: fünfzehn (15) Minuten]; und
    (b.) [Auswahl: sperrt das Konto/den Knoten automatisch für [FedRAMP-Zuweisung: mindestens drei (3) Stunden oder bis zum Entsperren durch einen Administrator]; verzögert die nächste Anmeldeaufforderung gemäß [Zuweisung: dem von der Organisation definierten Verzögerungsalgorithmus]], wenn die maximale Anzahl nicht erfolgreicher Versuche überschritten wird.

    		 Begrenzung auf maximal drei aufeinanderfolgende fehlgeschlagene Anmeldeversuche bei vom Kunden bereitgestellten Ressourcen innerhalb von 15 Minuten. Sperren Sie das Konto für mindestens drei Stunden oder bis zur Entsperrung durch einen Administrator.

    Aktivieren Sie benutzerdefinierte Smart Lockout-Einstellungen. Konfigurieren Sie den Sperrschwellenwert und die Sperrdauer in Sekunden, um diese Anforderungen umzusetzen.

    Intelligente Sperrung

  • Schützen Sie Benutzerkonten vor Angriffen mit dem intelligenten Sperrmechanismus von Microsoft Entra
  • Verwalten Sie die Microsoft Entra-Sperrwertwerte
    		•
    AC-8 Systemnutzungsbenachrichtigung

    Das Informationssystem:
    (a.) zeigt Benutzern [Zuweisung: eine von der Organisation definierte Nachricht oder ein Banner zur Systemnutzung (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)] an, bevor der Zugriff auf das System gewährt wird, das Datenschutz- und Sicherheitshinweise im Einklang mit den geltenden Bundesgesetzen, Durchführungsverordnungen, Direktiven, Richtlinien, Vorschriften, Standards und Anleitungen enthält und Folgendes besagt:
    (1.) Benutzer greifen auf ein Informationssystem der US-Regierung zu;
    (2.) Die Nutzung des Informationssystems kann überwacht, aufgezeichnet und überprüft werden;
    (3.) Die unbefugte Nutzung des Informationssystems ist verboten und unterliegt strafrechtlichen und zivilrechtlichen Sanktionen;
    (4.) Die Nutzung des Informationssystems bedeutet die Zustimmung zur Überwachung und Aufzeichnung;

    (b.) belässt die Benachrichtigungsmeldung oder das Banner auf dem Bildschirm, bis der Benutzer die Nutzungsbedingungen bestätigt und eindeutige Handlungen durchführt, um sich anzumelden und nachfolgend auf das Informationssystem zuzugreifen; und

    (c.) für öffentlich zugängliche Systeme:
    (1.) zeigt Informationen zur Systemnutzung und [Zuweisung: von der Organisation definierte Bedingungen (FedRAMP-Zuweisung: siehe zusätzliche Anforderungen und Anleitungen)], bevor es weiteren Zugriff gewährt;
    (2.) zeigt gegebenenfalls Verweise auf Überwachung, Aufzeichnung oder Überprüfung an, die im Einklang mit Datenschutzvorkehrungen für solche Systeme stehen, die diese Tätigkeiten im Allgemeinen verbieten; und
    (3.) enthält eine Beschreibung der autorisierten Nutzungsarten des Systems.

    AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anforderung: Der Dienstanbieter bestimmt Elemente der Cloudumgebung, die die Steuerung für die Systemnutzungsbenachrichtigung erfordern. Die Elemente der Cloudumgebung, die eine Benachrichtigung über die Systemnutzung erfordern, werden vom JAB/AO genehmigt und akzeptiert.
    Anforderung: Der Dienstanbieter legt fest, wie die Systemnutzungsbenachrichtigung überprüft wird, und stellt eine angemessene Periodizität der Überprüfung bereit. Die Überprüfung und Periodizität der Systemnutzungsbenachrichtigungen werden vom JAB/AO genehmigt und akzeptiert.
    Anleitung: Wenn dies im Rahmen einer Überprüfung der Konfigurationsbaseline geschieht, kann der Prozentsatz der überprüften Elemente angegeben werden, die eine Einstellung erfordern und die Prüfung bestehen (oder nicht bestehen).
    Anforderung: Wenn nicht im Rahmen einer Überprüfung der Konfigurationsbasislinie ausgeführt, muss eine dokumentierte Vereinbarung darüber vorliegen, wie die Ergebnisse der Überprüfung und die erforderliche Periodizität der Überprüfung durch den Dienstanbieter bereitgestellt werden. Die dokumentierte Vereinbarung über die Überprüfung der Ergebnisse wird von der JAB/AO genehmigt und akzeptiert.

    		 Zeigen Sie Datenschutz- und Sicherheitshinweise an, und fordern Sie deren Bestätigung durch den Benutzer, bevor Sie den Zugriff auf Informationssysteme gewähren.

    Mit Microsoft Entra ID können Sie Benachrichtigungen oder Bannernachrichten für alle Apps übermitteln, die eine Bestätigung erfordern und aufzeichnen, bevor Sie Zugriff gewähren. Sie können diese Nutzungsbedingungen genau auf bestimmte Benutzer (Mitglied oder Gast) ausrichten. Sie können sie auch über Richtlinien für bedingten Zugriff für jede Anwendung anpassen.

