Configurare i controlli di accesso all'identità per soddisfare il livello di High Impact di FedRAMP

Il controllo di accesso è una parte fondamentale per raggiungere un livello di impatto elevato FedRAMP (Federal Risk and Authorization Management Program) per operare.

L'elenco seguente di controlli e miglioramenti del controllo nella famiglia di controllo di accesso (AC) potrebbe richiedere la configurazione nel tenant Microsoft Entra.

Famiglia del controllo	Descrizione
AC-2	La gestione degli account
AC-6	Privilegi minimi
AC-7	Tentativi di accesso non riusciti
AC-8	Notifica sull'uso del sistema
AC-10	Controllo delle sessioni simultanee
AC-11	Blocco della sessione
AC-12	Terminazione della sessione
AC-20	Uso di sistemi informatici esterni

Ogni riga della tabella seguente fornisce indicazioni prescrittive che consentono di sviluppare la risposta dell'organizzazione a eventuali responsabilità condivise per il controllo o il miglioramento del controllo.

Configurazioni

ID e descrizione del controllo FedRAMP	Microsoft Entra indicazioni e consigli
GESTIONE DEGLI ACCOUNT AC-2 L'organizzazione (a.) Identifica e seleziona i tipi di account del sistema informativo seguenti per supportare le missioni organizzative e le funzioni aziendali: [assegnazione: tipi di account del sistema informativo definiti dall'organizzazione]; (b.) Assegna i gestori degli account per gli account del sistema informativo; (c.) Stabilisce le condizioni per l'appartenenza a gruppi e ruoli; (d.) Specifica gli utenti autorizzati del sistema informativo, l'appartenenza a gruppi e ruoli e le autorizzazioni di accesso (ad esempio, privilegi) e altri attributi (in base alle esigenze) per ogni account; (e.) Richiede approvazioni per [assegnazione: personale o ruoli definiti dall'organizzazione] per le richieste di creazione di account del sistema informativo; (f.) Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in base a [assegnazione: procedure o condizioni definite dall'organizzazione]; (g.) Monitora l'uso degli account del sistema informativo; (h.) Notifica ai responsabili degli account: (1.) Quando gli account non sono più necessari; (2.) Quando gli utenti vengono terminati o trasferiti; e (3.) Quando l'utilizzo o ciò che occorre sapere sui singoli sistemi informatici cambia; (i.) Autorizza l'accesso al sistema informativo in base a: (1.) Autorizzazione di accesso valida; (2.) Utilizzo previsto del sistema; e (3.) Altri attributi richiesti dall'organizzazione o dalle funzioni aziendali/missioni associate; (j.) Verifica la conformità ai requisiti di gestione degli account [Assegnazione FedRAMP: mensile per l'accesso con privilegi, ogni sei (6) mesi per l'accesso senza privilegi]; E (k.) Stabilisce un processo per la riemissione delle credenziali dell'account condiviso/gruppo (se distribuito) quando i singoli utenti vengono rimossi dal gruppo.	Implementare la gestione del ciclo di vita degli account per gli account controllati dal cliente. Monitorare l'uso degli account e notificare ai responsabili degli account gli eventi del ciclo di vita degli account. Esaminare gli account per la conformità ai requisiti di gestione degli account ogni mese per l'accesso privilegiato e ogni sei mesi per l'accesso non privilegiato. Usare Microsoft Entra ID per effettuare il provisioning di account da sistemi HR esterni, on-premises Active Directory o direttamente nel cloud. Tutte le operazioni del ciclo di vita dell'account vengono controllate all'interno dei log di controllo Microsoft Entra. È possibile raccogliere e analizzare i log usando una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel. In alternativa, è possibile usare Azure Event Hubs per integrare i log con soluzioni SIEM di terze parti per abilitare il monitoraggio e la notifica. Usare la gestione delle entitlements di Microsoft Entra con le verifiche degli accessi per garantire lo stato di conformità degli account. Configurazione degli account Pianificare l'applicazione cloud HR per il provisioning degli utenti in Microsoft Entra Microsoft Entra Connect Sync: Informazioni e personalizzazione della sincronizzazione Aggiungi o elimina utenti usando Microsoft Entra ID Monitoraggio degli account report delle attività di Audit nel centro di amministrazione di Microsoft Entra Connettere i dati di Microsoft Entra a Microsoft Sentinel Tutorial: trasmettere i log a un hub eventi Azure Revisione degli account Che cos'è la gestione delle autorizzazioni di Microsoft Entra? Creare una revisione di accesso di un pacchetto di accesso in Microsoft Entra gestione dei diritti Visualizzare l'accesso a un pacchetto di accesso nella gestione degli enti di Microsoft Entra Risorse Autorizzazioni del ruolo di amministratore in Microsoft Entra ID Gruppi dinamici in Microsoft Entra ID
AC-2(1) L'organizzazione impiega meccanismi automatici per supportare la gestione degli account del sistema informatico.	Usare meccanismi automatizzati per supportare la gestione degli account controllati dai clienti. Configurare il provisioning automatizzato degli account controllati dai clienti dai sistemi HR esterni o da Active Directory in sede. Per le applicazioni che supportano il provisioning delle applicazioni, configurare Microsoft Entra ID per creare automaticamente identità utente e ruoli nelle applicazioni software cloud come soluzione (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per semplificare il monitoraggio dell'utilizzo degli account, è possibile trasmettere Microsoft Entra ID Protection log, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo direttamente in Microsoft Sentinel o Hub eventi. Provisionamento Pianificare l'applicazione cloud HR per il provisioning degli utenti in Microsoft Entra Microsoft Entra Connect Sync: Informazioni e personalizzazione della sincronizzazione Che cos'è il provisioning automatizzato degli utenti delle app SaaS in Microsoft Entra ID? Guida all'integrazione delle app SaaS da usare con Microsoft Entra ID. Monitoraggio e controllo Analizzare i rischi report delle attività di Audit nel centro di amministrazione di Microsoft Entra Che cos'è Microsoft Sentinel? Microsoft Sentinel: Collegare dati da Microsoft Entra ID Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure
