Configurer les contrôles d’identification et d’authentification pour atteindre le niveau d’impact élevé FedRAMP avec Microsoft Entra ID
L’identification et l’authentification sont primordiales pour atteindre un niveau d’impact élevé FedRAMP (Federal Risk and Authorization Management Program).
La liste suivante de contrôles et d’améliorations de contrôle de la famille Identification et authentification peut nécessiter une configuration dans votre locataire Microsoft Entra.
| Famille de contrôle | Description |
|---|---|
| IA-2 | Identification et authentification (utilisateurs de l’organisation) |
| IA-3 | Identification et authentification des appareils |
| IA-4 | Gestion des identificateurs |
| IA-5 | Gestion des authentificateurs |
| IA-6 | Commentaires au sujet des authentificateurs |
| IA-7 | Authentification du module de chiffrement |
| IA-8 | Identification et authentification (utilisateurs extérieurs à l’organisation) |
Chaque ligne du tableau suivant fournit des orientations prescriptives pour vous aider à élaborer la réponse de votre organisation aux responsabilités partagées concernant le contrôle ou le renforcement du contrôle.
Configurations
| ID et description du contrôle FedRAMP | Aide et recommandations relatives à Microsoft Entra |
|---|---|
| Identification et authentification de l’utilisateur IA-2 Le système d’information identifie et authentifie de manière unique les utilisateurs de l’organisation (ou les processus intervenant pour le compte des utilisateurs de l’organisation). |
Identifiez et authentifiez de manière unique les utilisateurs ou les processus agissant au nom des utilisateurs. Microsoft Entra ID identifie de façon unique les objets de principal de service et d’utilisateur directement. Microsoft Entra ID fournit plusieurs méthodes d’authentification, et vous pouvez configurer des méthodes conformes au niveau d’assurance d’authentification 3 du National Institute of Standards and Technology (NIST). Identificateurs Authentification et authentification multifacteur |
| IA-2(1) Le système d’information implémente l’authentification multifacteur pour l’accès réseau aux comptes privilégiés. IA-2(3) Le système d’information implémente l’authentification multifacteur pour l’accès local aux comptes privilégiés. |
Authentification multifacteur pour tous les accès aux comptes privilégiés. Configurez les éléments suivants pour une solution complète afin de garantir que tous les accès aux comptes privilégiés requièrent l’authentification multifacteur. Configurer des stratégies d’accès conditionnel pour exiger de tous les utilisateurs une authentification multi-facteur. Avec l’exigence d’activation Privileged Identity Management, l’activation du compte avec privilège n’est pas possible sans un accès au réseau, si bien que l’accès local n’est jamais privilégié. Authentification multifacteur et Privileged Identity Management |
| IA-2(2) Le système d’information implémente l’authentification multifacteur pour l’accès réseau aux comptes non privilégiés. IA-2(4) Le système d’information implémente l’authentification multi-facteur pour l’accès local aux comptes non privilégiés. |
Implémenter l’authentification multifacteur pour tous les accès à des comptes non privilégiés Configurez les éléments suivants en tant que solution globale pour garantir une authentification multi-facteur de tous les accès à des comptes non privilégiés. Configurer des stratégies d’accès conditionnel pour exiger l’authentification multifacteur pour tous les utilisateurs. Microsoft recommande l’utilisation d’un authentificateur matériel de chiffrement multifacteur (clés de sécurité FIDO2, Windows Hello Entreprise (avec module TPM matériel) ou carte à puce) pour atteindre le niveau AAL3. Si votre organisation est entièrement basée sur le Cloud, nous vous recommandons d’utiliser des clés de sécurité FIDO2 ou Windows Hello Entreprise. Windows Hello Entreprise n’a pas été validé au niveau de sécurité FIPS 140 requis et les clients des agences fédérales doivent procéder à l’évaluation des risques avant d’accepter cet authentificateur en tant qu’AAL3. Pour plus d’informations sur la validation FIPS 140 de Windows Hello Entreprise, consultez Microsoft NIST AALs. Les instructions relatives aux stratégies MDM diffèrent légèrement selon les méthodes d’authentification. Carte à puce / Windows Hello Entreprise Hybride uniquement Carte à puce uniquement Clé de sécurité FIDO2 Méthodes d’authentification Ressources supplémentaires : |
| IA-2(5) Lorsqu’un authentificateur de groupe est utilisé, l’organisation demande aux personnes de s’authentifier au moyen d’un authentificateur individuel. |