    Nutzungsbedingungen

  • Microsoft Entra Nutzungsbedingungen
  • Bericht anzeigen über akzeptierte und abgelehnte Anfragen
    		•
    AC-10 Steuerung simultaner Sitzungen
    Das Informationssystem beschränkt die Anzahl gleichzeitiger Sitzungen für jeden [Zuweisung: durch die Organisation definierte Konten und/oder Kontotypen] auf [FedRAMP-Zuweisung: drei (3) Sitzungen für privilegierten Zugriff und zwei (2) Sitzungen für nicht privilegierten Zugriff].    		 Beschränken Sie gleichzeitige Sitzungen auf drei Sitzungen für privilegierten Zugriff und zwei für nicht privilegierten Zugriff.

    Aktuell stellen Benutzer Verbindungen von mehreren Geräten her, manchmal auch gleichzeitig. Das Beschränken gleichzeitiger Sitzungen führt zu beeinträchtigter Funktionalität für Benutzer und bietet nur einen geringen Nutzen im Hinblick auf die Sicherheit. Ein besserer Ansatz, um die Absicht hinter dieser Kontrolle zu adressieren, ist die Einführung eines Zero-Trust-Sicherheitsansatzes. Bedingungen werden vor dem Erstellen einer Sitzung explizit überprüft, und diese Überprüfung wird während der gesamten Lebensdauer einer Sitzung kontinuierlich fortgesetzt.

    Verwenden Sie zusätzlich die folgenden ausgleichenden Steuerungsmöglichkeiten.

    Verwenden Sie Richtlinien für bedingten Zugriff, um den Zugriff auf kompatible Geräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um mit MDM-Lösungen wie Intune Einschränkungen für die Benutzeranmeldung auf Betriebssystemebene zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden.

    Verwenden Sie Privileged Identity Management, um privilegierte Konten weiter einzuschränken und zu steuern.

    Konfigurieren Sie eine intelligente Kontosperrung für ungültige Anmeldeversuche.

    Implementierungsleitfaden

    Zero-Trust-Sicherheitsmodell

  • Absicherung der Identität mit Zero Trust
  • Kontinuierliche Zugangsbewertung in Microsoft Entra ID

    Bedingter Zugriff

  • Was ist Conditional Access in Microsoft Entra ID?
  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    Geräterichtlinien

  • Weitere Smartcard-Gruppenrichtlinieneinstellungen und Registrierungsschlüssel
  • übersicht über Microsoft Intune

    Ressourcen

  • Was ist Microsoft Entra Privileged Identity Management?
  • Schützen Sie Benutzerkonten vor Angriffen mit dem intelligenten Sperrmechanismus von Microsoft Entra

    Weitere Anleitungen zur erneuten Auswertung von Sitzungen und Risikominderung finden Sie unter AC-12.

    		•
    AC-11 Sitzungssperre
    Das Informationssystem:
    (a) verhindert weiteren Zugriff auf das System, indem eine Sitzungssperre nach [FedRAMP-Zuweisung: fünfzehn (15) Minuten] Inaktivität oder nach Erhalt einer Anforderung eines Benutzers initiiert wird; und
    (b) erhält die Sitzungssperre aufrecht, bis der Benutzer den Zugriff mithilfe festgelegter Identifizierungs- und Authentifizierungsverfahren erneut herstellt.

    AC-11(1)
    Das Informationssystem verbirgt über die Sitzungssperre Informationen, die zuvor auf dem Anzeigegerät sichtbar waren, mit einem allgemein sichtbaren Bild.

    		 Implementieren Sie eine Sitzungssperre nach einer 15-minütigen Inaktivität oder nach Erhalt einer Anfrage von einem Benutzer. Behalten Sie die Sitzungssperre bei, bis sich der Benutzer erneut authentifiziert. Verbirgt zuvor sichtbare Informationen, wenn eine Sitzungssperre eingeleitet wird.

    Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, um den Zugriff auf kompatible Geräte zu beschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen wie Intune zu erzwingen. In Hybridbereitstellungen können auch Endpoint Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Anmeldehäufigkeit von Benutzern

    MDM-Richtlinie

  • Konfigurieren Sie Geräte für maximale Inaktivitätsminuten, bis der Bildschirm gesperrt wird (Android, iOS, Windows 10).
    		•
    AC-12 Sitzungsende
    Das Informationssystem beendet eine Benutzersitzung automatisch nach [Zuweisung: von der Organisation definierten Bedingungen oder Auslöseereignissen, die eine Trennung der Sitzung erfordern].    		 Beenden Sie Benutzersitzungen automatisch, wenn von der Organisation definierte Bedingungen oder Triggerereignisse auftreten.

    Implementieren Sie die automatische Neubewertung der Benutzersitzung mit Microsoft Entra Features wie risikobasiertem bedingtem Zugriff und kontinuierlicher Zugriffsauswertung. Sie können Inaktivitätsbedingungen auf Geräteebene implementieren, wie es unter AC-11 beschrieben ist.