AC-2(2) Il sistema informativo [FedRAMP Selection: disabilita] gli account temporanei e di emergenza dopo [Assegnazione FedRAMP: 24 ore dall'ultimo utilizzo]. AC-02(3) Il sistema informativo disabilita automaticamente gli account inattivi dopo [Assegnazione FedRAMP: trentacinque (35) giorni per gli account utente]. Ac-2 (3) requisiti e indicazioni aggiuntivi di FedRAMP: Requisito: Il provider di servizi definisce il periodo di tempo per gli account non utente , ad esempio gli account associati ai dispositivi. I periodi di tempo sono approvati e accettati da JAB/AO. Se la gestione degli utenti è una funzione del servizio, i report dell'attività degli utenti consumer devono essere resi disponibili.	Usare meccanismi automatizzati per supportare la rimozione o la disabilitazione automatica degli account temporanei e di emergenza dopo 24 ore dall'ultimo utilizzo e tutti gli account controllati dai clienti dopo 35 giorni di inattività. Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell per intervenire sugli account nell'intervallo di tempo necessario. Determinare l'inattività Gestisci gli account utente inattivi in Microsoft Entra ID Gestisci i dispositivi non aggiornati in Microsoft Entra ID Rimuovere o disabilitare gli account Lavorare con gli utenti in Microsoft Graph Recuperare un utente Aggiornare l'utente Eliminare un utente Usare i dispositivi in Microsoft Graph Ottieni dispositivo Aggiornare il dispositivo Eliminare il dispositivo Vedere Documentazione di Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
AC-2(4) Il sistema informativo controlla automaticamente la creazione, modifica, abilitazione, disabilitazione e rimozione di account, e notifica [Assegnazione FedRAMP: il proprietario del sistema dell'organizzazione e/o del fornitore di servizi].	Implementare un sistema di controllo e notifica automatizzato per il ciclo di vita della gestione degli account controllati dai clienti. Tutte le operazioni del ciclo di vita dell'account, ad esempio la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni, vengono controllate all'interno dei log di controllo Azure. È possibile trasmettere i log direttamente in Microsoft Sentinel o hub eventi per facilitare la notifica. Controllo report delle attività di Audit nel centro di amministrazione di Microsoft Entra Microsoft Sentinel: Collegare dati da Microsoft Entra ID Notifica Che cos'è Microsoft Sentinel? Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure
AC-2(5) L'organizzazione richiede che gli utenti si disconnettano quando [Assegnazione FedRAMP: si prevede che l'inattività superi i quindici (15) minuti]. Ac-2 (5) requisiti e linee guida aggiuntivi di FedRAMP: Guida: Usare un intervallo di tempo più breve rispetto a AC-12	Implementare la disconnessione del dispositivo dopo un periodo di inattività di 15 minuti. Implementare il blocco del dispositivo usando criteri di accesso condizionale che limitano l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni di gestione di dispositivi mobili (MDM), ad esempio Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare i dispositivi a riautenticare gli utenti. Accesso condizionale Richiedere che il dispositivo sia contrassegnato come conforme Frequenza di accesso utente Politica MDM Configurare i dispositivi per un numero massimo di minuti di inattività fino al blocco dello schermo e richiede una password per sbloccare (Android, IOS, Windows 10).
AC-2(7) L'organizzazione: (a.) Stabilisce e amministra gli account utente con privilegi in base a uno schema di accesso basato sui ruoli che organizza l'accesso e i privilegi consentiti al sistema informativo nei ruoli; (b) Monitora le assegnazioni di ruolo con privilegi; E (c) Accetta [assegnazione FedRAMP: disabilita/revoca l'accesso entro un intervallo di tempo specificato dall'organizzazione] quando le assegnazioni di ruolo con privilegi non sono più appropriate.	Gestire e monitorare le assegnazioni di ruolo con privilegi seguendo uno schema di accesso basato sui ruoli per gli account controllati dai clienti. Disabilitare o revocare l'accesso privilegiato per gli account quando non sono più appropriati. Implementare Microsoft Entra Privileged Identity Management con verifiche di accesso per i ruoli con privilegi in Microsoft Entra ID per monitorare le assegnazioni di ruolo e rimuovere le assegnazioni di ruolo quando non sono più appropriate. È possibile trasmettere i log di controllo direttamente in Microsoft Sentinel o hub eventi per facilitare il monitoraggio. Gestione Che è Microsoft Entra Privileged Identity Management? Durata massima attivazione Monitoraggio Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management Visualizzare la cronologia di controllo per i ruoli di Microsoft Entra in Privileged Identity Management report delle attività di Audit nel centro di amministrazione di Microsoft Entra Che cos'è Microsoft Sentinel? Connettere i dati di Microsoft Entra ID Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure
AC-2(11) Il sistema informativo applica [assegnazione: circostanze definite dall'organizzazione e/o condizioni di utilizzo] per [assegnazione: account del sistema informativo definiti dall'organizzazione].	Applicare l'utilizzo di account controllati dal cliente per soddisfare condizioni o circostanze definite dal cliente. Creare criteri di accesso condizionale per applicare decisioni di controllo di accesso tra utenti e dispositivi. Accesso condizionale Creare criteri di accesso condizionale Che cos'è l'accesso condizionale?
AC-2(12) L'organizzazione: (a) Monitora gli account del sistema informativo per l'uso atipico definito dall'organizzazione; e (b) Segnala l'utilizzo atipico degli account del sistema informativo a [FedRAMP: assegnazione, almeno, ISSO e/o ruolo simile all'interno dell'organizzazione]. AC-2 (12) (a) e AC-2 (12) (b) Requisiti e indicazioni aggiuntivi per FedRAMP: Obbligatorio per gli account con privilegi.	Monitorare e segnalare gli account controllati dai clienti con accesso con privilegi per l'utilizzo atipico. Per informazioni sul monitoraggio dell'utilizzo atipico, è possibile trasmettere Microsoft Entra ID Protection log, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo, che consentono la correlazione con l'assegnazione dei privilegi, direttamente in una soluzione SIEM, ad esempio Microsoft Sentinel. È anche possibile usare Hub eventi per integrare i log con soluzioni SIEM di terze parti. Protezione ID Cos'è Microsoft Entra ID Protection? Analizzare i rischi Notifiche di Microsoft Entra ID Protection Monitoraggio degli account Che cos'è Microsoft Sentinel? report delle attività di Audit nel centro di amministrazione di Microsoft Entra Connettere i dati di Microsoft Entra a Microsoft Sentinel Tutorial: trasmettere i log a un hub eventi Azure
AC-2(13) L'organizzazione disabilita gli account degli utenti che presentano un rischio significativo in [Assegnazione FedRAMP: una (1) ora] di individuazione del rischio.	Disabilitare gli account controllati dai clienti degli utenti che rappresentano un rischio significativo in un'ora. In Microsoft Entra ID Protection configurare e abilitare un criterio di rischio utente con la soglia impostata su Alto. Creare criteri di accesso condizionale per bloccare l'accesso per gli utenti a rischio e gli accessi a rischio. Configurare i criteri di rischio per consentire agli utenti di autocorreggere e sbloccare i tentativi di accesso successivi. Protezione ID Cos'è Microsoft Entra ID Protection? Accesso condizionale Che cos'è l'accesso condizionale? Creare criteri di accesso condizionale Accesso condizionale: accesso condizionale basato sul rischio utente Accesso condizionale: accesso condizionale basato sul rischio di accesso Auto-rimedio con criteri di rischio