Lorsque plusieurs utilisateurs ont accès à un mot de passe de compte partagé ou de groupe, exigez que chaque utilisateur s’authentifie d’abord à l’aide d’un authentificateur individuel. Utiliser un compte individuel par utilisateur. Si un compte partagé est requis, Microsoft Entra ID autorise la liaison de plusieurs authentificateurs à un compte de sorte que chaque utilisateur dispose d’un authentificateur individuel. Ressources |
| IA-2(8) Le système d’information implémente des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés. |
Implémentez des mécanismes d’authentification capables d’offrir une protection contre les attaques par rejeu pour l’accès réseau aux comptes privilégiés. Configurer des stratégies d’accès conditionnel pour exiger de tous les utilisateurs une authentification multi-facteur. Toutes les méthodes d’authentification Microsoft Entra aux niveaux AAL 2 et 3 utilisent des nonces ou des défis offrant une protection contre les attaques par relecture. Références |
| IA-2(11) Le système d’information implémente l’authentification multi-facteur pour l’accès distant vers les comptes avec ou sans privilèges. En outre, l’un des facteurs est fourni par un appareil séparé du système permettant l’accès. Cet appareil satisfait l’[Affectation FedRAMP : FIPS 140-2, certification NIAP ou approbation NSA*]. *NIAP (National Information Assurance Partnership) Exigences et conseils supplémentaires pour FedRAMP : Conseils : PIV = appareil distinct. Reportez-vous à NIST SP 800-157 : lignes directrices relatives aux informations d'identification lors de la vérification de l'identité personnelle (PIV). FIPS 140-2 signifie validé par le programme CMVP (Cryptographic Module Validation Program). |
Implémentez l’authentification multifacteur Microsoft Entra pour accéder à distance aux ressources déployées par le client afin que l’un des facteurs soit fourni par un appareil distinct du système obtenant un accès lorsque l’appareil répond à la norme FIPS-140-2, à la certification NIAP ou à l’approbation NSA. Consultez les conseils relatifs à IA-02 (1-4). Les méthodes d’authentification Microsoft Entra à prendre en compte au niveau AAL3 en termes de respect des exigences des appareils sont les suivantes : Clés de sécurité FIDO2 Références |
| **IA-2(12)* Le système d’information accepte et vérifie par voie électronique les informations d’identification de la vérification d’identité personnelle (PIV). IA-2 (12) Exigences et conseils supplémentaires pour FedRAMP : Instructions : incluez la carte d’accès commun (CAC), c’est-à-dire l’implémentation technique du DoD de PIV/FIPS 201/HSPD-12. |
Acceptez et vérifiez les informations d’identification pour la vérification d’identité personnelle (PIV). Ce contrôle n’est pas applicable si le client ne déploie pas les informations d’identification PIV. Configurez l’authentification fédérée à l’aide des services de fédération Active Directory (AD FS) pour accepter le modèle PIV (authentification par certificat) en tant que méthodes d’authentification principale et multifacteur, puis émettez la revendication d’authentification multifacteur (MultipleAuthN) lorsque la valeur PIV est utilisée. Configurez le domaine fédéré dans Microsoft Entra ID avec le paramètre federatedIdpMfaBehavior sur Ressources |
| IA-3 Identification et authentification des appareils Le système d’information identifie et authentifie de manière unique [Affectation : types d’appareils et/ou appareils spécifiques définis par l’organisation] avant d’établir une connexion [Sélection (une ou plusieurs réponses) : locale ; distante ; réseau]. |
Implémenter l’identification et l’authentification des appareils avant d’établir une connexion. Configurez Microsoft Entra ID de façon à identifier et à authentifier les appareils inscrits auprès de Microsoft Entra, joints à Microsoft Entra, et à jonction hybride Microsoft Entra. Ressources |
| IA-04 Gestion des identificateurs L’organisation gère les identificateurs de système d’information pour les utilisateurs et les appareils par les actions suivantes : (a.) Réception de l’autorisation de l’[Affectation FedRAMP au minimum, l’ISSO (ou un rôle similaire au sein de l’organisation)] pour attribuer un identificateur d’individu, de groupe, de rôle ou d’appareil ; (b.) Sélection d’un identificateur d’un individu, d’un groupe, d’un rôle ou d’un appareil ; (c.) Attribution de l’identificateur à l’individu, au groupe, au rôle ou à l’appareil prévus ; (d.) Empêchement de la réutilisation des identificateurs pour [Affectation FedRAMP : au moins deux (2) ans] ; et (e.) Désactivation de l’identificateur après [Affectation FedRAMP : trente-cinq (35) jours (voir exigences et conseils supplémentaires)] IA-4e Exigences et conseils supplémentaires pour FedRAMP : Exigence : le fournisseur de services définit la période d’inactivité des identificateurs d’appareil. Instructions : concernant les clouds DoD, consultez le site web cloud du DoD pour connaître les exigences spécifiques du DoD qui vont au-delà de FedRAMP. IA-4(4) L’organisation gère les identificateurs individuels en identifiant chaque individu de manière unique en tant qu’[Affectation FedRAMP : entrepreneurs ; ressortissants étrangers]. |