    Ressourcen

  • Risikobasierter bedingter Zugriff beim Anmelden
  • Benutzerrisiko-basierter bedingter Zugriff
  • Fortlaufende Zugriffsevaluierung
    		•
    AC-12(1)
    Das Informationssystem:
    (a.) stellt eine Abmeldefunktion für benutzerseitig initiierte Kommunikationssitzungen bereit, wenn eine Authentifizierung verwendet wird, um Zugriff auf [Zuweisung: von der Organisation definierte Datenressourcen] zu erhalten; und
    (b.) zeigt Benutzern eine ausdrückliche Abmeldenachricht an, die die zuverlässige Beendigung authentifizierter Kommunikationssitzungen signalisiert.

    AC-8 Zusätzliche FedRAMP-Anforderungen und Anleitungen:
    Anleitung: Testen der Abmeldefunktionalität (OTG-SESS-006) Testen der Abmeldefunktionalität

    		 Stellen Sie eine Abmeldefunktion für alle Sitzungen bereit, und zeigen Sie eine ausdrückliche Abmeldenachricht an.

    Alle in Microsoft Entra ID angezeigten Webschnittstellen bieten eine Logout-Funktion für vom Benutzer initiierte Kommunikationssitzungen. Wenn SAML-Anwendungen in Microsoft Entra ID integriert sind, implementieren Sie einmaliges Abmelden.

    Abmeldefunktion

  • Wenn der Benutzer Überall abmelden auswählt, werden alle aktuell ausgestellten Token widerrufen.

    Meldung anzeigen
    Microsoft Entra ID zeigt automatisch eine Meldung nach der vom Benutzer initiierten Abmeldung an.

    Screenshot einer Zugriffssteuerungsmeldung

    Ressourcen

  • Anzeigen und Suchen Ihrer letzten Anmeldeaktivität auf der Seite „Meine Anmeldungen“
  • SAML-Protokoll für einmaliges Abmelden
    		•
    AC-20 Verwendung externer Informationssysteme
    Die Organisation legt Geschäftsbedingungen fest, die konsistent zu mit anderen Organisationen, die externe Informationssysteme besitzen, betreiben und/oder pflegen, hergestellten Vertrauensbeziehungen sind, und ermöglicht autorisierten Personen:
    (a.) Zugriff auf das Informationssystem über externe Informationssysteme; und
    (b.) das Verarbeiten, Speichern oder Übertragen von organisationsgesteuerten Informationen mithilfe externer Informationssysteme.

    AC-20(1)
    Die Organisation erlaubt autorisierten Personen nur dann, ein externes Informationssystem zu nutzen, um auf das Informationssystem zuzugreifen oder um von der Organisation kontrollierte Informationen zu verarbeiten, zu speichern oder zu übertragen, wenn die Organisation:
    (a.) die Implementierung der erforderlichen Sicherheitskontrollen auf dem externen System, wie in der Informationssicherheitsrichtlinie und dem Sicherheitsplan der Organisation angegeben, überprüft; oder
    (b.) Beibehaltung von genehmigten Informationssystem-Verbindungs- oder -Verarbeitungsvereinbarungen mit der Organisationseinheit, die das externe Informationssystem hostet.

    		 Legen Sie Bedingungen fest, die autorisierten Personen den Zugriff auf die vom Kunden bereitgestellten Ressourcen über externe Informationssysteme wie nicht verwaltete Geräte und externe Netzwerke ermöglichen.

    Fordern Sie die Annahme von Nutzungsbedingungen für autorisierte Benutzer, die von externen Systemen auf Ressourcen zugreifen. Implementieren Sie Richtlinien für den bedingten Zugriff, um den Zugriff von externen Systemen einzuschränken. Richtlinien für bedingten Zugriff können in Defender for Cloud-Apps integriert werden, um Steuerungsmöglichkeiten für cloudbasierte und lokale Anwendungen aus externen Systemen bereitzustellen. Die Verwaltung mobiler Anwendungen in Intune kann Daten der Organisation auf Anwendungsebene, einschließlich benutzerdefinierter Apps und Store-Apps, auf verwalteten Geräten schützen, die mit externen Systemen interagieren. Ein Beispiel wäre der Zugriff auf Clouddienste. Sie können die App-Verwaltung auf Geräten im Besitz der Organisation und persönlichen Geräten verwenden.

    Geschäftsbedingungen

  • Terms der Verwendung: Microsoft Entra ID

    Bedingter Zugriff

  • Markieren des Geräts als kompatibel erforderlich
  • Bedingungen der Richtlinie für bedingten Zugriff: Gerätestatus (Vorschau)
  • Schützen mit Microsoft Defender für Cloud Apps und Bedingter Zugriff App-Kontrolle
  • Standortbedingung im Microsoft Entra Conditional Access

    MDM

  • Was ist Microsoft Intune?
  • Was ist Defender for Cloud Apps?
  • Was ist die App-Verwaltung von Microsoft Intune?

    Ressource

  • Lokale Apps in Defender für Cloud-Apps integrieren
    		•

    Nächste Schritte

    • Last updated on