AC-6(7) L'organizzazione: (a.) Rivede [Assegnazione FedRAMP: almeno, annualmente] i privilegi assegnati a [Assegnazione FedRAMP: tutti gli utenti con privilegi] per convalidare la necessità di tali privilegi; e (b.) Riassegna o rimuove i privilegi, se necessario, per riflettere correttamente la missione aziendale o le esigenze operative.	Esaminare e convalidare tutti gli utenti con accesso privilegiato ogni anno. Assicurarsi che i privilegi vengano riassegnati (o rimossi, se necessario) per allinearsi ai requisiti aziendali e alla mission dell’organizzazione. Usare Microsoft Entra Entitlement Management con revisioni di accesso per utenti privilegiati per verificare se è necessario l'accesso privilegiato. Verifiche di accesso Che cos'è la gestione delle autorizzazioni di Microsoft Entra? Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management Visualizzare l'accesso a un pacchetto di accesso nella gestione degli enti di Microsoft Entra
AC-7 Tentativi di accesso non riusciti L'organizzazione: (a.) Applica un limite di [assegnazione FedRAMP: non più di tre (3)] tentativi di accesso non validi consecutivi da parte di un utente durante un[assegnazione FedRAMP: quindici (15) minuti]; E (b.) Automaticamente [Selezione: blocca l'account/nodo per un [assegnazione FedRAMP: almeno tre (3) ore o fino a quando non viene sbloccato da un amministratore]; ritarda la richiesta di accesso successiva in base a [assegnazione: algoritmo di ritardo definito dall'organizzazione]] quando viene superato il numero massimo di tentativi non riusciti.	Applicare un limite di non più di tre tentativi di accesso consecutivi non riusciti nelle risorse implementate dal cliente entro un periodo di 15 minuti. Bloccare l'account per almeno tre ore o fino a quando non viene sbloccato da un amministratore. Abilitare le impostazioni di blocco intelligente personalizzate. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti. Blocco intelligente Proteggi gli account utente dagli attacchi con il blocco intelligente di Microsoft Entra Gestisci i valori di blocco intelligente di Microsoft Entra
Notifica di utilizzo del sistema AC-8 Il sistema informativo: it-IT: (a.) Visualizza agli utenti [Assegnazione: messaggio di notifica o banner definiti dall'organizzazione (Assegnazione FedRAMP: vedere ulteriori requisiti e linee guida)] prima di concedere l'accesso al sistema che fornisce comunicazioni sulla privacy e sulla sicurezza coerenti con le leggi federali, gli ordini esecutivi, le direttive, i criteri, le normative, gli standard e le linee guida e dichiara che: (1.) Gli utenti accedono a un sistema informatico degli enti pubblici degli Stati Uniti; (2.) L'utilizzo del sistema informatico può essere monitorato, registrato e soggetto a controllo; (3.) L'uso non autorizzato del sistema informatico è vietato e soggetto a sanzioni penali e civili; e (4.) L'uso del sistema informatico indica il consenso al monitoraggio e alla registrazione; (b.) Mantiene il messaggio di notifica o il banner sullo schermo finché gli utenti non riconoscono le condizioni di utilizzo e non esemettono azioni esplicite per accedere o accedere ulteriormente al sistema informativo; E (c.) Per i sistemi accessibili pubblicamente: (1.) Visualizza le informazioni sull'uso del sistema [assegnazione: condizioni definite dall'organizzazione (assegnazione FedRAMP: vedere requisiti e indicazioni aggiuntivi)], prima di concedere ulteriore accesso; (2.) Mostra i riferimenti, se presenti, al monitoraggio, alla registrazione o al controllo coerenti con le strutture di privacy per i sistemi che in genere impediscono tali attività; e (3.) Include una descrizione degli usi autorizzati del sistema. AC-8 Requisiti e Linee Guida Aggiuntivi per FedRAMP: Requisito: Il provider di servizi deve determinare gli elementi dell'ambiente cloud che richiedono il controllo di notifica dell'uso del sistema. Gli elementi dell'ambiente cloud che richiedono la notifica sull’uso del sistema vengono approvati e accettati da JAB/AO. Requisito: Il provider di servizi determina come verrà verificata la notifica sull'utilizzo del sistema e fornirà la periodicità appropriata del controllo. La verifica e la periodicità delle notifiche sull'uso del sistema vengono approvate e accettate dal JAB/AO. Guida: Se eseguita come parte di un controllo della baseline di configurazione, è possibile specificare la % di elementi che richiedono impostazioni e di cui il superamento (o il fallimento) del controllo possono essere indicati. Requisito: Se non viene eseguita come parte di un controllo della linea di base di configurazione, è necessario disporre di un contratto documentato su come fornire i risultati della verifica e la periodicità necessaria della verifica da parte del provider di servizi. L'accordo documentato su come fornire la verifica dei risultati viene approvato e accettato dal JAB/AO.	Visualizzare e richiedere l'accettazione da parte dell'utente delle comunicazioni sulla privacy e sulla sicurezza prima di concedere l'accesso ai sistemi informativi. Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano il riconoscimento prima di concedere l'accesso. È possibile applicare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale. Condizioni per l'utilizzo Microsoft Entra condizioni per l'utilizzo Visualizzare il report degli utenti che hanno accettato e rifiutato
Controllo delle sessioni simultanee AC-10 Il sistema informativo limita il numero di sessioni simultanee per ogni [assegnazione: account definito dall'organizzazione e/o tipo di account] a [assegnazione FedRAMP: tre (3) sessioni per l'accesso con privilegi e due (2) per l'accesso senza privilegi].	Limitare le sessioni simultanee a tre sessioni per l'accesso con privilegi e due per l'accesso senza privilegi. Attualmente, gli utenti si connettono da più dispositivi, a volte in contemporanea. La limitazione delle sessioni simultanee comporta un'esperienza utente danneggiata e offre un valore di sicurezza limitato. Un approccio migliore per affrontare l’intento di questo controllo consiste nell'adottare una postura di sicurezza zero-trust. Le condizioni vengono convalidate in modo esplicito prima della creazione di una sessione e convalidate continuamente durante la sessione. Inoltre, utilizzare i seguenti controlli di compensazione. Usare i criteri di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare restrizioni di accesso utente a livello di sistema operativo con soluzioni MDM come Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride. Usare Privileged Identity Management per limitare e controllare ulteriormente gli account con privilegi. Configurare il blocco intelligente dell’account per i tentativi di accesso non validi. Linee guida per l'implementazione Zero Trust Protezione dell'identità con Zero Trust Valutazione continua dell'accesso in Microsoft Entra ID Accesso condizionale Che cos'è l'accesso condizionale in Microsoft Entra ID? Richiedere che il dispositivo sia contrassegnato come conforme Frequenza di accesso utente Criteri relativi ai dispositivi Altre impostazioni dei Criteri di gruppo e chiavi del Registro di sistema relative alle smart card Panoramica di Microsoft Intune Risorse Che è Microsoft Entra Privileged Identity Management? Proteggi gli account utente dagli attacchi con il blocco intelligente di Microsoft Entra Consultare AC-12 per altre indicazioni sulla rivalutazione della sessione e sulla mitigazione dei rischi.
