Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den DoD Nulová dôvera (Zero Trust)-strategi och roadmap beskriver en väg för Department of Defense-komponenter och Försvars Industrial Base (DIB)-partner att anta ett nytt cybersäkerhetsramverk baserat på Nulová dôvera (Zero Trust)-principerna. Nulová dôvera (Zero Trust) eliminerar traditionella perimeterr och förtroendeantaganden, vilket möjliggör en effektivare arkitektur som förbättrar säkerhet, användarupplevelser och uppdragsprestanda.
Den här guiden innehåller rekommendationer för de 152 Nulová dôvera (Zero Trust)-aktiviteterna i DoD:s Nulová dôvera (Zero Trust)-förmågeutförande-översiktsplan. Avsnitten motsvarar de sju pelarna i DoD-Nulová dôvera (Zero Trust) modellen.
Använd följande länkar för att gå till avsnitt i guiden.
- Inledning
- Användare
- Enhet
- Applikationer och arbetsuppgifter
- data
- Nätverk
- Automatisering och orkestrering
- Synlighet och analys
1 användare
Det här avsnittet innehåller Microsofts vägledning och rekommendationer för DoD Nulová dôvera (Zero Trust)-aktiviteter i användarpelaren. För mer information, se Säkerställa identitet med Nulová dôvera (Zero Trust).
1.1 Användarinventering
Microsoft Entra ID är den identitetsplattform som krävs för Microsofts molntjänster. Microsoft Entra ID är en identitetsprovider (IdP) och styrningsplattform som stöder multimoln- och hybrididentiteter. Du kan använda Microsoft Entra ID för att styra åtkomsten till moln som inte kommer från Microsoft, till exempel Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) med mera. Microsoft Entra ID använder standardidentitetsprotokoll, vilket gör det till en lämplig IdP för programvara som en tjänst (SaaS), moderna webbprogram, skrivbords- och mobilappar, även äldre lokala program.
Använd Microsoft Entra ID för att verifiera användare och icke-personentiteter (NPE), kontinuerligt auktorisera åtkomst till appar och data, styra identiteter och deras rättigheter efter principer med lägsta behörighet och utföra JIT-administration (just-in-time).
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.1.1 InventeringsanvändareDoD-organisationer upprättar och uppdaterar en användarinventering manuellt om det behövs och förbereder sig för automatiserad metod i senare skeden. Konton som hanteras centralt av en IdP/ICAM och lokalt på system identifieras och inventeras. Privilegierade konton identifieras för framtida granskning och både standard- och privilegierade användarkonton som är lokala för program och system identifieras för framtida migrering och/eller avaktivering. Resultat:– Identifierade hanterade vanliga användare – Identifierade hanterade privilegierade användare – Identifierade program som använder sin egen hantering av användarkonton för icke-administrativa och administrativa konton |
Microsoft Entra ID Identify vanliga och privilegierade användare i din organisation med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API. Användaraktivitet registreras i Microsoft Entra ID inloggnings- och granskningsloggar som kan integreras med SIEM-system (Security Information Event Monitoring) som Microsoft Sentinel. - Adopt Microsoft Entra ID - Microsoft Graph API: Lista användare - Microsoft Entra aktivitetsloggintegrering Microsoft Entra och Azure roller Privileged användare är identiteter som tilldelats till Microsoft Entra ID roller, Azure roller eller Microsoft Entra ID säkerhetsgrupper som ger privilegierad åtkomst till Microsoft 365 eller andra program. Vi rekommenderar att du använder molnbaserade användare för privilegierad åtkomst. - Built-in roles Microsoft Defender for Cloud Apps Använd Defender för Molnappar för att identifiera icke godkända appar med hjälp av sin egen identitetsbutik. - Upptäck och hantera skugg-IT Microsoft Defender for Identity Distribuera och konfigurera Microsoft Defender for Identity-sensorer för att skapa en identitetstillgångsinventering för lokala Doménové služby Active Directory-miljöer. - Microsoft Defender for Identity översikt - Distribuera Microsoft Defender for Identity - Undersök tillgångar |
1.2 Villkorlig användaråtkomst
Microsoft Entra ID hjälper din organisation att implementera villkorlig, dynamisk användaråtkomst. Funktioner som stöder denna kapacitet inkluderar Microsoft Entra villkorlig åtkomst, Microsoft Entra ID Governance, anpassade roller, dynamiska säkerhetsgrupper, approller och anpassade säkerhetsattribut.
