Compartilhar via

Configurar controles de acesso de identidade para atender ao nível de impacto alto do FedRAMP

  • Artigo

O controle de acesso é uma parte importante da obtenção de um nível de alto impacto do FedRAMP (Federal Risk and Authorization Management Program) para operar.

A lista de controles e aprimoramentos de controle a seguir na família do AC (controle de acesso) pode exigir a configuração em seu locatário do Microsoft Entra.

Família de controle Descrição
AC-2 Gerenciamento de contas
AC-6 Privilégio mínimo
AC-7 Tentativas de logon malsucedidas
AC-8 Notificação do uso do sistema
AC-10 Controle de sessões simultâneas
AC-11 Bloqueio de sessão
AC-12 Encerramento da sessão
AC-20 Uso de sistemas de informações externas

Cada linha na tabela a seguir fornece diretrizes prescritivas para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o aprimoramento do controle ou controle.

Configurações

ID e descrição do controle FedRAMP Orientações e recomendações do Microsoft Entra
AC-2 GERENCIAMENTO DE CONTA

A Organização
(a.) Identifica e seleciona os seguintes tipos de contas do sistema de informações para dar suporte a funções de negócios/missões organizacionais: [Atribuição: tipos de conta do sistema de informações definidas pela organização];

(b.) Atribui gerentes de conta para contas do sistema de informações;

(c.) Estabelece condições para associação de grupo e função;

(d.) Especifica os usuários autorizados do sistema de informações, grupo e associação de função e autorizações de acesso (ou seja, privilégios) e outros atributos (conforme necessário) de cada conta;

(e.) Necessita de aprovações do [Atribuição: pessoal ou funções definidas pela organização] para solicitações a fim de criar contas do sistema de informações;

(f.) Cria, habilita, modifica, desabilita e remove contas do sistema de informações de acordo com [Atribuição: procedimentos ou condições definidas pela organização];

(g.) Monitora o uso de contas do sistema de informações;

(h.) Notifica os gerentes da conta:
(1.) Quando as contas não são mais necessárias;
(2.) Quando os usuários são encerrados ou transferidos; e
(3.) Quando o uso do sistema de informações individuais ou as informações básicas são alteradas;

(i.) Autoriza o acesso ao sistema de informações com base em:
(1.) Uma autorização de acesso válida;
(2.) Uso pretendido do sistema; e
(3.) Outros atributos conforme exigido pela organização ou funções de negócios/missões associadas;

(j.) Revisa as contas para conformidade com os requisitos de gerenciamento de conta [Atribuição do FedRAMP: mensal para acesso privilegiado, a cada seis (6) meses para acesso sem privilégios]; e

(k.) Estabelece um processo para emitir novamente as credenciais de contas compartilhadas/de grupo (se implantadas) quando os indivíduos são removidos do grupo.

 Implementar o gerenciamento do ciclo de vida da conta para contas controladas pelo cliente. Monitorar o uso de contas e notificar os gerentes de conta sobre eventos de ciclo de vida da conta. Revise as contas quanto à conformidade com os requisitos de gerenciamento de conta, todo o mês para acesso privilegiado e a cada semestre para acesso não privilegiado.

Use o Microsoft Entra ID para provisionar contas de sistemas a partir de RH externos, Active Directory local ou diretamente na nuvem. Todas as operações de ciclo de vida da conta são auditadas nos logs de auditoria do Microsoft Entra. É possível coletar e analisar logs usando uma solução de SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Azure Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas.