Blocco sessione AC-11 Il sistema informativo: (a) Impedisce un ulteriore accesso al sistema avviando un blocco di sessione dopo [assegnazione FedRAMP: quindici (15) minuti] di inattività o quando si riceve una richiesta da un utente; E (b) Mantiene il blocco della sessione fino a quando l'utente non rialloca l'accesso usando le procedure di identificazione e autenticazione stabilite. AC-11(1) Il sistema informatico nasconde, tramite il blocco della sessione, informazioni precedentemente visibili sullo schermo con un'immagine visualizzabile pubblicamente.	Implementare un blocco di sessione dopo un periodo di inattività di 15 minuti o dopo aver ricevuto una richiesta da un utente. Mantenere il blocco della sessione fino a quando l'utente non esegue di nuovo l'autenticazione. Nascondere le informazioni visibili in precedenza all'avvio di un blocco di sessione. Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare i dispositivi a riautenticare gli utenti. Accesso condizionale Richiedere che il dispositivo sia contrassegnato come conforme Frequenza di accesso utente Politica MDM Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo (Android, iOS, Windows 10).
Terminazione della sessione AC-12 Il sistema informativo termina automaticamente una sessione utente dopo [assegnazione: condizioni definite dall'organizzazione o eventi di attivazione che richiedono la disconnessione della sessione].	Termina automaticamente le sessioni utente quando si verificano condizioni o eventi di trigger definiti dall'organizzazione. Implementare la rivalutazione automatica della sessione utente con Microsoft Entra funzionalità come l'accesso condizionale basato sul rischio e la valutazione dell'accesso continuo. È possibile implementare condizioni di inattività a livello di dispositivo, come descritto in AC-11. Risorse Accesso condizionale basato sul rischio di accesso Accesso condizionale basato sul rischio per l'utente Valutazione continua dell'accesso
AC-12(1) Il sistema informativo: (a.) Fornisce una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente ogni volta che viene usata l'autenticazione per ottenere l'accesso a [assegnazione: risorse di informazioni definite dall'organizzazione]; E (b.) Visualizza un messaggio di disconnessione esplicito agli utenti che indica la terminazione affidabile delle sessioni di comunicazione autenticate. AC-8 Requisiti e Linee Guida Aggiuntivi per FedRAMP: Guida: Test per la funzionalità di disconnessione (OTG-SESS-006) Test per la funzionalità di disconnessione	Fornire una funzionalità di disconnessione per tutte le sessioni e visualizzare un messaggio di disconnessione esplicito. Tutte le interfacce Web con superficie di Microsoft Entra ID offrono una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente. Quando le applicazioni SAML sono integrate con Microsoft Entra ID, implementare l'accesso Single Sign-Out. Funzionalità di disconnessione Quando l'utente seleziona Disconnettersi ovunque, vengono revocati tutti i token emessi correnti. Visualizzare il messaggio Microsoft Entra ID visualizza automaticamente un messaggio dopo la disconnessione avviata dall'utente. Risorse Visualizzare e cercare l'attività di accesso recente dalla pagina My Sign-Ins Protocollo SAML per Single Sign-Out
AC-20 Uso di sistemi informativi esterni L'organizzazione stabilisce termini e condizioni, coerentemente con qualsiasi relazione di trust definita con altre organizzazioni che possiedono, eseguono e/o gestiscono sistemi informatici esterni, che consentono a singoli utenti di: (a.) Accedere al sistema informativo da sistemi informativi esterni; E (b.) Elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione usando sistemi informativi esterni. AC-20(1) L'organizzazione consente agli utenti autorizzati di usare un sistema informatico esterno per accedere al sistema informatico o per elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione solo quando l'organizzazione: (a.) Verifica l'implementazione dei controlli di sicurezza necessari nel sistema esterno, come specificato nei criteri di sicurezza e nel piano di sicurezza delle informazioni dell'organizzazione; O (b.) Mantiene i contratti di connessione o elaborazione approvati del sistema informativo con l'entità organizzativa che ospita il sistema informativo esterno.	Stabilire termini e condizioni che consentono agli utenti autorizzati di accedere alle risorse distribuite dal cliente da sistemi informativi esterni, ad esempio dispositivi non gestiti e reti esterne. Richiedere l'accettazione delle condizioni per l'utilizzo per gli utenti autorizzati che accedono alle risorse da sistemi esterni. Implementare criteri di accesso condizionale per limitare l'accesso da sistemi esterni. I criteri di accesso condizionale possono essere integrati con Defender for Cloud Apps per fornire controlli per le applicazioni cloud e locali da sistemi esterni. La gestione di applicazioni mobili in Intune può proteggere i dati dell'organizzazione a livello di applicazione, incluse app personalizzate e app di archiviazione, da dispositivi gestiti che interagiscono con sistemi esterni. Un esempio è l'accesso ai servizi cloud. Puoi usare la gestione delle app sui dispositivi di proprietà dell'organizzazione e su quelli personali. Condizioni Condizioni per l'utilizzo: Microsoft Entra ID Accesso condizionale Richiedere che il dispositivo sia contrassegnato come conforme Condizioni nei criteri di accesso condizionale: Stato del dispositivo (anteprima) Proteggi con Microsoft Defender for Cloud Apps e il controllo dell'app di accesso condizionale criterio posizione nell'accesso condizionale Microsoft Entra Gestione dei Dispositivi Mobili (MDM) Che è Microsoft Intune? Che cos'è l’app Defender per il Cloud? Che cos'è la gestione delle app in Microsoft Intune? Risorse Integrare app locali con Defender for Cloud Apps