Villkorlig åtkomst är motorn för Nulová dôvera (Zero Trust)-regelverk i realtid i Microsoft Entra ID. Principer för villkorsstyrd åtkomst använder säkerhetssignaler från användare, enhet, program, session, risk med mera för att tillämpa anpassningsbar dynamisk auktorisering för resurser som skyddas av Microsoft Entra ID.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.2.1 Implementera appbaserade behörigheter per företagDoD-företaget som arbetar med organisationerna upprättar en grundläggande uppsättning användarattribut för autentisering och auktorisering. Dessa är integrerade med aktivitetsprocessen "Enterprise Identity Life-Cycle Management Pt1" för en fullständig företagsstandard. Lösningen enterprise Identity, Credential och Access Management (ICAM) är aktiverad för självbetjäningsfunktioner för att lägga till/uppdatera attribut i lösningen. Återstående PAM-aktiviteter (Privileged Access Management) migreras helt till PAM-lösningen. Resultat:- Företagsroller/attribut som krävs för användarauktorisering till programfunktioner och/eller data har registrerats med företags-ICAM – DoD Enterprise ICAM har självbetjäningsattribut/rollregistreringstjänst som gör det möjligt för programägare att lägga till attribut eller använda befintliga företagsattribut – Privilegierade aktiviteter migreras helt till PAM |
Microsoft Entra Connect Etablera hybrididentitet med Microsoft Entra Connect för att fylla Microsoft Entra ID-tenant med användarattributdata från nuvarande katalogsystem. - Microsoft Entra Connect Microsoft Entra applikationer Integrera applikationer med Microsoft Entra ID. Utforma programauktoriserings- och behörighetsmodeller med hjälp av säkerhetsgrupper och approller. Delegera apphantering genom att tilldela ägare för att hantera appkonfiguration, även registrera och tilldela approller. - Conditional Access - Anpassade säkerhetsattribut - Filter för appar Privileged Identity Management Använd PIM Discovery and Insights för att identifiera privilegierade roller och grupper. Använd PIM för att hantera identifierade privilegier och konvertera användartilldelningar från permanent till berättigande.PIM-identifiering och insikter |
| 1.2.2 Regelbaserad dynamisk åtkomst Pt1DoD-organisationer använder reglerna från aktiviteten "Periodisk autentisering" för att skapa grundläggande regler som aktiverar och inaktiverar privilegier dynamiskt. Användarkonton med hög risk använder PAM-lösningen för att övergå till dynamisk privilegierad åtkomst med hjälp av just-in-time-åtkomst och metoder för just enough-administration. Resultat:– Åtkomsten till programmets/tjänstens funktioner och/eller data är begränsad till användare med lämpliga företagsattribut – Alla möjliga program använder JIT/JEA-behörigheter för administrativa användare |
Microsoft Entra ID Använd Microsoft Entra ID auktoriserings- och styrningsfunktioner för att begränsa programåtkomst baserat på användarattribut, rolltilldelningar, risker och sessionsinformation. Se Microsoft-vägledning i 1.2.1. Privileged Identity Management Använd PIM för Microsoft Entra- och Azure roller. Utöka PIM till andra Microsoft Entra ID program med PIM för Groups. - PIM för Microsoft Entra roller - PIM för Azure roller - PIM för grupper |
| 1.2.3 Regelbaserad dynamisk åtkomst Pt2DoD-organisationer utökar utvecklingen av regler för beslut om dynamisk åtkomst som tar hänsyn till risker. Lösningar som används för dynamisk åtkomst är integrerade med korsfunktionella funktioner för maskininlärning och artificiell intelligens, vilket möjliggör automatiserad regelhantering. Resultat:- Komponenter och tjänster använder regler fullt ut för att möjliggöra dynamisk åtkomst till program och tjänster – Teknik som används för regelbaserad dynamisk åtkomst stöder integrering med AI/ML-verktyg |
Microsoft Entra ID Protection Microsoft Entra ID Protection använder maskininlärningsalgoritmer (ML) för att identifiera användare och inloggningsrisker. Använd riskvillkor i principer för villkorsstyrd åtkomst för dynamisk åtkomst, baserat på risknivå. - Microsoft Entra ID Protection - Riskidentifieringar - Risk-baserade åtkomstprinciper Microsoft Defender XDR Microsoft Defender XDR är en XDR-lösning (extended detection and response). Distribuera Microsoft Defender pre koncové body och Microsoft Defender for Cloud Apps och konfigurera integrations. - Integrera Defender för Endpoint med Defender för Cloud Apps |
| 1.2.4 Företagsstyrningsroller och -behörigheter Pt1DoD-organisationer federerar återstående användar- och gruppattribut efter behov för lösningen Enterprise Identity, Credential och Access Management (ICAM). Den uppdaterade attributuppsättningen används för att skapa universella roller som organisationer kan använda. Kärnfunktionerna i lösningarna identitetsprovider (IdP) och identitet, autentiseringsuppgifter och åtkomsthantering (ICAM) migreras till molntjänster och/eller miljöer som ger bättre motståndskraft och prestanda. Resultat:- Komponentattribut och rolldatalagringsplats federerad med företags-ICAM – Molnbaserad företags-IdP kan användas av molnbaserade och lokala program – Standardiserad uppsättning roller och behörigheter skapas och justeras efter attribut |
Microsoft Entra ID Microsoft Entra ID är en plattform och identitetsprovider för multimoln, centralhanterad identitet, autentiseringsuppgifter och åtkomsthantering (ICAM). Upprätta en hybrididentitet med Microsoft Entra Connect för att fylla i användardata i katalogen. - Microsoft Entra ID - Hybrididentitet Microsoft Entra program Integrera program med Microsoft Entra ID och använda dynamiska säkerhetsgrupper, programroller och anpassade säkerhetsattribut för att styra åtkomsten till program. - Hantera appar - Styr åtkomst till appar Microsoft Entra application proxy För att använda Microsoft Entra ID för appar som använder äldre autentiseringsprotokoll, distribuerar och konfigurerar programproxy eller integrerar SHA-partnerlösningar (secure hybrid access). - SHA: Skydda äldre appar |
| 1.2.5 Företagsstyrningsroller och behörigheter Pt2DoD-organisationer flyttar alla möjliga funktioner i IdP-lösningarna (IdP) och Identity, Credential and Access Management (ICAM) till molnmiljöer. Enklaver/DDIL-miljöer har lokala kapaciteter för att stödja frånkopplade funktioner men hanteras i slutändan av centrala Identity, Credential och Access Management (ICAM)-lösningar. Uppdaterade roller har nu mandat för användning och undantag granskas enligt en riskbaserad metod. Resultat:– Majoriteten av komponenterna använder moln-IdP-funktioner. Där det är möjligt avvecklas lokal IdP– Behörigheter och roller är obligatoriska för användning vid utvärdering av attribut |
Microsoft Entra applikationer Migrera moderna applikationer från Active Directory Federation Services (ADFS) (AD FS) till Microsoft Entra ID och avveckla sedan AD FS-infrastruktur. - Migrera appautentisering från AD FS till Microsoft Entra ID Microsoft Entra applikationsetablering Flytta över återstående ICAM- och programetableringsprocesser från lokala identitetshanteringssystem till Microsoft Entra ID. - API-driven inkommande etablering - Applikationsetablering |
1.3 Multifaktorautentisering
Microsoft Entra ID stöder certifikatbaserad autentisering (CBA) inklusive DoD Common Access Cards (CAC) och Personlig identitetsverifiering (PIV) utan att federera med en annan IdP, för moln- och hybridanvändare (synkroniserade). Microsoft Entra ID stöder flera multifactor phishing-resistenta metoder för lösenordsfri autentisering inklusive CBA, Windows Hello for Business, FIDO2-säkerhetsnycklar och nyckelnycklar.