Désactiver les identificateurs de compte après 35 jours d’inactivité et empêcher leur réutilisation pendant 2 ans. Gérer les identificateurs individuels en identifiant de manière unique chaque individu (par exemple, sous-traitants et ressortissants étrangers). Attribuez et gérez les identificateurs de compte individuels et les états dans Microsoft Entra ID conformément aux stratégies organisationnelles existantes définies dans AC-02. Suivre AC-02 (3) pour désactiver automatiquement les comptes d’utilisateur et d’appareil après 35 jours d’inactivité. Veillez à ce que la stratégie organisationnelle gère tous les comptes à l’état désactivé pendant au moins 2 ans. À l’issue de cette période, vous pouvez les supprimer. Déterminer l’inactivité |
| IA-5 Gestion des authentificateurs L’organisation gère les authentificateurs du système d’information par les actions suivantes : (a.) Vérification, dans le cadre de leur distribution initiale, de l’identité de la personne, du groupe, du rôle ou de l’appareil recevant l’authentificateur ; (b.) Établissement du contenu initial de l’authentificateur pour les authentificateurs définis par l’organisation ; (c.) Vérification que les authentificateurs disposent d’une force de mécanisme suffisante pour leur utilisation prévue ; (d.) Établissement et implémentation des procédures administratives pour leur distribution initiale, les authentificateurs perdus, compromis ou endommagés et la révocation des authentificateurs ; (e.) Modification du contenu par défaut des authentificateurs avant l’installation du système d’information ; (f.) Établissement de restrictions de durée de vie minimale et maximale et conditions de réutilisation pour les authentificateurs ; (g.) Modification/actualisation des authentificateurs [Affectation : période définie par l’organisation par type d’authentificateur]. (h.) Protection du contenu de l’authentificateur contre toute divulgation et modification non autorisée ; (i.) Exigence des individus qu'ils prennent, et que les appareils mettent en œuvre, des mesures de sécurité spécifiques pour protéger les authentificateurs ; et (j.) Modification des authentificateurs pour les comptes de groupe/rôle lors de changements de l’appartenance à ces comptes. IA-5 Exigences et conseils supplémentaires pour FedRAMP : Exigence : les authentificateurs doivent être conformes au NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. Lien https://pages.nist.gov/800-63-3 |
Configurer et gérer les authentificateurs du système d’information. Microsoft Entra ID prend en charge différentes méthodes d’authentification. Vous pouvez utiliser vos stratégies organisationnelles existantes pour la gestion. Consultez les conseils relatifs à la sélection de l’authentificateur dans IA-02 (1-4). Autorisez les utilisateurs dans le cadre d’une inscription combinée pour SSPR et l’authentification multifacteur Microsoft Entra ID, et demandez aux utilisateurs d’inscrire un minimum de deux méthodes d’authentification multifacteur acceptables pour faciliter la correction automatique. Vous pouvez révoquer les authentificateurs configurés par l’utilisateur à tout moment avec l’API des méthodes d’authentification. Force de l’authentificateur/Protéger le contenu de l’authentificateur Méthodes d’authentification et inscription combinée Révoquer l’authentificateur |
| IA-5(1) Le système d’information, pour l’authentification par mot de passe : (a.) Applique au mot de passe une complexité minimale de [Affectation : exigences définies par l’organisation en termes de casse, de nombre de caractères, de combinaison de majuscules, minuscules, chiffres et caractères spéciaux, y compris la configuration minimale requise pour chaque type] ; (b.) Applique au moins le nombre de caractères modifiés suivant lors de la création de mots de passe : [Affectation FedRAMP : au moins cinquante pour cent (50 %)] ; (c.) Stocke et transmet uniquement les mots de passe protégés par chiffrement ; (d.) Applique les restrictions de durée de vie minimale et maximale du mot de passe de [Affectation : nombres définis par l’organisation pour la durée de vie minimale, durée de vie maximale] ; (e.)** Interdit la réutilisation du mot de passe pour [Affectation FedRAMP : vingt-quatre (24)] générations ; et (f.) Autorise l’utilisation d’un mot de passe temporaire pour les connexions système avec un changement immédiat en mots de passe permanents. IA-5 (1) a et d Exigences et conseils supplémentaires de FedRAMP : Orientation : si les stratégies de mot de passe sont conformes aux instructions du secret mémorisé NIST SP 800-63B (section 5.1.1), le contrôle peut être considéré comme conforme. |
Implémenter les exigences d’authentification par mot de passe. Conformément à NIST SP 800-63B Section 5.1.1 : Tenir à jour la liste des mots de passe couramment utilisés, attendus ou compromis. Avec la protection par mot de passe de Microsoft Entra, des listes globales de mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs dans un locataire Microsoft Entra. Pour répondre aux besoins de votre entreprise et de votre sécurité, vous pouvez définir des entrées dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes de mots de passe interdits sont vérifiées pour imposer l’utilisation de mots de passe forts. Nous encourageons vivement l’utilisation des stratégies de mot de passe. Ce contrôle s’applique uniquement aux authentificateurs de mot de passe. Par conséquent, la suppression de mots de passe en tant qu’authentificateur disponible rend ce contrôle non applicable. Documents de référence NIST Ressource |
| IA-5(2) Système d’information, pour l’authentification basée sur PKI : (a.) Valide les certifications en construisant et en vérifiant un chemin d’accès de certification menant à une ancre d’approbation acceptée, y compris en vérifiant les informations sur l’état du certificat ; (b.) Applique l’accès autorisé à la clé privée correspondante ; (c.) Mappe l’identité authentifiée au compte de l’individu ou du groupe ; et (d.) Implémente un cache local des données de révocation pour prendre en charge la détection et la validation du chemin d’accès en cas d’incapacité à accéder aux informations de révocation via le réseau. |
Implémenter les exigences d’authentification basée sur une infrastructure à clé publique. Fédérez Microsoft Entra ID via AD FS pour implémenter l’authentification basée sur une infrastructure à clé publique. Par défaut, ADFS valide les certificats, met en cache localement les données de révocation et mappe les utilisateurs à l’identité authentifiée dans Active Directory. Ressources |
| IA-5(4) L’organisation utilise des outils automatisés pour déterminer si les authentificateurs de mot de passe sont suffisamment forts pour satisfaire l’[Affectation FedRAMP : complexité telle qu’identifiée dans IA-5 (1) Amélioration des contrôles (H) Partie A]. IA-5(4) Exigences et conseils supplémentaires de FedRAMP : Instructions : si les mécanismes automatisés appliquant la performance de l’authentificateur par mot de passe ne sont pas utilisés lors de la création, les mécanismes automatisés doivent être employés pour auditer la performance des authentificateurs par mot de passe créés. |
Utiliser des outils automatisés pour valider les exigences de niveau de sécurité des mots de passe. Microsoft Entra ID implémente des mécanismes automatisés qui appliquent la force de l’authentificateur de mot de passe lors de la création. Ce mécanisme automatisé peut également être étendu pour garantir l’efficacité de l’authentificateur de mot de passe pour une instance Active Directory locale. La révision 5 relative à NIST 800-53 a supprimé IA-04(4) et incorporé l’exigence dans IA-5(1). Ressources |
| IA-5(6) L’organisation protège les authentificateurs d’après la catégorie de sécurité des informations à laquelle l’utilisation de l’authentificateur permet d’accéder. |
Protégez les authentificateurs tel que défini dans le niveau d’impact élevé FedRAMP. Pour plus d’informations sur la façon dont Microsoft Entra ID protège les authentificateurs, consultez Considérations relatives à la sécurité des données Microsoft Entra. |
| IA-05(7) L’organisation garantit qu’aucun authentificateur statique non chiffré n’est incorporé dans les applications ou les scripts d’accès, ni stocké sur les touches de fonction. |
Veiller à ce qu’aucun authentificateur statique non chiffré (mot de passe, par exemple) ne soit incorporé dans les applications ou les scripts d’accès, ni stocké sur les touches de fonction. Implémentez des identités managées ou des objets de principal de service (configurés avec un certificat uniquement). Ressources |
| IA-5(8) L’organisation implémente l’[Affectation FedRAMP : différents authentificateurs sur différents systèmes] pour gérer le risque de compromission du fait que des personnes ont des comptes sur plusieurs systèmes d’information. |
Implémenter des protections de sécurité lorsque des utilisateurs disposent de comptes sur plusieurs systèmes informatiques. Implémentez l’authentification unique en connectant toutes les applications à Microsoft Entra ID, par opposition au fait de disposer de comptes individuels sur plusieurs systèmes informatiques. |
| IA-5(11) Dans le cadre de l’authentification basée sur les jetons matériels, le système d’information utilise des mécanismes qui répondent aux conditions définies [Affectation : exigences de qualité des jetons définies par l’organisation]. |
Répondre aux exigences de qualité de jeton matériel conformément au niveau d’impact élevé FedRAMP. Exiger l’utilisation de jetons matériels conformes au niveau AAL3. |
| IA-5(13) Le système d’information interdit l’utilisation des authentificateurs mis en cache après [Affectation : période de temps définie par l’organisation]. |
Appliquer l’expiration des authentificateurs mis en cache. Les authentificateurs mis en cache sont utilisés pour s’authentifier sur l’ordinateur local lorsque le réseau n’est pas disponible. Pour limiter l’utilisation des authentificateurs mis en cache, configurer les appareils Windows pour désactiver leur utilisation. Lorsque cela n’est pas possible ou pratique, utiliser les contrôles de compensation suivants : Configurez des contrôles de session d’accès conditionnel à l’aide de restrictions appliquées par l’application pour les applications Office. Ressources |
| IA-6 Commentaires au sujet des authentificateurs Le système d’information masque les commentaires apportés aux informations d’authentification pendant le processus d’authentification. L’objectif est de protéger les informations contre toute exploitation ou utilisation possible par des personnes non autorisées. |
Masquer les informations de commentaires d’authentification lors du processus d’authentification. Par défaut, Microsoft Entra ID masque tous les commentaires de l’authentificateur. |
| IA-7 Authentification du module de chiffrement Le système d’information implémente des mécanismes d’authentification dans un module de chiffrement. Ces derniers répondent aux exigences des lois fédérales en vigueur, ainsi que des décrets, directives, stratégies, réglementations, normes et conseils applicables à une telle authentification. |
Implémenter des mécanismes d’authentification auprès d’un module de chiffrement répondant aux lois fédérales en vigueur. Le niveau d’impact élevé FedRAMP nécessite l’authentificateur AAL3. Tous les authentificateurs pris en charge par Microsoft Entra ID au niveau AAL3 fournissent des mécanismes permettant d’authentifier l’accès de l’opérateur auprès du module, si besoin. Par exemple, dans un déploiement Windows Hello Entreprise avec module TPM matériel, configurer le niveau d’autorisation du propriétaire du module TPM. Ressources |
| IA-8 Identification et authentification (utilisateurs extérieurs à l’organisation) Le système d’information identifie et authentifie de manière unique les utilisateurs extérieurs à l’organisation (ou les processus intervenant pour le compte des utilisateurs extérieurs à l’organisation). |
Le système d’information identifie et authentifie de manière unique les utilisateurs extérieurs à l’organisation (ou les processus intervenant pour des utilisateurs extérieurs à l’organisation). Microsoft Entra ID identifie et authentifie de manière unique les utilisateurs non organisationnels hébergés dans le locataire de l’organisation ou dans des annuaires externes à l’aide des protocoles approuvés par le programme FICAM (Federal Identity, Credential, and Access Management). Ressources |
| IA-8(1) Le système d’information accepte et vérifie par voie électronique les informations d’identification de la vérification d’identité personnelle (PIV) émanant d’autres agences fédérales. IA-8(4) Le système d’information est conforme aux profils émis par FICAM. |
Accepter et vérifier les informations d’identification PIV émises par d’autres agences fédérales. Se conformer aux profils émis par le programme FICAM. Configurez Microsoft Entra ID pour accepter les informations d’identification PIV via la fédération (OIDC, SAML) ou localement via l’authentification Windows intégrée. Ressources |
| IA-8(2) Le système d’information accepte uniquement les informations d’identification tierces approuvées par la FICAM. |
Accepter uniquement les informations d’identification approuvées par le programme FICAM. Microsoft Entra ID prend en charge les authentificateurs aux niveaux NIST AAL 1, 2 et 3. Limiter l’utilisation des authentificateurs en fonction de la catégorie de sécurité du système en cours d’accès. Microsoft Entra ID prend en charge un large éventail de méthodes d’authentification. Ressources |