ID e descrizione del controllo FedRAMP

Microsoft Entra indicazioni e consigli

GESTIONE DEGLI ACCOUNT AC-2

L'organizzazione
(a.) Identifica e seleziona i tipi di account del sistema informativo seguenti per supportare le missioni organizzative e le funzioni aziendali: [assegnazione: tipi di account del sistema informativo definiti dall'organizzazione];

(b.) Assegna i gestori degli account per gli account del sistema informativo;

(c.) Stabilisce le condizioni per l'appartenenza a gruppi e ruoli;

(d.) Specifica gli utenti autorizzati del sistema informativo, l'appartenenza a gruppi e ruoli e le autorizzazioni di accesso (ad esempio, privilegi) e altri attributi (in base alle esigenze) per ogni account;

(e.) Richiede approvazioni per [assegnazione: personale o ruoli definiti dall'organizzazione] per le richieste di creazione di account del sistema informativo;

(f.) Crea, abilita, modifica, disabilita e rimuove gli account del sistema informativo in base a [assegnazione: procedure o condizioni definite dall'organizzazione];

(g.) Monitora l'uso degli account del sistema informativo;

(h.) Notifica ai responsabili degli account:
(1.) Quando gli account non sono più necessari;
(2.) Quando gli utenti vengono terminati o trasferiti; e
(3.) Quando l'utilizzo o ciò che occorre sapere sui singoli sistemi informatici cambia;

(i.) Autorizza l'accesso al sistema informativo in base a:
(1.) Autorizzazione di accesso valida;
(2.) Utilizzo previsto del sistema; e
(3.) Altri attributi richiesti dall'organizzazione o dalle funzioni aziendali/missioni associate;

(j.) Verifica la conformità ai requisiti di gestione degli account [Assegnazione FedRAMP: mensile per l'accesso con privilegi, ogni sei (6) mesi per l'accesso senza privilegi]; E

(k.) Stabilisce un processo per la riemissione delle credenziali dell'account condiviso/gruppo (se distribuito) quando i singoli utenti vengono rimossi dal gruppo.

Implementare la gestione del ciclo di vita degli account per gli account controllati dal cliente. Monitorare l'uso degli account e notificare ai responsabili degli account gli eventi del ciclo di vita degli account. Esaminare gli account per la conformità ai requisiti di gestione degli account ogni mese per l'accesso privilegiato e ogni sei mesi per l'accesso non privilegiato.

Usare Microsoft Entra ID per effettuare il provisioning di account da sistemi HR esterni, on-premises Active Directory o direttamente nel cloud. Tutte le operazioni del ciclo di vita dell'account vengono controllate all'interno dei log di controllo Microsoft Entra. È possibile raccogliere e analizzare i log usando una soluzione SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel. In alternativa, è possibile usare Azure Event Hubs per integrare i log con soluzioni SIEM di terze parti per abilitare il monitoraggio e la notifica. Usare la gestione delle entitlements di Microsoft Entra con le verifiche degli accessi per garantire lo stato di conformità degli account.

Configurazione degli account

Pianificare l'applicazione cloud HR per il provisioning degli utenti in Microsoft Entra

Microsoft Entra Connect Sync: Informazioni e personalizzazione della sincronizzazione

Aggiungi o elimina utenti usando Microsoft Entra ID

Monitoraggio degli account

report delle attività di Audit nel centro di amministrazione di Microsoft Entra

Connettere i dati di Microsoft Entra a Microsoft Sentinel

Tutorial: trasmettere i log a un hub eventi Azure

Revisione degli account

Che cos'è la gestione delle autorizzazioni di Microsoft Entra?

Creare una revisione di accesso di un pacchetto di accesso in Microsoft Entra gestione dei diritti

Visualizzare l'accesso a un pacchetto di accesso nella gestione degli enti di Microsoft Entra

Risorse

Autorizzazioni del ruolo di amministratore in Microsoft Entra ID

Gruppi dinamici in Microsoft Entra ID

AC-2(1)
L'organizzazione impiega meccanismi automatici per supportare la gestione degli account del sistema informatico.

Usare meccanismi automatizzati per supportare la gestione degli account controllati dai clienti.

Configurare il provisioning automatizzato degli account controllati dai clienti dai sistemi HR esterni o da Active Directory in sede. Per le applicazioni che supportano il provisioning delle applicazioni, configurare Microsoft Entra ID per creare automaticamente identità utente e ruoli nelle applicazioni software cloud come soluzione (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Per semplificare il monitoraggio dell'utilizzo degli account, è possibile trasmettere Microsoft Entra ID Protection log, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo direttamente in Microsoft Sentinel o Hub eventi.

Provisionamento

Pianificare l'applicazione cloud HR per il provisioning degli utenti in Microsoft Entra

Microsoft Entra Connect Sync: Informazioni e personalizzazione della sincronizzazione

Che cos'è il provisioning automatizzato degli utenti delle app SaaS in Microsoft Entra ID?

Guida all'integrazione delle app SaaS da usare con Microsoft Entra ID.

Monitoraggio e controllo

Analizzare i rischi

report delle attività di Audit nel centro di amministrazione di Microsoft Entra

Che cos'è Microsoft Sentinel?

Microsoft Sentinel: Collegare dati da Microsoft Entra ID

Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure

AC-2(2)
Il sistema informativo [FedRAMP Selection: disabilita] gli account temporanei e di emergenza dopo [Assegnazione FedRAMP: 24 ore dall'ultimo utilizzo].

AC-02(3)
Il sistema informativo disabilita automaticamente gli account inattivi dopo [Assegnazione FedRAMP: trentacinque (35) giorni per gli account utente].

Ac-2 (3) requisiti e indicazioni aggiuntivi di FedRAMP:
Requisito: Il provider di servizi definisce il periodo di tempo per gli account non utente , ad esempio gli account associati ai dispositivi. I periodi di tempo sono approvati e accettati da JAB/AO. Se la gestione degli utenti è una funzione del servizio, i report dell'attività degli utenti consumer devono essere resi disponibili.

Usare meccanismi automatizzati per supportare la rimozione o la disabilitazione automatica degli account temporanei e di emergenza dopo 24 ore dall'ultimo utilizzo e tutti gli account controllati dai clienti dopo 35 giorni di inattività.

Implementare l'automazione della gestione degli account con Microsoft Graph e Microsoft Graph PowerShell. Usare Microsoft Graph per monitorare l'attività di accesso e Microsoft Graph PowerShell per intervenire sugli account nell'intervallo di tempo necessario.

Determinare l'inattività

Gestisci gli account utente inattivi in Microsoft Entra ID

Gestisci i dispositivi non aggiornati in Microsoft Entra ID

Rimuovere o disabilitare gli account

Lavorare con gli utenti in Microsoft Graph

Recuperare un utente

Aggiornare l'utente

Eliminare un utente

Usare i dispositivi in Microsoft Graph

Ottieni dispositivo

Aggiornare il dispositivo

Eliminare il dispositivo

Vedere Documentazione di Microsoft Graph PowerShell

Get-MgUser

Update-MgUser

Get-MgDevice

Update-MgDevice

AC-2(4)
Il sistema informativo controlla automaticamente la creazione, modifica, abilitazione, disabilitazione e rimozione di account, e notifica [Assegnazione FedRAMP: il proprietario del sistema dell'organizzazione e/o del fornitore di servizi].

Implementare un sistema di controllo e notifica automatizzato per il ciclo di vita della gestione degli account controllati dai clienti.