Du kan skapa principer för villkorlig åtkomst för att framtvinga autentiseringsstyrka och dynamiskt auktorisera åtkomst baserat på användar-, enhets- och miljövillkor, inklusive risknivå.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.3.1 Organisations-MFA/IDPDoD-organisationer skaffar och implementerar en centraliserad IdP-lösning (IdP) och multifaktorlösning (MFA). IdP- och MFA-lösningen kan kombineras i ett enda program eller separeras efter behov förutsatt att automatiserad integrering stöds av båda lösningarna. Både IdP och MFA stöder integrering med Enterprise PKI-funktionen och gör det möjligt att signera nyckelpar av betrodda rotcertifikatutfärdare. Verksamhetskritiska program och tjänster använder IdP- och MFA-lösningen för hantering av användare och grupper. Resultat: – Komponenten använder IdP med MFA för kritiska program/tjänster – Komponenter har implementerat en identitetsprovider (IdP) som möjliggör DoD PKI-multifaktorautentisering – Organisationsstandardiserad PKI för kritiska tjänster |
Microsoft Entra autentiseringsmetoder Konfigurera Microsoft Entra CBA med DoD PKI. Ange den globala skyddsnivån till enfaktorautentisering. Skapa regler för varje DoD-utfärdande CA, eller policy-OID, för att identifiera DoD PKI som en skyddsnivå för multifaktorautentisering. Efter konfigurationen loggar användare in på Microsoft Entra med en DoD CAC. - Authentication strength - Anpassade autentiseringsstyrkor Microsoft Intune Microsoft Entra stöder två metoder för att använda certifikat på en mobil enhet: härledda autentiseringsuppgifter (certifikat på enheten) och maskinvarusäkerhetsnycklar. Om du vill använda PKI-härledda DoD-autentiseringsuppgifter på hanterade mobila enheter använder du Intune för att distribuera DISA Purebred.Härledda autentiseringsuppgifter CBA på iOS-enheter CBA på Android-enheter |
| 1.3.2 Alternativ flexibel MFA Pt1DoD-organisationens identitetsprovider (IdP) stöder alternativa metoder för multifaktorautentisering som uppfyller cybersäkerhetskraven (t.ex. FIPS 140-2, FIPS 197 osv.). Alternativa token kan användas för programbaserad autentisering. Multifaktoralternativ stöder biometrisk kapacitet och kan hanteras med hjälp av en självbetjäningsmetod. Om möjligt flyttas multifaktorproviders till molntjänster i stället för att finnas lokalt. Resultat:- IdP ger användaren självbetjäningsalternativ token- IdP ger alternativ token-MFA för godkända program enligt policy |
Microsoft Entra autentiseringsmetoder Konfigurera Microsoft Entra autentiseringsmetoder för användare att registrera nyckelnycklar (FIDO2-säkerhetsnycklar). Använd valfria inställningar för att konfigurera en princip för nyckelbegränsning för nycklar som är kompatibla med FIPS 140-2. Inloggning med lösenordslös säkerhetsnyckel AutentiseringsmetoderTillfälligt åtkomstpassKonfigurera ett tillfälligt åtkomstpass (TAP) för användare att registrera alternativa lösenordslösa autentiserare utan CAC. Konfigurera TAPVillkorlig åtkomstSkapa en princip för villkorsstyrd åtkomst för att kräva autentiseringsstyrka: DoD CAC för registrering av säkerhetsinformation. Principen kräver att CAC registrerar andra autentiserare som FIDO2-säkerhetsnycklar. Registrering avsäkerhetsinformation Se Microsofts vägledning i 1.3.1. Windows Hello for Business Använd Windows Hello for Business med en PIN-kod eller biometrisk gest för Windows inloggning. Använd enhetshanteringsprinciper för Windows Hello for Business registrering för Windows enheter som tillhandahålls av företaget. - Windows Hello for Business |
| 1.3.3 Alternativ flexibel MFA Pt2Alternativa token använder användaraktivitetsmönster från aktiviteter mellan pelare, till exempel "Användaraktivitetsövervakning (UAM) och UEBA (User & Entity Behavior Analytics)" för att hjälpa till med beslutsfattande för åtkomst (t.ex. inte bevilja åtkomst när mönsteravvikelse inträffar). Den här funktionen utökas även till biometriska aktiverade alternativa token. Resultat: – Användarinaktivitetsmönster implementerade |
Microsoft Entra ID Protection Microsoft Entra ID Protection använder maskininlärning (ML) och hotinformation för att identifiera riskfyllda användare och inloggningshändelser. Använd inloggnings- och användarriskvillkoren för att rikta principer för villkorsstyrd åtkomst till risknivåer. Börja med baslinjeskydd som kräver MFA för riskfyllda inloggningar. - Microsoft Entra ID Protection Distribuera Identity Protection villkorlig åtkomstSkapa en uppsättning riskbaserade villkorliga åtkomstpolicyer som använder bevilja och sessionskontroller för att kräva starkare skydd vid ökad risk. Konfigurera och aktivera riskprinciper Villkorsstyrd åtkomst: Session Villkorsstyrd åtkomst: Beviljande Exempel på riskbaserad princip för villkorsstyrd åtkomst: Medelstor inloggningsrisk – Kräv autentiseringsstyrka: nätfiskeresistent MFA – Kräv kompatibel enhet - Inloggningsfrekvens: 1 timme Hög inloggningsrisk – Kräv autentiseringsstyrka: nätfiskeresistent MFA – Kräv kompatibel enhet – Inloggningsfrekvens: varje gång Hög användarrisk – Kräv autentiseringsstyrka: nätfiskeresistent MFA – Kräv kompatibel enhet – Inloggningsfrekvens: varje gång Microsoft Sentinel Konfigurera en Sentinel-analysregel och spelbok för att skapa en incident för Entra ID Protection-aviseringar när användarrisken är hög. - Microsoft Entra ID Protection connector för Sentinel User:revokeSignInSessions |
1.4 Hantering av privilegierad åtkomst
Microsoft Entra ID Governance möjliggör PAM-funktioner som just-in-time-administration (JIT), berättigandehantering och regelbundna åtkomstgranskningar. Microsoft Entra Privileged Identity Management (PIM) hjälper dig att identifiera hur roller tilldelas i din organisation. Använd PIM för att konvertera jit för permanenta rolltilldelningar, anpassa rolltilldelnings- och aktiveringskrav, samt schemalägga åtkomstgranskningar.