Provisionar contas

  • Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra
  • Sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
  • Adicionar ou excluir usuários usando Microsoft Entra ID

    Monitorar contas

  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • Conectar os dados do Microsoft Entra ao Microsoft Sentinel
  • Tutorial: Transmitir logs para um hub de eventos do Azure

    Examinar contas

  • O que é o gerenciamento de direitos do Microsoft Entra?
  • Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra
  • Revisão de acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra

    Recursos

  • Permissões de função de administrador no Microsoft Entra ID
  • Grupos dinâmicos no Microsoft Entra ID

                         

    		•
    AC-2(1)
    A organização emprega mecanismos automatizados para dar suporte ao gerenciamento de contas do sistema de informações.    		 Empregue mecanismos automatizados para dar suporte ao gerenciamento de contas controladas pelo cliente.

    Configure o provisionamento automatizado de contas controladas pelo cliente de sistemas de RH externos ou do Active Directory local. Para aplicativos que dão suporte ao provisionamento de aplicativos, configure o Microsoft Entra ID para criar automaticamente identidades de usuário e funções em aplicativos SaaS (software como serviço) aos quais os usuários precisam ter acesso. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para facilitar o monitoramento do uso de conta, você pode transmitir logs do Microsoft Entra ID Protection, que mostram usuários suspeitos, entradas suspeitas, detecções de risco e logs de auditoria diretamente para o Microsoft Azure Sentinel ou os Hubs de Eventos.

    Provisionar o

  • Planejar o provisionamento de usuário do aplicativo de RH na nuvem para o Microsoft Entra
  • Sincronização do Microsoft Entra Connect: entender e personalizar a sincronização
  • O que é o provisionamento de usuários automatizado no aplicativo SaaS no Microsoft Entra ID?
  • Tutoriais de integração de aplicativos SaaS para uso com o Microsoft Entra ID

    Monitorar e auditar

  • Investigar risco
  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • O que é o Microsoft Sentinel?
  • Microsoft Sentinel: conectar dados do Microsoft Entra ID
  • Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
    		•
    AC-2(2)
    O sistema de informações automaticamente [Seleção do FedRAMP: desabilita] contas temporárias e de emergência após [Atribuição do FedRAMP: 24 horas do último uso].

    AC-02(3)
    O sistema de informações desabilita automaticamente as contas inativas após [Atribuição do FedRAMP: trinta e cinco (35) dias para contas de usuário].

    AC-2 (3) Requisitos e Diretrizes Adicionais do FedRAMP:
    Requisito: o provedor de serviços define o período de tempo para contas que não são de usuário (por exemplo, contas associadas a dispositivos). Os períodos de tempo são aprovados e aceitos pelo JAB/AO. Quando o gerenciamento de usuários é uma função do serviço, os relatórios de atividade dos usuários consumidores devem ser disponibilizados.

    		 Empregue mecanismos automatizados para dar suporte à remoção ou desabilitação automática de contas temporárias e de emergência após 24 horas desde o último uso e todas as contas controladas pelo cliente após 35 dias de inatividade.

    Implemente a automação de gerenciamento de contas com o Microsoft Graph e o PowerShell do Microsoft Graph. Use o Microsoft Graph para monitorar a atividade de entrada e o PowerShell do Microsoft Graph para executar uma ação em contas dentro do período necessário.

    Determinar inatividade

  • Gerenciar contas de usuário inativas no ID do Microsoft Entra
  • Gerenciar dispositivos obsoletos no Microsoft Entra ID

    Remover ou desabilitar contas

  • Trabalhar com usuários no Microsoft Graph
  • Obter um usuário
  • Atualizar usuário
  • Excluir um usuário

    Trabalhar com dispositivos no Microsoft Graph

  • Obter dispositivo
  • Atualizar dispositivo
  • Excluir dispositivo

    Confira a Documentação do PowerShell do Microsoft Graph

  • Get-MgUser
  • Update-MgUser
  • Get-MgDevice
  • Update-MgDevice
    		•
    AC-2(4)
    O sistema de informações audita automaticamente as ações de criação, modificação, habilitação, desabilitação e remoção da conta e notifica a [Atribuição do FedRAMP: organização e/ou proprietário do sistema do provedor de serviços].    		 Implemente um sistema automatizado de auditoria e notificação para o ciclo de vida do gerenciamento de contas controladas pelo cliente.