Tutte le operazioni del ciclo di vita dell'account, ad esempio la creazione, la modifica, l'abilitazione, la disabilitazione e la rimozione delle azioni, vengono controllate all'interno dei log di controllo Azure. È possibile trasmettere i log direttamente in Microsoft Sentinel o hub eventi per facilitare la notifica.

Controllo

report delle attività di Audit nel centro di amministrazione di Microsoft Entra

Microsoft Sentinel: Collegare dati da Microsoft Entra ID

Notifica

Che cos'è Microsoft Sentinel?

Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure

AC-2(5)
L'organizzazione richiede che gli utenti si disconnettano quando [Assegnazione FedRAMP: si prevede che l'inattività superi i quindici (15) minuti].

Ac-2 (5) requisiti e linee guida aggiuntivi di FedRAMP:
Guida: Usare un intervallo di tempo più breve rispetto a AC-12

Implementare la disconnessione del dispositivo dopo un periodo di inattività di 15 minuti.

Implementare il blocco del dispositivo usando criteri di accesso condizionale che limitano l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni di gestione di dispositivi mobili (MDM), ad esempio Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare i dispositivi a riautenticare gli utenti.

Accesso condizionale

Richiedere che il dispositivo sia contrassegnato come conforme

Frequenza di accesso utente

Politica MDM

Configurare i dispositivi per un numero massimo di minuti di inattività fino al blocco dello schermo e richiede una password per sbloccare (Android, IOS, Windows 10).

AC-2(7)

L'organizzazione:
(a.) Stabilisce e amministra gli account utente con privilegi in base a uno schema di accesso basato sui ruoli che organizza l'accesso e i privilegi consentiti al sistema informativo nei ruoli;
(b) Monitora le assegnazioni di ruolo con privilegi; E
(c) Accetta [assegnazione FedRAMP: disabilita/revoca l'accesso entro un intervallo di tempo specificato dall'organizzazione] quando le assegnazioni di ruolo con privilegi non sono più appropriate.

Gestire e monitorare le assegnazioni di ruolo con privilegi seguendo uno schema di accesso basato sui ruoli per gli account controllati dai clienti. Disabilitare o revocare l'accesso privilegiato per gli account quando non sono più appropriati.

Implementare Microsoft Entra Privileged Identity Management con verifiche di accesso per i ruoli con privilegi in Microsoft Entra ID per monitorare le assegnazioni di ruolo e rimuovere le assegnazioni di ruolo quando non sono più appropriate. È possibile trasmettere i log di controllo direttamente in Microsoft Sentinel o hub eventi per facilitare il monitoraggio.

Gestione

Che è Microsoft Entra Privileged Identity Management?

Durata massima attivazione

Monitoraggio

Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management

Visualizzare la cronologia di controllo per i ruoli di Microsoft Entra in Privileged Identity Management

report delle attività di Audit nel centro di amministrazione di Microsoft Entra

Che cos'è Microsoft Sentinel?

Connettere i dati di Microsoft Entra ID

Tutorial: trasmettere i log di Microsoft Entra a un hub eventi Azure

AC-2(11)
Il sistema informativo applica [assegnazione: circostanze definite dall'organizzazione e/o condizioni di utilizzo] per [assegnazione: account del sistema informativo definiti dall'organizzazione].

Applicare l'utilizzo di account controllati dal cliente per soddisfare condizioni o circostanze definite dal cliente.

Creare criteri di accesso condizionale per applicare decisioni di controllo di accesso tra utenti e dispositivi.

Accesso condizionale

Creare criteri di accesso condizionale

Che cos'è l'accesso condizionale?

AC-2(12)

L'organizzazione:
(a) Monitora gli account del sistema informativo per l'uso atipico definito dall'organizzazione; e
(b) Segnala l'utilizzo atipico degli account del sistema informativo a [FedRAMP: assegnazione, almeno, ISSO e/o ruolo simile all'interno dell'organizzazione].

AC-2 (12) (a) e AC-2 (12) (b) Requisiti e indicazioni aggiuntivi per FedRAMP:
Obbligatorio per gli account con privilegi.

Monitorare e segnalare gli account controllati dai clienti con accesso con privilegi per l'utilizzo atipico.

Per informazioni sul monitoraggio dell'utilizzo atipico, è possibile trasmettere Microsoft Entra ID Protection log, che mostrano utenti rischiosi, accessi a rischio e rilevamenti dei rischi e log di controllo, che consentono la correlazione con l'assegnazione dei privilegi, direttamente in una soluzione SIEM, ad esempio Microsoft Sentinel. È anche possibile usare Hub eventi per integrare i log con soluzioni SIEM di terze parti.

Protezione ID

Cos'è Microsoft Entra ID Protection?

Analizzare i rischi

Notifiche di Microsoft Entra ID Protection

Monitoraggio degli account

Che cos'è Microsoft Sentinel?

report delle attività di Audit nel centro di amministrazione di Microsoft Entra

Connettere i dati di Microsoft Entra a Microsoft Sentinel

Tutorial: trasmettere i log a un hub eventi Azure

AC-2(13)
L'organizzazione disabilita gli account degli utenti che presentano un rischio significativo in [Assegnazione FedRAMP: una (1) ora] di individuazione del rischio.

Disabilitare gli account controllati dai clienti degli utenti che rappresentano un rischio significativo in un'ora.

In Microsoft Entra ID Protection configurare e abilitare un criterio di rischio utente con la soglia impostata su Alto. Creare criteri di accesso condizionale per bloccare l'accesso per gli utenti a rischio e gli accessi a rischio. Configurare i criteri di rischio per consentire agli utenti di autocorreggere e sbloccare i tentativi di accesso successivi.

Protezione ID

Cos'è Microsoft Entra ID Protection?

Accesso condizionale

Che cos'è l'accesso condizionale?

Creare criteri di accesso condizionale

Accesso condizionale: accesso condizionale basato sul rischio utente

Accesso condizionale: accesso condizionale basato sul rischio di accesso

Auto-rimedio con criteri di rischio

AC-6(7)

L'organizzazione:
(a.) Rivede [Assegnazione FedRAMP: almeno, annualmente] i privilegi assegnati a [Assegnazione FedRAMP: tutti gli utenti con privilegi] per convalidare la necessità di tali privilegi; e
(b.) Riassegna o rimuove i privilegi, se necessario, per riflettere correttamente la missione aziendale o le esigenze operative.

Esaminare e convalidare tutti gli utenti con accesso privilegiato ogni anno. Assicurarsi che i privilegi vengano riassegnati (o rimossi, se necessario) per allinearsi ai requisiti aziendali e alla mission dell’organizzazione.

Usare Microsoft Entra Entitlement Management con revisioni di accesso per utenti privilegiati per verificare se è necessario l'accesso privilegiato.