Villkorsstyrd åtkomst framtvingar autentiseringsstyrka, risknivå och kompatibel PAW-enhet (Privileged Access Workstation) för privilegierad åtkomst. Administrativa åtgärder i Microsoft Entra ID registreras i Microsoft Entra granskningsloggar.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.4.1 Implementera system och migrera privilegierade användare Pt1 DoD-organisationer skaffar och implementerar en PAM-lösning (Privileged Access Management) som stöder alla kritiska privilegierade användningsfall. Program-/tjänstintegreringsplatser identifieras för att fastställa status för stöd för PAM-lösningen. Program/tjänster som enkelt kan integreras med PAM-lösningen övergår till att använda lösningen jämfört med statiska och direktprivilegierade behörigheter. Resultat: – PAM-verktyg (Privilege Access Management) implementeras – Program och enheter som stöder och inte stöder PAM-verktyg som identifierats – Program som stöder PAM, använder nu PAM för att kontrollera nödkonton/inbyggda konton |
Privileged Identity Management Distribuera PIM för att skydda Microsoft Entra ID och Azure roller. Använd PIM Discovery och Insights för att identifiera privilegierade roller och grupper. Använd PIM för att hantera identifierade privilegier och konvertera användartilldelningar från permanent till berättigande. PIM-översikt Upptäckt och insikter för roller - Azure resurser Microsoft Intune Distribuera Intune-managed PAW för administration av Microsoft Entra, Microsoft 365 och Azure. Strategi för privilegierad åtkomst Villkorlig åtkomst Använd principen för villkorsstyrd åtkomst för att kräva kompatibla enheter. För att tillämpa PAW, använd enhetsfilter i den villkorliga åtkomstkontrollen för enhetskompatibilitet. Filter för enheter |
| 1.4.2 Implementera system och migrera privilegierade användare Pt2 DoD-organisationer använder inventeringen av program/tjänster som stöds och inte stöds för integrering med pam-lösningen (privileged access management) för att utöka integreringarna. PAM är integrerat med de mer utmanande programmen/tjänsterna för att maximera PAM-lösningstäckningen. Undantag hanteras i en riskbaserad metodisk metod med målet att migrera av och/eller inaktivera program/tjänster som inte stöder PAM-lösningar. Resultat: – Privilegierade aktiviteter migreras till PAM och åtkomsten hanteras fullständigt |
Privileged Identity Management Använd behörighetsåtkomstgrupper och PIM för grupper för att utöka just-in-time-åtkomst (JIT) utöver Microsoft Entra ID och Azure. Använd säkerhetsgrupperna i Microsoft 365, Microsoft Defender XDR eller de som har mappats till privilegierade rollanspråk för applikationer som inte är från Microsoft och är integrerade med Microsoft Entra ID. Rolltilldelningsbara grupper Ta med grupper i PIM Användar- och grupptilldelare till en app Villkorlig åtkomst Använd skyddade åtgärder för att lägga till ytterligare ett skyddslager när administratörer utför åtgärder som kräver mycket privilegierade behörigheter i Microsoft Entra ID. Hantera till exempel principer för villkorlig åtkomst och åtkomstinställningar mellan klientorganisationer. Skyddade åtgärder Skapa en princip för villkorlig åtkomst för användare med aktivt Microsoft Entra rollmedlemskap. Kräv autentiseringsstyrka: nätfiskeresistent MFA och kompatibel enhet. Använd enhetsfilter för att kräva kompatibla PAW:er. Kräv MFA för administratörer Filtrera efter enheter |
| 1.4.3 Realtidsgodkännanden & JIT/JEA Analytics Del 1 Identifiering av nödvändiga attribut (användare, grupper osv.) automatiseras och integreras i PAM-lösningen (Privileged Access Management). Begäranden om behörighetsåtkomst migreras till PAM-lösningen för automatiserade godkännanden och avslag. Resultat: – Identifierade konton, program, enheter och problemdata (med störst risk för DoD-uppdrag) – Använda PAM-verktyg, tillämpad JIT/JEA-åtkomst på högriskkonton – Privilegierade åtkomstbegäranden automatiseras efter behov |
Privileged Identity Mangement Identifiera högriskroller i din miljö, till exempel Microsoft Entra roller, Azure roller som Ägare och Administratör för användaråtkomst, även privilegierade säkerhetsgrupper. Metodtips för roller Privilegierade roller Konfigurera PIM-rollinställningar för att kräva godkännande. - Azure resursrollinställningar - Microsoft Entra rollinställningar PIM för gruppinställningar Microsoft Entra ID Governance Använd åtkomstpaket för att hantera säkerhetsgrupper för rollbehörighet. Den här mekanismen hanterar berättigade administratörer. den lägger till självbetjäningsbegäranden, godkännanden och åtkomstgranskningar för rollberättigande. Berättigandehantering Skapa rolltilldelningsbara grupper för privilegierade roller för att konfigurera behörighetsbegäranden och godkännanden. Skapa en katalog med namnet Berättigade administratörer för privilegierad roll. Lägg till rolltilldelningsbara grupper som resurser. Rolltilldelningsbara grupper Skapa och hantera resurskataloger Skapa åtkomstpaket för rolltilldelningsbara grupper i katalogen Berättigade administratörer för privilegierade roller. Du kan kräva godkännande när användare begär berättigande i berättigandehantering, kräver godkännande vid aktivering i PIM eller båda. Åtkomstpaket |
| 1.4.4 Realtidsgodkännanden & JIT/JEA Analys, del 2 DoD-organisationer integrerar UEBA-lösningar (User & Entity Behavior Analytics) och UAM-lösningar (User Activity Monitoring) med PAM-lösningen (Privileged Access Management) som tillhandahåller analys av användarmönster för beslutsfattande. Resultat: – UEBA eller liknande analyssystem integrerat med PAM-verktyg för JIT/JEA-kontogodkännanden |
Villkorlig åtkomst Definiera en autentiseringskontext för privilegierad åtkomst. Skapa en eller flera principer för villkorlig åtkomst som är inriktade på kontexten för privilegierad åtkomstautentisering. Använd riskvillkor i principen och tillämpa beviljande- och sessionskontroller för privilegierad åtkomst. Vi rekommenderar att du behöver autentiseringsstyrka: nätfiskeresistent MFA, kompatibel arbetsstation för privilegierad åtkomst. Konfigurera autentiseringskontext Se Microsofts vägledning i 1.4.1. Om du vill blockera privilegierad åtkomst när inloggningsrisken är hög skapar du fler principer för villkorlig åtkomst som riktar sig mot kontexten för privilegierad åtkomstautentisering med ett villkor för hög inloggningsrisk. Upprepa det här steget med en princip för hög användarrisk. Policydistribution Privileged Identity Management Konfigurera PIM-rollinställningar för att kräva autentiseringskontext. Den här inställningen tillämpar principer för villkorsstyrd åtkomst för den valda autentiseringskontexten vid rollaktivering. Kräv autentiseringskontext |
1.5 Identitetsfederation och användarautentiseringsuppgifter
Microsoft Entra ID spelar en nyckelroll i identitetslivscykelhantering (ILM). En Microsoft Entra tenant är en hyperskalig molnkatalogtjänst, identitets-, autentiserings- och åtkomsthanteringslösning (ICAM), samt en identitetsleverantör (IdP). Det stöder etablering mellan kataloger och applikationsetablering för att hantera livscykeln för interna användare i Microsoft Entra ID och andra appar.