    Todas as operações de ciclo de vida da conta, como ações de criação, modificação, habilitação, desabilitação e remoção da conta, são auditadas nos logs de auditoria do Azure. É possível transmitir os logs diretamente para o Microsoft Azure Sentinel ou Hubs de Eventos do Azure para ajudar com a notificação.

    Audit

  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • Microsoft Sentinel: conectar dados do Microsoft Entra ID

    Notification

  • O que é o Microsoft Sentinel?
  • Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
    		•
    AC-2(5)
    A organização exige que os usuários façam logoff quando a [Atribuição do FedRAMP: inatividade exceder quinze (15) minutos].

    AC-2 (5) Requisitos e Diretrizes Adicionais do FedRAMP:
    Diretrizes: deve usar um período de tempo menor que o AC-12

    		 Implemente o log do dispositivo após um período de 15 minutos de inatividade.

    Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Defina as configurações de política no dispositivo para impor o bloqueio de dispositivo no nível do sistema operacional com soluções de MDM (gerenciamento de dispositivo móvel), como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, defina a configuração de Frequência de entrada para forçar os usuários a autenticar novamente.

    Acesso condicional

  • Exigir que o dispositivo seja marcado como em conformidade
  • Frequência de entrada do usuário

    Política do MDM

  • Configurar dispositivos para o máximo de minutos de inatividade até a tela ser bloqueada e exigir uma senha para ser desbloqueada (Android, iOS, Windows 10).
    		•
    AC-2(7)

    A organização:
    (a.) Estabelece e administra contas de usuário com privilégios de acordo com um esquema de acesso com base em função que organiza informações permitidas de acesso ao sistema e privilégios em funções;
    (b) Monitora as atribuições de função com privilégios; e
    (c) Aceita [Atribuição do FedRAMP: desabilita/revoga o acesso dentro de um período de tempo especificado pela organização] quando as atribuições de função com privilégios não forem mais apropriadas.

    		 Administrar e monitorar atribuições de função com privilégios seguindo um esquema de acesso baseado em função para contas controladas pelo cliente. Desabilitar ou revogar o acesso de privilégio para contas quando não for mais apropriado.

    Implemente o Privileged Identity Management do Microsoft Entra com revisões de acesso para funções com privilégios no Microsoft Entra ID a fim de monitorar atribuições de função e removê-las quando não forem mais apropriadas. É possível transmitir logs de auditoria diretamente para o Microsoft Azure Sentinel ou Hubs de Eventos do Azure para ajudar no monitoramento.

    Administrar

  • O que é o Privileged Identity Management do Microsoft Entra?
  • Duração máxima de ativação

    Monitor

  • Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management
  • Exibir o histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management
  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • O que é o Microsoft Sentinel?
  • Conectar dados do Microsoft Entra ID
  • Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
    		•
    AC-2(11)
    O sistema de informações força [Atribuição: circunstâncias definidas pela organização e/ou condições de uso] para [Atribuição: contas do sistema de informações definidas pela organização].    		 Imponha o uso de contas controladas pelo cliente para atender às condições ou às circunstâncias definidas pelo cliente.

    Crie políticas de Acesso Condicional para impor decisões de controle de acesso entre usuários e dispositivos.

    Acesso condicional

  • Criar uma política de Acesso Condicional
  • O que é Acesso Condicional?
    		•
    AC-2(12)

    A organização:
    (a) A organização monitora as informações de contas do sistema para [Atribuição: uso atípico definido pela organização]; e
    (b) Relata o uso atípico de contas do sistema de informações para [Atribuição do FedRAMP: no mínimo, a ISSO e/ou função semelhante dentro da organização].

    AC-2 (12) (a) e AC-2 (12) (b) Requisitos e Diretrizes Adicionais do FedRAMP:
    Necessário para contas com privilégios.

    		 Monitore e relate contas controladas pelo cliente com acesso privilegiado para uso atípico.

    Para obter ajuda com o monitoramento de uso atípico, transmita logs do Microsoft Entra ID Protection, que mostram usuários suspeitos, entradas suspeitas e detecções de risco e logs de auditoria, que ajudam com a correlação com a atribuição de privilégios, diretamente em uma solução SIEM, como o Microsoft Azure Sentinel. Você também pode usar os Hubs de Eventos para integrar logs com soluções SIEM de terceiros.

    Proteção de ID

  • O que é o Microsoft Entra ID Protection?
  • Investigar risco
  • Notificações do Microsoft Entra ID Protection

    Monitorar contas

  • O que é o Microsoft Sentinel?
  • Relatórios de atividade de auditoria no centro de administração do Microsoft Entra
  • Conectar os dados do Microsoft Entra ao Microsoft Sentinel
  • Tutorial: Transmitir logs para um hub de eventos do Azure
    		•
    AC-2(13)
    A organização desativa as contas de usuários que demonstrem um risco significativo em [Atribuição do FedRAMP: uma (1) hora] de descoberta do risco.    		 Desabilite contas controladas pelo cliente de usuários que apresenta um risco significativo em uma hora.

    No Microsoft Entra ID Protection, configure e habilite uma política de risco de usuário com o limite definido como Alto. Crie políticas de Acesso Condicional para bloquear o acesso a usuários suspeitos e entradas suspeitas. Configure as políticas de risco para permitir que os usuários recorram e desbloqueiem tentativas de entrada subsequentes.

    Proteção de ID

  • O que é o Microsoft Entra ID Protection?

    Acesso Condicional

  • O que é Acesso Condicional?
  • Criar uma política de Acesso Condicional
  • Acesso Condicional: Acesso Condicional baseado no risco do usuário
  • Acesso Condicional: acesso condicional baseado em risco de entrada
  • Correção automática com a política de risco
    		•
    AC-6(7)

    A organização:
    (a.) Revisa [Atribuição do FedRAMP: no mínimo, anualmente] os privilégios atribuídos a [Atribuição do FedRAMP: todos os usuários com privilégios] para validar a necessidade desses privilégios; e
    (b.) Reatribui ou remove os privilégios, se necessário, para refletir corretamente as necessidades de negócios/missões da organização.

    		 Revisar e validar todos os usuários com acesso privilegiado todos os anos. Verificar se os privilégios são reatribuídos (ou removidos, se necessário) para se alinharem aos requisitos de negócios e missão da organização.

    Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para que usuários com privilégios verifiquem se o acesso privilegiado é necessário.

    Análises de acesso

  • O que é o gerenciamento de direitos do Microsoft Entra?
  • Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management
  • Revisão de acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra
    		•
    AC-7 Tentativas de Logon Malsucedidas

    A organização:
    (a.) Impõe um limite de [Atribuição do FedRAMP: não mais de três (3)] tentativas de logon inválidas consecutivas por um usuário durante [Atribuição do FedRAMP: quinze (15) minutos]; e
    (b.) Automaticamente [Seleção: bloqueia a conta/nó por [Atribuição do FedRAMP: no mínimo três (3) horas ou até ser desbloqueado por um administrador]; atrasa o próximo prompt de logon de acordo com o [Atribuição: algoritmo de atraso definido pela organização]] quando o número máximo de tentativas malsucedidas for excedido.

    		 Impor um limite de no máximo três tentativas de logon com falha consecutivas em recursos implantados pelo cliente em um período de 15 minutos. Bloquear a conta por, no mínimo, três horas ou até ser desbloqueada por um administrador.

    Habilite configurações de bloqueio inteligente personalizadas. Configure o limite de bloqueio e a duração do bloqueio em segundos para implementar esses requisitos.

    Bloqueio inteligente

  • Proteger contas de usuário contra ataques com o bloqueio inteligente do Microsoft Entra
  • Gerenciar valores de bloqueio inteligente do Microsoft Entra
    		•
    AC-8 Notificação de Uso do Sistema

    O sistema de informações:
    (a.) Exibe aos usuários [Atribuição: mensagem ou faixa de notificação de uso do sistema definido pela organização (Atribuição do FedRAMP: confira os Requisitos e Diretrizes adicionais)] antes de conceder acesso ao sistema que fornece avisos de privacidade e segurança consistentes com as leis federais aplicáveis, Ordens Executivas, diretivas, políticas, regulamentos, padrões e orientações e afirma que:
    (1.) Os usuários estão acessando um sistema de informações do Governo dos EUA;
    (2.) O uso do sistema de informações pode ser monitorado, registrado e sujeito a auditoria;
    (3.) O uso não autorizado do sistema de informações é proibido e sujeito a penalidades criminais e civis; e
    (4.) O uso do sistema de informações indica o consentimento para monitoramento e gravação;

    (b.) Mantém a mensagem de notificação ou faixa na tela até que os usuários reconheçam as condições de uso e tomem medidas explícitas para fazer logon ou acessar posteriormente o sistema de informações; e

    (c.) Para sistemas publicamente acessíveis:
    (1.) Exibe informações de uso do sistema [Atribuição: condições definidas pela organização (Atribuição do FedRAMP: confira os requisitos e diretrizes adicionais)], antes de conceder mais acesso;
    (2.) Exibe referências, se houver, para monitoramento, gravação ou auditoria consistentes com acomodações de privacidade para esses sistemas que geralmente proíbem essas atividades; e
    (3.) Inclui uma descrição dos usos autorizados do sistema.

    AC-8 Requisitos e Diretrizes Adicionais do FedRAMP:
    Requisito: o provedor de serviços deve determinar os elementos do ambiente de nuvem que exigem o controle de Notificação de Uso do Sistema. Os elementos do ambiente de nuvem que exigem a Notificação de Uso do Sistema são aprovados e aceitos pelo JAB/AO.
    Requisito: o provedor de serviços determinará como a Notificação de Uso do Sistema será verificada e fornecerá a periodicidade apropriada da verificação. A verificação e a periodicidade da Notificação de Uso do Sistema são aprovadas e aceitas pelo JAB/AO.
    Diretrizes: Se executado como parte de uma verificação de Linha de Base de Configuração, o % dos itens que exigem a configuração que são verificados e que passam (ou falham) podem ser fornecidos.
    Requisito: se não for executado como parte de uma verificação da Linha de Base de Configuração, deverá haver um contrato documentado sobre como fornecer resultados de verificação e a periodicidade necessária da verificação pelo provedor de serviços. O contrato documentado sobre como fornecer a verificação dos resultados é aprovado e aceito pelo JAB/AO.

    		 Exiba os avisos de privacidade e segurança e exija que o usuário os aceite antes de conceder acesso a sistemas de informações.

    Com o Microsoft Entra ID, é possível entregar mensagens de notificação ou de banner para todos os aplicativos que exigem e registram a confirmação antes de conceder acesso. Você pode direcionar de maneira granular esses termos de uso de políticas para usuários específicos (membro ou convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional.

    Termos de uso

  • Termos de uso do Microsoft Entra
  • Exibir relatório de quem aceitou e recusou
    		•
    AC-10 Controle de Sessões Simultâneas
    O sistema de informações limita o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ou tipo de conta] para [Atribuição do FedRAMP: três (3) sessões para acesso privilegiado e duas (2) sessões para acesso não privilegiado].    		 Limite sessões simultâneas a três sessões para acesso privilegiado e a duas para acesso sem privilégios.

    Atualmente, os usuários se conectam de vários dispositivos, às vezes simultaneamente. Limitar sessões simultâneas leva a uma experiência de usuário degradada e fornece um valor de segurança limitado. Uma abordagem melhor para resolver a intenção por trás desse controle é adotar uma postura de segurança de confiança zero. As condições são validadas explicitamente antes que uma sessão seja criada e continuamente validada durante toda a vida útil de uma sessão.

    Além disso, use os controles de compensação a seguir.

    Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as configurações de política no dispositivo para impor as restrições de entrada do usuário no nível do sistema operacional com soluções de MDM, como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas.

    Use o Privileged Identity Management para restringir e controlar ainda mais as contas com controles privilegiados.

    Configure o bloqueio de conta inteligente para tentativas de entrada inválidas.

    Diretrizes de implementação

    Confiança zero

  • Proteger a identidade com a Confiança Zero
  • Avaliação contínua de acesso no Microsoft Entra ID

    Acesso Condicional

  • O que é o Acesso Condicional no Microsoft Entra ID?
  • Exigir que o dispositivo seja marcado como em conformidade
  • Frequência de entrada do usuário

    Políticas de dispositivo

  • Outras chaves de Registro e configurações de Política de Grupo de cartão inteligente
  • Visão geral do Microsoft Endpoint Manager

    Recursos

  • O que é o Privileged Identity Management do Microsoft Entra?
  • Proteger contas de usuário contra ataques com o bloqueio inteligente do Microsoft Entra

    Confira o AC-12 para obter mais diretrizes de reavaliação de sessão e mitigação de risco.

    		•
    AC-11 Bloqueio de Sessão
    O sistema de informações:
    (a) Impede o acesso adicional ao sistema iniciando um bloqueio de sessão após [Atribuição do FedRAMP: quinze (15) minutos] de inatividade ou ao receber uma solicitação de um usuário; e
    (b) Mantém o bloqueio de sessão até que o usuário restabeleça o acesso usando procedimentos estabelecidos de identificação e autenticação.

    AC-11(1)
    O sistema de informações oculta, por meio do bloqueio da sessão, as informações anteriormente visíveis na tela com uma imagem que pode ser exibida publicamente.

    		 Implementar um bloqueio de sessão após um período de 15 minutos de inatividade ou após receber uma solicitação de um usuário. Manter o bloqueio de sessão até que o usuário seja autenticado novamente. Ocultar informações visíveis anteriormente quando um bloqueio de sessão for iniciado.

    Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos em conformidade. Defina as configurações de política no dispositivo para impor o bloqueio de dispositivo no nível do sistema operacional com soluções de MDM, como o Intune. O Endpoint Manager ou os objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, defina a configuração de Frequência de entrada para forçar os usuários a autenticar novamente.

    Acesso condicional

  • Exigir que o dispositivo seja marcado como em conformidade
  • Frequência de entrada do usuário

    Política do MDM

  • Configure dispositivos para o máximo de minutos de inatividade até a tela ser bloqueada (Android, iOS, Windows 10).
    		•
    AC-12 Encerramento da Sessão
    O sistema de informações encerra automaticamente uma sessão de usuário após [Atribuição: condições ou eventos que desencadeiam a necessidade de desconectar da sessão definidos pela organização].    		 Encerre automaticamente as sessões de usuário quando ocorrerem condições ou eventos de gatilho definidos pela organização.

    Implemente a reavaliação automática da sessão de usuário com recursos do Microsoft Entra, como o Acesso Condicional baseado em risco e a avaliação contínua de acesso. Você pode implementar as condições de inatividade no nível de dispositivo, conforme descrito no AC-11.

    Recursos

  • Acesso condicional baseado em risco de entrada
  • Acesso condicional baseado em risco de usuário
  • Avaliação contínua de acesso
    		•
    AC-12(1)
    O sistema de informações:
    (a.) Fornece uma funcionalidade de logoff para sessões de comunicação iniciadas pelo usuário sempre que a autenticação for usada para acessar [Atribuição: recursos de informações definidos pela organização]; e
    (b.) Exibe uma mensagem de logoff explícita para os usuários indicando o encerramento confiável de sessões de comunicação autenticadas.

    AC-8 Requisitos e Diretrizes Adicionais do FedRAMP:
    Diretrizes: teste de funcionalidade de logoff (OTG-SESS-006) Teste de funcionalidade de logoff

    		 Forneça uma funcionalidade de logoff para todas as sessões e exiba uma mensagem de logoff explícita.

    Todas as interfaces da Web exibidas no Microsoft Entra ID fornecem um recurso de logoff para sessões de comunicação iniciadas pelo usuário. Quando os aplicativos SAML forem integrados ao Microsoft Entra ID, implemente o logoff único.

    Recurso de logout

  • Quando o usuário seleciona Sair de todos os locais, todos os tokens emitidos atualmente são revogados.

    Exibir mensagem
    O Microsoft Entra ID exibe automaticamente uma mensagem após o logoff iniciado pelo usuário.

    Captura de tela que mostra a mensagem de controle de acesso.

    Recursos

  • Veja e pesquise atividade de entrada recente na página Minhas Entradas
  • Protocolo SAML de logout único
    		•
    AC-20 Uso de Sistemas de Informações Externas
    A organização estabelece termos e condições, consistentes com quaisquer relações de confiança estabelecidas com outras organizações proprietárias, operadoras e/ou mantenedoras de sistemas externos de informação, permitindo as pessoas autorizadas:
    (a.) Acessar o sistema de informações de sistemas de informações externos; e
    (b.) Processar, armazenar ou transmitir informações controladas pela organização usando sistemas de informações externos.

    AC-20(1)
    A organização permite que indivíduos autorizados usem um sistema de informações externo para acessar o sistema de informações ou para processar, armazenar ou transmitir informações controladas pela organização somente quando a organização:
    (a.) Verifica a implementação dos controles de segurança necessários no sistema externo, conforme especificado na política de segurança de informações e no plano de segurança da organização; ou
    (b.) Mantém a conexão do sistema de informações aprovada ou os contratos de processamento com a entidade organizacional que hospeda o sistema de informações externo.

    		 Estabeleça termos e condições que permitem que indivíduos autorizados acessem os recursos implantados pelo cliente de sistemas de informações externas, como dispositivos não gerenciados e redes externas.

    Exija a aceitação dos termos de uso para usuários autorizados que acessam recursos de sistemas externos. Implemente políticas de Acesso Condicional para restringir o acesso de sistemas externos. As políticas de Acesso Condicional podem ser integradas ao Defender para Aplicativos de Nuvem para fornecer controles para aplicativos locais e de nuvem de sistemas externos. O gerenciamento de aplicativo móvel no Intune pode proteger dados da organização no nível do aplicativo, o que inclui aplicativos personalizados e aplicativos da loja, de dispositivos gerenciados que interagem com sistemas externos. Um exemplo seria acessar serviços de nuvem. Você pode usar o gerenciamento de aplicativos em dispositivos pessoais e de propriedade da organização.

    Termos e condições

  • Termos de uso no Microsoft Entra ID

    Acesso Condicional

  • Exigir que o dispositivo seja marcado como em conformidade
  • Condições na política de Acesso Condicional: estado do dispositivo (versão prévia)
  • Proteger com o Microsoft Defender para Controle de Aplicativos de Acesso Condicional para Aplicativos de Nuvem
  • Condição de localização no Acesso Condicional do Microsoft Entra

    MDM

  • O que é o Microsoft Intune?
  • O que é o Defender para Aplicativos de Nuvem?
  • O que é gerenciamento de aplicativo no Microsoft Intune?

    Recurso

  • Integrar aplicativos locais ao Defender para Aplicativos na Nuvem
    		•

    Próximas etapas