Verifiche di accesso

Che cos'è la gestione delle autorizzazioni di Microsoft Entra?

Creare una verifica di accesso dei ruoli di Microsoft Entra in Privileged Identity Management

Visualizzare l'accesso a un pacchetto di accesso nella gestione degli enti di Microsoft Entra

AC-7 Tentativi di accesso non riusciti

L'organizzazione:
(a.) Applica un limite di [assegnazione FedRAMP: non più di tre (3)] tentativi di accesso non validi consecutivi da parte di un utente durante un[assegnazione FedRAMP: quindici (15) minuti]; E
(b.) Automaticamente [Selezione: blocca l'account/nodo per un [assegnazione FedRAMP: almeno tre (3) ore o fino a quando non viene sbloccato da un amministratore]; ritarda la richiesta di accesso successiva in base a [assegnazione: algoritmo di ritardo definito dall'organizzazione]] quando viene superato il numero massimo di tentativi non riusciti.

Applicare un limite di non più di tre tentativi di accesso consecutivi non riusciti nelle risorse implementate dal cliente entro un periodo di 15 minuti. Bloccare l'account per almeno tre ore o fino a quando non viene sbloccato da un amministratore.

Abilitare le impostazioni di blocco intelligente personalizzate. Configurare la soglia di blocco e la durata del blocco in secondi per implementare questi requisiti.

Blocco intelligente

Proteggi gli account utente dagli attacchi con il blocco intelligente di Microsoft Entra

Gestisci i valori di blocco intelligente di Microsoft Entra

Notifica di utilizzo del sistema AC-8

Il sistema informativo:
it-IT: (a.) Visualizza agli utenti [Assegnazione: messaggio di notifica o banner definiti dall'organizzazione (Assegnazione FedRAMP: vedere ulteriori requisiti e linee guida)] prima di concedere l'accesso al sistema che fornisce comunicazioni sulla privacy e sulla sicurezza coerenti con le leggi federali, gli ordini esecutivi, le direttive, i criteri, le normative, gli standard e le linee guida e dichiara che:
(1.) Gli utenti accedono a un sistema informatico degli enti pubblici degli Stati Uniti;
(2.) L'utilizzo del sistema informatico può essere monitorato, registrato e soggetto a controllo;
(3.) L'uso non autorizzato del sistema informatico è vietato e soggetto a sanzioni penali e civili; e
(4.) L'uso del sistema informatico indica il consenso al monitoraggio e alla registrazione;

(b.) Mantiene il messaggio di notifica o il banner sullo schermo finché gli utenti non riconoscono le condizioni di utilizzo e non esemettono azioni esplicite per accedere o accedere ulteriormente al sistema informativo; E

(c.) Per i sistemi accessibili pubblicamente:
(1.) Visualizza le informazioni sull'uso del sistema [assegnazione: condizioni definite dall'organizzazione (assegnazione FedRAMP: vedere requisiti e indicazioni aggiuntivi)], prima di concedere ulteriore accesso;
(2.) Mostra i riferimenti, se presenti, al monitoraggio, alla registrazione o al controllo coerenti con le strutture di privacy per i sistemi che in genere impediscono tali attività; e
(3.) Include una descrizione degli usi autorizzati del sistema.

AC-8 Requisiti e Linee Guida Aggiuntivi per FedRAMP:
Requisito: Il provider di servizi deve determinare gli elementi dell'ambiente cloud che richiedono il controllo di notifica dell'uso del sistema. Gli elementi dell'ambiente cloud che richiedono la notifica sull’uso del sistema vengono approvati e accettati da JAB/AO.
Requisito: Il provider di servizi determina come verrà verificata la notifica sull'utilizzo del sistema e fornirà la periodicità appropriata del controllo. La verifica e la periodicità delle notifiche sull'uso del sistema vengono approvate e accettate dal JAB/AO.
Guida: Se eseguita come parte di un controllo della baseline di configurazione, è possibile specificare la % di elementi che richiedono impostazioni e di cui il superamento (o il fallimento) del controllo possono essere indicati.
Requisito: Se non viene eseguita come parte di un controllo della linea di base di configurazione, è necessario disporre di un contratto documentato su come fornire i risultati della verifica e la periodicità necessaria della verifica da parte del provider di servizi. L'accordo documentato su come fornire la verifica dei risultati viene approvato e accettato dal JAB/AO.

Visualizzare e richiedere l'accettazione da parte dell'utente delle comunicazioni sulla privacy e sulla sicurezza prima di concedere l'accesso ai sistemi informativi.

Con Microsoft Entra ID è possibile recapitare messaggi di notifica o banner per tutte le app che richiedono e registrano il riconoscimento prima di concedere l'accesso. È possibile applicare in modo granulare questi criteri per le condizioni per l'utilizzo a utenti specifici (membro o guest). È anche possibile personalizzarli per ogni applicazione tramite i criteri di accesso condizionale.

Condizioni per l'utilizzo

Microsoft Entra condizioni per l'utilizzo

Visualizzare il report degli utenti che hanno accettato e rifiutato

Controllo delle sessioni simultanee AC-10
Il sistema informativo limita il numero di sessioni simultanee per ogni [assegnazione: account definito dall'organizzazione e/o tipo di account] a [assegnazione FedRAMP: tre (3) sessioni per l'accesso con privilegi e due (2) per l'accesso senza privilegi].

Limitare le sessioni simultanee a tre sessioni per l'accesso con privilegi e due per l'accesso senza privilegi.

Attualmente, gli utenti si connettono da più dispositivi, a volte in contemporanea. La limitazione delle sessioni simultanee comporta un'esperienza utente danneggiata e offre un valore di sicurezza limitato. Un approccio migliore per affrontare l’intento di questo controllo consiste nell'adottare una postura di sicurezza zero-trust. Le condizioni vengono convalidate in modo esplicito prima della creazione di una sessione e convalidate continuamente durante la sessione.

Inoltre, utilizzare i seguenti controlli di compensazione.

Usare i criteri di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare restrizioni di accesso utente a livello di sistema operativo con soluzioni MDM come Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride.

Usare Privileged Identity Management per limitare e controllare ulteriormente gli account con privilegi.

Configurare il blocco intelligente dell’account per i tentativi di accesso non validi.

Linee guida per l'implementazione

Zero Trust

Protezione dell'identità con Zero Trust

Valutazione continua dell'accesso in Microsoft Entra ID

Accesso condizionale

Che cos'è l'accesso condizionale in Microsoft Entra ID?

Richiedere che il dispositivo sia contrassegnato come conforme

Frequenza di accesso utente

Criteri relativi ai dispositivi

Altre impostazioni dei Criteri di gruppo e chiavi del Registro di sistema relative alle smart card

Panoramica di Microsoft Intune

Risorse

Che è Microsoft Entra Privileged Identity Management?