Microsoft Entra ID Governance funktioner hjälper dig att hantera åtkomstlivscykeln för rättigheter som appar, Microsoft Teams och medlemskap i säkerhetsgrupper. Berättigandehantering kan också användas för att registrera och styra externa gäster. Du kan blockera åtkomst och ta bort gästanvändarobjekt när deras senaste åtkomstpaket tas bort. Information om hur din organisation kan migrera ILM-funktioner till Microsoft Entra ID finns i Road till molnet.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.5.1 Livscykelhantering för organisationsidentitet DoD-organisationer upprättar en process för livscykelhantering av användare både privilegierade och standard. Med hjälp av organisationsidentitetsprovidern (IdP) implementeras processen och följs av det maximala antalet användare. Alla användare som faller utanför standardprocessen godkänns genom riskbaserade undantag som regelbundet utvärderas för inaktivering. Resultat: – Standardiserad livscykelprocess för identitet |
Microsoft Entra ID Standardisera kontots livscykel för identiteter, inklusive användare, administratörer, externa användare och applikationsidentiteter (Service Principals). - Identitetshantering för livscykel - Identity and access management ops Microsoft Entra ID Governance Etablera regelbundna åtkomstgranskningar för privilegierade användare och program i en klientorganisation. - Åtkomstgranskningar |
| 1.5.2 Livscykelhantering för företagsidentitet Pt1DoD Enterprise samarbetar med organisationer för att granska och justera befintliga processer, principer och standarder för identitetslivscykel. En färdig överenskommen princip och stödjande process utvecklas och följs av DoD-organisationerna. Med hjälp av lösningarna centraliserad eller federerad identitetsleverantör (IdP) och IdAM-lösningar implementerar DoD-organisationer processen för livscykelhantering för så många identiteter, grupper och behörigheter som möjligt. Undantag till principen hanteras i en riskbaserad metodisk metod. Resultat:- Automatiserade livscykelprocesser för identitetshantering - Integrerad med Enterprise ICAM-process och -verktyg |
Microsoft Entra ID Om din organisation använder služba Active Directory, synkronisera användare till Microsoft Entra ID med Microsoft Entra Connect Sync eller Microsoft Entra Connect Cloud Sync. Observera: Synkronisera inte privilegierade služba Active Directory-konton, eller tilldela privilegierade molnroller till synkroniserade konton. - Connect Sync - Cloud Sync - Skydda Microsoft 365 från lokala attacker - Minska attackytan Privileged Identity Management Hantera administrativ åtkomst med PIM. Upprätta en åtkomstgranskningstakt för privilegierade Microsoft Entra och Azure roller. - Privilegerade konton Microsoft Entra autentiseringsmetoder Använda molnbaserade nätfiskeresistenta MFA-metoder. Konfigurera Microsoft Entra certifikatbaserad autentisering (CBA) med DoD Common Access Cards (CACs) för att registrera andra lösenordslösa autentiseringsuppgifter. Se Microsoft-vägledning i 1.3.2. |
| 1.5.3 Livscykelhantering för företagsidentitet Pt2DoD-organisationer integrerar ytterligare de kritiska automatiseringsfunktionerna i IdP-lösningarna (IdP) och Icam-lösningar (Identity, Credential and Access Management) efter enterprise lifecycle management-processen för att möjliggöra automatisering och analys av företag. Primära processer för livscykelhantering för identiteter är integrerade i den molnbaserade Enterprise ICAM-lösningen. Resultat:- Integrering med kritiska IDM/IDP-funktioner – Primära ILM-funktioner är molnbaserade |
Microsoft Entra ID Governance Använd rättighetshantering och åtkomstgranskningar för att hantera organisationens livscykel för användaråtkomst och externa livscykeler för gästidentiteter. - Entitlement management - External användaråtkomststyrning Hanterade identiteter Använd hanterade identiteter för Azure-resurser och arbetslast-ID-federation för att minska risken för hantering av programautentiseringsuppgifter. - Hanterade identiteter - Arbetslast-ID-federation Programhanteringspolicy Konfigurera programhanteringsprinciper för att styra vilka typer av autentiseringsuppgifter som läggs till i program i klientorganisationen. Använd begränsningen passwordAddition för att kräva certifikatbehörigheter för applikationer.API-metoder för appautentiseringAutentiseringscertifikat för appar |
| 1.5.4 Livscykelhantering för företagsidentitet Pt3DoD-organisationer integrerar återstående processer för livscykelhantering av identiteter med lösningen Enterprise Identity, Credential och Access Management. Enklaver/DDIL-miljöer som fortfarande är auktoriserade att fungera integreras med Enterprise ICAM genom att använda lokala anslutningar till molnmiljön. Resultat:– Alla ILM-funktioner flyttas till molnet efter behov – Integrering med alla IDM/IDP-funktioner |
Microsoft Entra app provisioning Använd Microsoft Entra app provisioning för att synkronisera identiteter till SCIM-, SQL-, LDAP-, PowerShell- och webbtjänster. Använd den API-drivna appen för att etablera användare i olika služba Active Directory instances. - Provision-appar - - - Konfigurera API-driven etableringsapp |
1.6 Beteende, kontextuellt ID och biometri
Microsoft Entra ID Protection hjälper dig att identifiera, åtgärda och förhindra identitetshot med hjälp av maskininlärning (ML) och hotinformation. Den här funktionen identifierar realtidsrisker vid användarinloggning och offlinerisker som beräknas över tid. Riskerna omfattar tokenavvikelser, ovanliga inloggningsegenskaper, omöjliga resor, misstänkt användarbeteende med mera.
Identitetsskydd är integrerat med Microsoft Defender XDR för att visa identitetsrisker som identifierats av andra komponenter i Microsoft Defender produktfamilj.
Mer information finns i Vad är riskidentifieringar?
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.6.1 Implementera användar- och entitetsbeteendeanalys (UEBA) och verktyg för användaraktivitetsövervakning (UAM). DoD-organisationer skaffar och implementerar UEBA-lösningar och UAM-lösningar. Den första integrationspunkten med Enterprise IdP har slutförts för framtida användning i beslutsfattandet. Outcome:- UEBA- och UAM-funktioner implementeras för Enterprise IDP |
Microsoft Entra ID Protection Implementera Microsoft Entra ID Protection för att möjliggöra hantering av risker i realtid och i offline-läge för användare och inloggningshändelser. Utöka identifiering av identitetsrisker till programidentiteter (tjänsthuvudnamn) med hjälp av Microsoft Entra Workload ID, Workload Identities Premium edition. - Säkra arbetsbelastningsidentiteter - Riskbaserad policy för arbetsbelastningsidentiteter Se Microsofts vägledning i 1.3.3. Microsoft Defender for Cloud Apps Distribuera Defender for Cloud Apps och konfigurera integrationer med Microsoft Defender pre koncové body och externa lösningar. Konfigurera principer för avvikelseidentifiering i Defender för Cloud Apps. - Integrera Defender för Endpoint med Defender för Cloud Apps - Integreringar av externa lösningar - Identifiera misstänkt användaraktivitet med UEBA Microsoft Defender pre koncové body Registrera slutpunkter till Defender för Endpoint. Konfigurera integreringar mellan Defender för Endpoint och Microsoft Intune. - Defender för Endpoint och andra lösningar Microsoft Intune Konfigurera integreringar med Defender för Endpoint och använd Defender för Endpoint-datorriskpoäng i enhetens efterlevnadsprincip. - Defender för slutpunktsregler Villkorlig åtkomst Skapa principer för villkorlig åtkomst för att kräva kompatibla enheter. Innan åtkomst beviljas kräver kontrollen en enhet som har markerats som kompatibel i Microsoft Intune. Integrering mellan Defender för Endpoint och Intune ger en övergripande bild av enhetens hälsotillstånd och risknivå baserat på efterlevnadstillståndet. - Efterlevnadsprinciper för att ange regler för Inune-hanterade enheter> Microsoft Sentinel Ansluta datakällor till Sentinel och aktivera UEBA för granskningsloggar. inloggningsloggar, Azure aktivitet och säkerhetshändelser. - Enable UEBA - Avancerade hot med UEBA |
| 1.6.2 Övervakning av användaraktivitet Pt1DoD-organisationer integrerar UEBA-lösningar (User & Entity Behavior Analytics) och UAM(User Activity Monitoring) med organisationsidentitetsprovidrar (IdP) för utökad synlighet efter behov. Analyser och data som genereras av UEBA och UAM för kritiska program och tjänster är integrerade med just-in-time- och Just-Enough-Access-lösningen som förbättrar beslutsfattandet ytterligare. Resultat: – UEBA är integrerat med organisations-IDP:er efter behov – UEBA är integrerat med JIT/JEA för kritiska tjänster |
Privileged Identity Management Deploy PIM och integrera privilegierade roller. Definiera autentiseringskontext för privilegierad åtkomst. Använd riskvillkor i autentiseringskontexten och konfigurera PIM-rollinställningar för att kräva autentiseringskontext vid aktivering. |
| 1.6.3 Övervakning av användaraktivitet Pt2DoD-organisationer fortsätter analysanvändningen från UEBA-lösningar (User & Entity Behavior Analytics) och UAM(User Activity Monitoring) med hjälp av genererade data för alla övervakade program och tjänster när beslutsfattandet sker i just-in-time- och just-enough-access-lösningen. Resultat:- UEBA/Entitetsövervakning är integrerat med JIT/JEA för alla tjänster |
Privileged Identity Management Använd PIM för grupper för att utöka just-in-time-åtkomst (JIT) till program som använder approller. Tilldela grupper, som hanteras av PIM, till de privilegierade approllerna.PIM för grupperLägg till approller i en app |
1.7 Minst privilegierad åtkomst
Åtkomst till program som använder Microsoft Entra ID nekas som standard. Microsoft Entra ID Governance funktioner som rättighetshantering och åtkomstgranskningar säkerställer att åtkomsten är tidsbunden, överensstämmer med principen om lägsta behörighet och tillämpar kontroller för uppdelning av uppgifter.
Använd Microsoft Entra inbyggda roller för att tilldela behörigheter med minst behörighet per uppgift. Med administrativa enheter kan du omfångsbegränsa resursbaserade behörigheter för Microsoft Entra ID användare och enheter.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.7.1 Neka användare som standardprincipDoD-organisationer granskar intern användar- och gruppanvändning för behörigheter och återkallar behörigheter när det är möjligt. Den här aktiviteten omfattar återkallande och/eller avaktivering av överflödiga behörigheter och åtkomst för program-/tjänstbaserade identiteter och grupper. Om möjligt inaktiveras statiska privilegierade användare eller minskas behörigheter för att förbereda sig för framtida regelbaserad/dynamiskt baserad åtkomst. Resultat:- Program som uppdateras för att neka funktioner/data som kräver specifika roller/attribut för åtkomst – Lägre standardbehörighetsnivåer implementeras– Program/tjänster har granskat/granskat alla privilegierade användare och tagit bort de användare som inte behöver den åtkomstnivån |
Microsoft Entra ID Granska och begränsa standardbehörigheter för användare och gäster i Microsoft Entra ID. Begränsa användarens medgivande till applikationer och granska aktuellt medgivande i organisationen. - Standardanvändarbehörigheter - Begränsningar för användarmedgivande Microsoft Entra applikationer Åtkomst till Microsoft Entra applikationer är nekad som standard. Microsoft Entra ID verifierar rättigheter och tillämpar principer för villkorlig åtkomst för att auktorisera resursåtkomst. - Integrera appar - Appintegrering Microsoft Entra ID Governance Använd identitetsstyrningsfunktionen för berättigandehantering för att hantera identitets- och åtkomstlivscykler. Hitta arbetsflöden för automatiserade åtkomstbegäranden, åtkomsttilldelningar, granskningar, och expiration. - Entitlement management - Access reviews Anpassade roller Använd Microsoft Entra ID inbyggda roller för resurshantering. Men om roller inte uppfyller organisationens behov eller för att minimera behörigheter för dina administrativa användare skapar du en anpassad roll. Bevilja detaljerade behörigheter för anpassade roller för att hantera användare, grupper, enheter, applikationer och mer. - Custom roles Administrative units En administrativ enhet är en Microsoft Entra-resurs som innehåller andra Microsoft Entra-resurser, till exempel användare, grupper eller enheter. Använd administrativa enheter för att delegera behörigheter till en delmängd administratörer baserat på organisationens struktur.Administrativa enheter Begränsade hanteringsenheter Skapa eller ta bort administrativa enheter Privileged Identity Management Använd PIM Discovery och Insights för att hantera privilegier och minska antalet administratörer. Konfigurera PIM-aviseringar när privilegierade roller tilldelas utanför PIM. - Privilegerad åtkomst för hybrid och moln - Säkerhetsaviseringar för Microsoft Entra-roller - Säkerhetsaviseringar för Azure-roller Microsoft Defender for Cloud Apps Granska behörigheter som beviljats applikationer. Undersöka riskfyllda OAuth-program i Defender för Cloud Apps. - Granska behörigheter som beviljats appar - Undersök riskfyllda OAuth-appar Microsoft Sentinel Använd PIM för att tilldela Azure roller för Sentinel-åtkomst och regelbundet granska frågor och aktiviteter. - Granska frågor och aktiviteter |
1.8 Kontinuerlig autentisering
Microsoft Entra ID använder kort- och långlivade token för att autentisera användare regelbundet till program och tjänster som Microsoft Entra skyddar. Microsoft Entra ID har mekanismen för utvärdering av kontinuerlig åtkomst (CAE) för att förbättra standardprotokollet. Principmotorn svarar på miljöförändringar nästan i realtid och tillämpar anpassningsbara åtkomstprinciper.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.8.1 Enkel autentiseringDoD-organisationer använder grundläggande autentiseringsprocesser för att autentisera användare och NPE minst en gång per session (t.ex. inloggning). Det är viktigt att användare som autentiseras hanteras av den parallella aktiviteten "Organisations-MFA/IDP" med organisationsidentitetsprovidern (IdP) jämfört med program-/tjänstbaserade identiteter och grupper. Resultat:– Autentisering implementerad i program per session |
Microsoft Entra ID Microsoft Entra ID är en centraliserad identitetsprovider (IdP) som underlättar enkel inloggning (SSO) mellan Microsofts molnprogram och program som din organisation använder. - Microsoft Entra ID Single sign-on Autentiseringsmetod för enkel inloggning (SSO) gör att användarna kan använda sina Microsoft Entra ID autentiseringsuppgifter för att autentisera program och tjänster. Apparna kan vara SaaS, anpassade verksamhetsspecifika program eller lokala program. Använd funktioner för Microsoft Entra-autentisering och Nulová dôvera (Zero Trust) för att ge säker och enkel åtkomst till applikationer. - Vad är SSO (enkel inloggning)? - Microsoft Entra integrering med autentiseringsprotokoll Microsoft Entra applikationsetablering Microsoft Entra applikationsetablering skapar, uppdaterar och tar bort användare, roller och grupper i SaaS-applikationer samt anpassade eller lokala applikationer. Använd Microsoft Entra ID som centraliserad identitetskälla för appar. Minimera program- eller tjänstidentiteter och användarkonton. - Automatisk tilldelning - Apptilldelning Microsoft Entra ID Workload Tjänstens principer och hanterade identiteter är icke-person enhet (NPE) identiteter i Microsoft Entra. Använd tjänstens huvudnamn för automatisk (icke-interaktiv) åtkomst till API:er som skyddas av Microsoft Entra. - Workload identities - Service Principals i Microsoft Entra ID |
| 1.8.2 Periodisk autentiseringDoD-organisationer aktiverar periodautentiseringskrav för program och tjänster. ** Traditionellt baseras dessa på varaktighet och/eller tidsgränser, men andra period-baserade analyser kan användas för att förnya autentiseringen av användarsessioner. Resultat:– Autentisering implementerad flera gånger per session baserat på säkerhetsattribut |
Microsoft Entra-applikationer Microsoft Entra-applikationer hanterar automatiskt sessionsuppdatering utan användarinteraktion. Se Microsofts vägledning i 1.8.1. Conditional Access Konfigurera inloggningsfrekvens sessionskontroll i villkorlig åtkomst för att återautentisera användarsessioner. Använd funktionen när inloggningar är riskfyllda eller om en användarenhet är ohanterad eller inkompatibel.Konfigurera autentiseringssessionshanteringÅtkomstprinciper i Defender för molnet-appar |
| 1.8.3 Kontinuerlig autentisering Pt1DoD-organisationers program/tjänst använder flera sessionsautentiseringar baserat på säkerhetsattribut och begärd åtkomst. Behörighetsändringar och associationella transaktionsbegäranden krävde ytterligare autentiseringsnivåer, till exempel multifaktorautentisering (MFA) som skickas till användarna. Resultat:- Transaktionsautentisering implementerad per session baserat på säkerhetsattribut | Kontinuerlig åtkomstutvärderingCAE bygger på en OpenID-standard som förbättrar tidsbaserade mekanismer för tokenutgång och förnyelse för att uppnå ett snabbare svar på policyöverträdelser. CAE kräver en ny åtkomsttoken som svar på kritiska händelser, till exempel en användare som flyttar från en betrodd nätverksplats till en som inte är betrodd. Implementera CAE med klientprogram och serverdelstjänstens API:er. - Kontinuerlig åtkomstutvärdering - Kritiska händelseutvärderingar Microsoft Office program som använder Microsoft Graph API, Outlook Online API, och SharePoint Online-API stöder CAE. Utveckla program med de senaste Microsoft-autentiseringsbiblioteken (MSAL) för åtkomst till CAE-aktiverade API:er. - CAE för Microsoft 365 - CAE-aktiverade API:er i appar Villkorlig åtkomst Definiera och använda autentiseringskontext för villkorlig åtkomst för att skydda känsliga SharePoint-platser, Microsoft Teams, Microsoft Defender for Cloud Apps-skyddade program, PIM-rollaktivering och anpassade program. - Autentiseringskontext - Principer för SharePoint-platser och OneDrive - Sessionsprinciper i Defender for Cloud Apps - Kräva autentiseringskontext för PIM-roller - Autentiseringskontext guide Använd skyddade åtgärder för att lägga till ytterligare ett skyddslager när administratörer utför åtgärder som kräver behörigheter med hög privilegier i Microsoft Entra ID, till exempel hantera principer för villkorsstyrd åtkomst och åtkomstinställningar mellan klientorganisationer. Skydda användaråtgärder som att registrera säkerhetsinformation och ansluta enheter. - Skyddade åtgärder - Målresurs Privileged Identity Management Kräv autentiseringskontext för aktivering av PIM-roll. Se Microsofts riktlinjer i 1.4.4. |
| 1.8.4 Kontinuerlig autentisering Pt2DoD-organisationer fortsätter att använda transaktionsbaserad autentisering för att inkludera integrering, till exempel användarmönster. Resultat:- Transaktionsautentisering implementerad per session baserat på säkerhetsattribut, inklusive användarmönster |
Microsoft Entra ID Protection När Microsoft Entra ID Protection identifierar avvikande, misstänkt eller riskfyllt beteende ökar användarrisknivån. Skapa principer för villkorsstyrd åtkomst med riskvillkor, vilket ökar skyddet med risknivå.Riskidentifieringar Se Microsoftsvägledning i 1.3.3.Kontinuerlig åtkomstutvärderingRisknivåökning är en kritisk CAE-händelse. Tjänster som implementerar CAE, till exempel Exchange Online API, kräver att klienten (Outlook) autentiseras igen för nästa transaktion. Principer för villkorlig åtkomst för den ökade risknivån uppfylls innan Microsoft Entra ID utfärdar en ny åtkomsttoken för Exchange Online access. - Kritisk händelseutvärdering |
1.9 Integrerad ICAM-plattform
Microsoft Entra ID stöder certifikatautentisering med certifikat som utfärdats av en extern offentlig nyckelinfrastruktur (PKI) för användare och icke-personentiteter (NPE). NPE:er i Microsoft Entra ID är program- och enhetsidentiteter. Microsoft Entra External ID inställningar för åtkomst mellan klientorganisationer hjälper organisationer med flera klienter, till exempel DoD, att samarbeta sömlöst mellan klientorganisationer.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
| 1.9.1 Enterprise PKI/IDP Pt1DoD Enterprise samarbetar med organisationer för att implementera PKI-lösningar (Enterprise Public Key Infrastructure) och IdP (IdP) på ett centraliserat och/eller federerat sätt. Enterprise PKI-lösningen använder en enda eller uppsättning rotcertifikatutfärdare på företagsnivå som sedan kan vara betrodda av organisationer för att skapa mellanliggande certifikatutfärdare. Identitetsproviderlösningen kan antingen vara en enda lösning eller federerad uppsättning organisations-IDP:er med standardåtkomstnivå i organisationer och standardiserade attributuppsättningar. Organisationers IDP:er och PKI-certifikatutfärdare är integrerade med Enterprise IdP- och PKI-lösningarna. Resultat:- Komponenter använder IdP med MFA för alla program/tjänster – Organisations-MFA/PKI integrerat med Enterprise MFA/PKI – Organisationsstandardiserad PKI för alla tjänster | - Appautentiseringsmetoder API Microsoft Intune Intune stöder PKCS-certifikat (private and public-key cryptography standards). - PKCS-certifikat |
| 1.9.2 Enterprise PKI/IDP Pt2DoD-organisationer aktiverar biometriskt stöd i identitetsprovidern (IdP) för verksamhets-/uppgiftskritiska program och tjänster efter behov. Biometriska funktioner flyttas från organisationslösningar till företaget. MFA (Organizational Multi-Factor) och PKI (Public Key Infrastructure) inaktiveras och migreras efter behov till Enterprise. Resultat:- Kritiska organisatoriska tjänster integrerade med biometriska- Inaktivera organisationens MFA/PKI efter behov i stället för företagets MFA/PKI- Företagets biometriska funktioner implementerade |
Microsoft Entra ID Microsoft stöder biometri i flera komponenter som är kompatibla med autentisering med Microsoft Entra ID. Autentiseringsmetoder Microsoft Entra ID stöder maskinvarunycklar (FIDO2-säkerhetsnycklar) som använder närvaro eller fingeravtryck. - FIDO-säkerhetsnycklar Windows Hello for Business Windows Hello for Business använder biometriska gester som fingeravtrycks- och ansiktsigenkänning. - Inställningar för identitetsskyddsprofil MacOS MacOS-enheter har biometri, som Touch ID, för att logga in med en enhetsbunden autentisering. - SSO-plugin för Apple-enheter Microsoft Authenticator Mobilenheter och Authenticator använder pek- och ansiktsigenkänning för lösenordsfri autentisering. Stöd för passkey är en annan nätfiskeresistent autentiseringsmetod i Authenticator. Authenticator Passwordless sign-in Enhanced phishing-resistant authentication |
| 1.9.3 Enterprise PKI/IDP Pt3DoD-organisationer integrerar återstående program/tjänster med biometriska funktioner. Alternativa MFA-token (Multi-Factor) kan användas. Resultat:- Alla organisationstjänster integrerar med biometri |
Microsoft Entra – verifierat ID Decentraliserade identitetsscenarier med verifierat ID kan kräva ansiktsverifiering vid presentation av autentiseringsuppgifter. Verifierat IDAnsiktskontroll |
Nästa steg
Konfigurera Microsofts molntjänster för DoD Nulová dôvera (Zero Trust)-strategin:
- Inledning
- Användare
- Enhet
- Applikationer och arbetsuppgifter
- data
- Nätverk
- Automatisering och orkestrering
- Synlighet och analys