Proteggi gli account utente dagli attacchi con il blocco intelligente di Microsoft Entra

Consultare AC-12 per altre indicazioni sulla rivalutazione della sessione e sulla mitigazione dei rischi.

Blocco sessione AC-11
Il sistema informativo:
(a) Impedisce un ulteriore accesso al sistema avviando un blocco di sessione dopo [assegnazione FedRAMP: quindici (15) minuti] di inattività o quando si riceve una richiesta da un utente; E
(b) Mantiene il blocco della sessione fino a quando l'utente non rialloca l'accesso usando le procedure di identificazione e autenticazione stabilite.

AC-11(1)
Il sistema informatico nasconde, tramite il blocco della sessione, informazioni precedentemente visibili sullo schermo con un'immagine visualizzabile pubblicamente.

Implementare un blocco di sessione dopo un periodo di inattività di 15 minuti o dopo aver ricevuto una richiesta da un utente. Mantenere il blocco della sessione fino a quando l'utente non esegue di nuovo l'autenticazione. Nascondere le informazioni visibili in precedenza all'avvio di un blocco di sessione.

Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi. Configurare le impostazioni dei criteri nel dispositivo per applicare il blocco del dispositivo a livello di sistema operativo con soluzioni MDM come Intune. Endpoint Manager o gli oggetti Criteri di Gruppo possono essere considerati anche nelle distribuzioni ibride. Per i dispositivi non gestiti, configurare l'impostazione Frequenza di accesso per forzare i dispositivi a riautenticare gli utenti.

Accesso condizionale

Richiedere che il dispositivo sia contrassegnato come conforme

Frequenza di accesso utente

Politica MDM

Configurare i dispositivi per un massimo di minuti di inattività fino al blocco dello schermo (Android, iOS, Windows 10).

Terminazione della sessione AC-12
Il sistema informativo termina automaticamente una sessione utente dopo [assegnazione: condizioni definite dall'organizzazione o eventi di attivazione che richiedono la disconnessione della sessione].

Termina automaticamente le sessioni utente quando si verificano condizioni o eventi di trigger definiti dall'organizzazione.

Implementare la rivalutazione automatica della sessione utente con Microsoft Entra funzionalità come l'accesso condizionale basato sul rischio e la valutazione dell'accesso continuo. È possibile implementare condizioni di inattività a livello di dispositivo, come descritto in AC-11.

Risorse

Accesso condizionale basato sul rischio di accesso

Accesso condizionale basato sul rischio per l'utente

Valutazione continua dell'accesso

AC-12(1)
Il sistema informativo:
(a.) Fornisce una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente ogni volta che viene usata l'autenticazione per ottenere l'accesso a [assegnazione: risorse di informazioni definite dall'organizzazione]; E
(b.) Visualizza un messaggio di disconnessione esplicito agli utenti che indica la terminazione affidabile delle sessioni di comunicazione autenticate.

AC-8 Requisiti e Linee Guida Aggiuntivi per FedRAMP:
Guida: Test per la funzionalità di disconnessione (OTG-SESS-006) Test per la funzionalità di disconnessione

Fornire una funzionalità di disconnessione per tutte le sessioni e visualizzare un messaggio di disconnessione esplicito.

Tutte le interfacce Web con superficie di Microsoft Entra ID offrono una funzionalità di disconnessione per le sessioni di comunicazione avviate dall'utente. Quando le applicazioni SAML sono integrate con Microsoft Entra ID, implementare l'accesso Single Sign-Out.

Funzionalità di disconnessione

Quando l'utente seleziona Disconnettersi ovunque, vengono revocati tutti i token emessi correnti.

Visualizzare il messaggio
Microsoft Entra ID visualizza automaticamente un messaggio dopo la disconnessione avviata dall'utente.

Screenshot che mostra un messaggio di controllo di accesso.

Risorse

Visualizzare e cercare l'attività di accesso recente dalla pagina My Sign-Ins

Protocollo SAML per Single Sign-Out

AC-20 Uso di sistemi informativi esterni
L'organizzazione stabilisce termini e condizioni, coerentemente con qualsiasi relazione di trust definita con altre organizzazioni che possiedono, eseguono e/o gestiscono sistemi informatici esterni, che consentono a singoli utenti di:
(a.) Accedere al sistema informativo da sistemi informativi esterni; E
(b.) Elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione usando sistemi informativi esterni.

AC-20(1)
L'organizzazione consente agli utenti autorizzati di usare un sistema informatico esterno per accedere al sistema informatico o per elaborare, archiviare o trasmettere informazioni controllate dall'organizzazione solo quando l'organizzazione:
(a.) Verifica l'implementazione dei controlli di sicurezza necessari nel sistema esterno, come specificato nei criteri di sicurezza e nel piano di sicurezza delle informazioni dell'organizzazione; O
(b.) Mantiene i contratti di connessione o elaborazione approvati del sistema informativo con l'entità organizzativa che ospita il sistema informativo esterno.

Stabilire termini e condizioni che consentono agli utenti autorizzati di accedere alle risorse distribuite dal cliente da sistemi informativi esterni, ad esempio dispositivi non gestiti e reti esterne.

Richiedere l'accettazione delle condizioni per l'utilizzo per gli utenti autorizzati che accedono alle risorse da sistemi esterni. Implementare criteri di accesso condizionale per limitare l'accesso da sistemi esterni. I criteri di accesso condizionale possono essere integrati con Defender for Cloud Apps per fornire controlli per le applicazioni cloud e locali da sistemi esterni. La gestione di applicazioni mobili in Intune può proteggere i dati dell'organizzazione a livello di applicazione, incluse app personalizzate e app di archiviazione, da dispositivi gestiti che interagiscono con sistemi esterni. Un esempio è l'accesso ai servizi cloud. Puoi usare la gestione delle app sui dispositivi di proprietà dell'organizzazione e su quelli personali.

Condizioni

Condizioni per l'utilizzo: Microsoft Entra ID

Accesso condizionale

Richiedere che il dispositivo sia contrassegnato come conforme

Condizioni nei criteri di accesso condizionale: Stato del dispositivo (anteprima)

Proteggi con Microsoft Defender for Cloud Apps e il controllo dell'app di accesso condizionale

criterio posizione nell'accesso condizionale Microsoft Entra

Gestione dei Dispositivi Mobili (MDM)

Che è Microsoft Intune?

Che cos'è l’app Defender per il Cloud?

Che cos'è la gestione delle app in Microsoft Intune?

Risorse

Integrare app locali con Defender for Cloud Apps

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-11

Configurare i controlli di accesso all'identità per soddisfare il livello di High Impact di FedRAMP

Configurazioni

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive