Configurar controles de acesso de identidade para atender ao nível de alto impacto do FedRAMP

Artigo
10/28/2023

O controle de acesso é uma parte importante para alcançar um nível de Alto Impacto do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) para operar.

A lista a seguir de controles e aprimoramentos de controle na família de controle de acesso (AC) pode exigir configuração em seu locatário do Microsoft Entra.

Família de controlos	Description
CA-2	Gestão de contas
AC-6	Privilégio mínimo
AC-7	Tentativas de início de sessão sem êxito
AC-8	Notificação de utilização do sistema
AC-10	Controle de sessão simultânea
AC-11	Bloqueio de sessão
AC-12	Encerramento da sessão
AC-20	Utilização de sistemas de informação externos

Cada linha na tabela a seguir fornece orientação prescritiva para ajudá-lo a desenvolver a resposta da sua organização a quaisquer responsabilidades compartilhadas para o controle ou aprimoramento do controle.

Configurações

ID de controle FedRAMP e descrição	Orientações e recomendações do Microsoft Entra
GESTÃO DE CONTAS AC-2 A Organização a) Identifica e seleciona os seguintes tipos de contas do sistema de informação para suportar missões organizacionais/funções de negócios: [Atribuição: tipos de conta de sistema de informação definidos pela organização]; b) Atribui gestores de contas para contas do sistema de informação; c) Estabelece condições para a participação em grupos e funções; d) Especifica usuários autorizados do sistema de informações, associação de grupo e função, e autorizações de acesso (ou seja, privilégios) e outros atributos (conforme necessário) para cada conta; e) Requer aprovações por [Atribuição: pessoal ou funções definidas pela organização] para solicitações de criação de contas do sistema de informações; f) Cria, habilita, modifica, desabilita e remove contas do sistema de informações de acordo com [Atribuição: procedimentos ou condições definidos pela organização]; g) Monitoriza a utilização das contas do sistema de informação; h) Notifica os gerentes de conta: (1.) Quando as contas não são mais necessárias; (2.) Quando os usuários são encerrados ou transferidos; e ainda (3.) Quando a utilização individual do sistema de informação ou a necessidade de conhecimento mudam; i) Autoriza o acesso ao sistema de informação com base em: (1.) Uma autorização de acesso válida; (2.) Utilização prevista do sistema; e ainda (3.) Outros atributos conforme exigido pela organização ou missões/funções de negócios associadas; j.) Analisa as contas quanto à conformidade com os requisitos de gerenciamento de conta [Atribuição FedRAMP: mensalmente para acesso privilegiado, a cada 6 (seis) meses para acesso não privilegiado]; e k) Estabelece um processo para reemitir credenciais de conta compartilhada/de grupo (se implantadas) quando indivíduos são removidos do grupo.	Implemente o gerenciamento do ciclo de vida da conta para contas controladas pelo cliente. Monitore o uso de contas e notifique os gerentes de conta sobre eventos do ciclo de vida da conta. Analise as contas quanto à conformidade com os requisitos de gerenciamento de contas todos os meses para acesso privilegiado e a cada seis meses para acesso não privilegiado. Use o Microsoft Entra ID para provisionar contas de sistemas de RH externos, Ative Directory local ou diretamente na nuvem. Todas as operações do ciclo de vida da conta são auditadas nos logs de auditoria do Microsoft Entra. Você pode coletar e analisar logs usando uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas. Contas de provisão Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra Microsoft Entra Connect Sync: Compreender e personalizar a sincronização Adicionar ou eliminar utilizadores através do Microsoft Entra ID Monitorar contas Relatórios de atividade de auditoria no centro de administração do Microsoft Entra Conectar dados do Microsoft Entra ao Microsoft Sentinel Tutorial: Transmitir logs para um hub de eventos do Azure Rever contas O que é o gerenciamento de direitos do Microsoft Entra? Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra Recursos Permissões da função de administrador no Microsoft Entra ID Grupos dinâmicos no Microsoft Entra ID
AC-2(1) A organização emprega mecanismos automatizados para apoiar a gestão de contas do sistema de informação.	Empregar mecanismos automatizados para dar suporte ao gerenciamento de contas controladas pelo cliente. Configure o provisionamento automatizado de contas controladas pelo cliente a partir de sistemas de RH externos ou do Ative Directory local. Para aplicativos que oferecem suporte ao provisionamento de aplicativos, configure o Microsoft Entra ID para criar automaticamente identidades de usuário e funções em aplicativos de software de nuvem como uma solução (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para facilitar o monitoramento do uso da conta, você pode transmitir logs de Proteção de ID do Microsoft Entra, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria diretamente no Microsoft Sentinel ou Hubs de Eventos. Aprovisionar o Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra Microsoft Entra Connect Sync: Compreender e personalizar a sincronização O que é o provisionamento automatizado de usuários de aplicativos SaaS no Microsoft Entra ID? Tutoriais de integração de aplicativos SaaS para uso com o Microsoft Entra ID Monitorizar e auditar Investigar o risco Relatórios de atividade de auditoria no centro de administração do Microsoft Entra O que é o Microsoft Sentinel? Microsoft Sentinel: Conectar dados do Microsoft Entra ID Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
AC-2(2) O sistema de informação automaticamente [FedRAMP Selection: desativa] contas temporárias e de emergência após [FedRAMP Assignment: 24 horas a partir da última utilização]. AC-02(3) O sistema de informação desativa automaticamente as contas inativas após [Atribuição FedRAMP: trinta e cinco (35) dias para contas de utilizador]. AC-2 (3) Requisitos e orientações adicionais do FedRAMP: Requisito: O provedor de serviços define o período de tempo para contas de não-usuário (por exemplo, contas associadas a dispositivos). Os prazos são aprovados e aceites pelo JAB/AO. Sempre que a gestão dos utilizadores seja uma função do serviço, devem ser disponibilizados relatórios de atividade dos utilizadores consumidores.	Utilize mecanismos automatizados para suportar a remoção ou desativação automática de contas temporárias e de emergência após 24 horas da última utilização e todas as contas controladas pelo cliente após 35 dias de inatividade. Implemente a automação do gerenciamento de contas com o Microsoft Graph e o Microsoft Graph PowerShell. Use o Microsoft Graph para monitorar a atividade de entrada e o Microsoft Graph PowerShell para executar ações em contas no período de tempo necessário. Determinar inatividade Gerenciar contas de usuário inativas no Microsoft Entra ID Gerenciar dispositivos obsoletos no Microsoft Entra ID Remover ou desativar contas Trabalhando com usuários no Microsoft Graph Obter um utilizador Atualizar usuário Eliminar um utilizador Trabalhar com dispositivos no Microsoft Graph Obter dispositivo Atualizar dispositivo Excluir dispositivo Consulte a documentação do Microsoft Graph PowerShell Get-MgUser Update-MgUser Get-MgDevice Update-MgDevice
CA-2(4) O sistema de informação audita automaticamente as ações de criação, modificação, ativação, desativação e remoção de contas e notifica [Atribuição FedRAMP: proprietário do sistema da organização e/ou do provedor de serviços].	Implemente um sistema automatizado de auditoria e notificação para o ciclo de vida do gerenciamento de contas controladas pelo cliente. Todas as operações do ciclo de vida da conta, como ações de criação, modificação, habilitação, desativação e remoção de contas, são auditadas nos logs de auditoria do Azure. Você pode transmitir os logs diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar com a notificação. Audit Relatórios de atividade de auditoria no centro de administração do Microsoft Entra Microsoft Sentinel: Conectar dados do Microsoft Entra ID Notificação O que é o Microsoft Sentinel? Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
CA-2(5) A organização exige que os usuários efetuem logout quando [Atribuição FedRAMP: a inatividade deve exceder quinze (15) minutos]. AC-2 (5) Requisitos e orientações adicionais do FedRAMP: Orientação: Deve usar um período de tempo mais curto do que AC-12	Implemente o logout do dispositivo após um período de 15 minutos de inatividade. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional que restrinja o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções de gestão de dispositivos móveis (MDM), como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente. Acesso Condicional Exigir que o dispositivo seja marcado como conforme Frequência de início de sessão do utilizador Política de MDM Configure dispositivos para o máximo de minutos de inatividade até que a tela bloqueie e exija uma senha para desbloquear (Android, iOS, Windows 10).
AC-2(7) A organização: a) Estabelece e administra contas de usuário privilegiadas de acordo com um esquema de acesso baseado em função que organiza o acesso permitido ao sistema de informações e privilégios em funções; (b) Monitoriza as atribuições de funções privilegiadas; (c) Aceita [Atribuição FedRAMP: desabilita/revoga o acesso dentro de um período de tempo especificado pela organização] quando as atribuições de função privilegiadas não são mais apropriadas.	Administre e monitore atribuições de funções privilegiadas seguindo um esquema de acesso baseado em função para contas controladas pelo cliente. Desative ou revogue o acesso de privilégio para contas quando não for mais apropriado. Implemente o Microsoft Entra Privileged Identity Management com revisões de acesso para funções privilegiadas no Microsoft Entra ID para monitorar atribuições de função e remover atribuições de função quando não forem mais apropriadas. Você pode transmitir logs de auditoria diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar no monitoramento. Administrar O que é o Microsoft Entra Privileged Identity Management? Duração máxima da ativação Monitor Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management Exibir histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management Relatórios de atividade de auditoria no centro de administração do Microsoft Entra O que é o Microsoft Sentinel? Conectar dados do Microsoft Entra ID Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure
CA-2(11) O sistema de informações impõe [Atribuição: circunstâncias definidas pela organização e/ou condições de uso] para [Atribuição: contas do sistema de informações definidas pela organização].	Impor o uso de contas controladas pelo cliente para atender às condições ou circunstâncias definidas pelo cliente. Crie políticas de Acesso Condicional para impor decisões de controle de acesso entre usuários e dispositivos. Acesso Condicional Criar uma política de Acesso Condicional O que é Acesso Condicional?
AC-2(12) A organização: (a) Monitoriza as contas do sistema de informação para [Atribuição: utilização atípica definida pela organização]; (b) Relata o uso atípico de contas do sistema de informação para [Atribuição FedRAMP: no mínimo, o ISSO e/ou função semelhante dentro da organização]. AC-2 (12) (a) e AC-2 (12) (b) Requisitos e orientações adicionais do FedRAMP: Necessário para contas privilegiadas.	Monitore e relate contas controladas pelo cliente com acesso privilegiado para uso atípico. Para obter ajuda com o monitoramento do uso atípico, você pode transmitir logs de Proteção de ID do Microsoft Entra, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria, que ajudam na correlação com a atribuição de privilégios, diretamente em uma solução SIEM, como o Microsoft Sentinel. Você também pode usar Hubs de Eventos para integrar logs com soluções SIEM de terceiros. Proteção de ID O que é o Microsoft Entra ID Protection? Investigar o risco Notificações do Microsoft Entra ID Protection Monitorar contas O que é o Microsoft Sentinel? Relatórios de atividade de auditoria no centro de administração do Microsoft Entra Conectar dados do Microsoft Entra ao Microsoft Sentinel Tutorial: Transmitir logs para um hub de eventos do Azure
CA-2(13) A organização desativa contas de usuários que representam um risco significativo em [Atribuição FedRAMP: uma (1) hora] de descoberta do risco.	Desative contas controladas pelo cliente de usuários que representam um risco significativo em uma hora. No Microsoft Entra ID Protection, configure e habilite uma política de risco do usuário com o limite definido como Alto. Crie políticas de Acesso Condicional para bloquear o acesso de utilizadores arriscados e entradas arriscadas. Configure políticas de risco para permitir que os usuários se autocorrijam e desbloqueiem tentativas de entrada subsequentes. Proteção de ID O que é o Microsoft Entra ID Protection? Acesso Condicional O que é Acesso Condicional? Criar uma política de Acesso Condicional Acesso condicional: Acesso condicional baseado no risco do utilizador Acesso condicional: Acesso condicional baseado no risco de entrada Auto-remediação com política de risco
AC-6(7) A organização: a) Revisa [Atribuição FedRAMP: no mínimo, anualmente] os privilégios atribuídos a [Atribuição FedRAMP: todos os usuários com privilégios] para validar a necessidade de tais privilégios; b) Reatribui ou remove privilégios, se necessário, para refletir corretamente a missão organizacional/necessidades de negócios.	Revise e valide todos os usuários com acesso privilegiado todos os anos. Certifique-se de que os privilégios sejam reatribuídos (ou removidos, se necessário) para se alinharem com a missão organizacional e os requisitos de negócios. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para usuários privilegiados para verificar se o acesso privilegiado é necessário. Revisões de acesso O que é o gerenciamento de direitos do Microsoft Entra? Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra
AC-7 Tentativas de login sem sucesso A organização: a) Impõe um limite de [Atribuição FedRAMP: não mais de três (3)] tentativas de logon inválidas consecutivas por um usuário durante uma [Atribuição FedRAMP: quinze (15) minutos]; b) Automaticamente [Seleção: bloqueia a conta/nó para uma [Atribuição FedRAMP: mínimo de três (3) horas ou até ser desbloqueado por um administrador]; atrasa o próximo prompt de logon de acordo com [Atribuição: algoritmo de atraso definido pela organização]] quando o número máximo de tentativas malsucedidas é excedido.	Imponha um limite de no máximo três tentativas consecutivas de login com falha em recursos implantados pelo cliente dentro de um período de 15 minutos. Bloqueie a conta por um período mínimo de três horas ou até ser desbloqueada por um administrador. Habilite as configurações personalizadas de bloqueio inteligente. Configure o limite e a duração do bloqueio em segundos para implementar esses requisitos. Bloqueio inteligente Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra Gerenciar valores de bloqueio inteligente do Microsoft Entra
Notificação de uso do sistema AC-8 O sistema de informação: a) Exibe aos usuários [Atribuição: mensagem ou banner de notificação de uso do sistema definido pela organização (Atribuição FedRAMP: consulte Requisitos e Orientações adicionais)] antes de conceder acesso ao sistema que fornece avisos de privacidade e segurança consistentes com as leis federais, ordens executivas, diretrizes, políticas, regulamentos, normas e orientações aplicáveis e declara que: (1.) Os usuários estão acessando um sistema de informações do governo dos EUA; (2.) A utilização do sistema de informação pode ser monitorizada, registada e sujeita a auditoria; (3.) A utilização não autorizada do sistema de informação é proibida e sujeita a sanções penais e civis; e ainda (4.) A utilização do sistema de informação indica o consentimento para a monitorização e o registo; b) Retém a mensagem de notificação ou banner na tela até que os usuários reconheçam as condições de uso e tomem ações explícitas para fazer logon ou acessar ainda mais o sistema de informação; e ainda c) Para os sistemas acessíveis ao público: (1.) Exibe informações de uso do sistema [Atribuição: condições definidas pela organização (Atribuição FedRAMP: consulte Requisitos e Orientações adicionais)], antes de conceder acesso adicional; (2.) Exibe referências, se houver, a monitoramento, gravação ou auditoria que sejam consistentes com acomodações de privacidade para tais sistemas que geralmente proíbem essas atividades; e ainda (3.) Inclui uma descrição das utilizações autorizadas do sistema. AC-8 Requisitos e orientações adicionais do FedRAMP: Requisito: O provedor de serviços deve determinar os elementos do ambiente de nuvem que exigem o controle de Notificação de Uso do Sistema. Os elementos do ambiente de nuvem que exigem Notificação de Uso do Sistema são aprovados e aceitos pelo JAB/AO. Requisito: O prestador de serviços deve determinar a forma como a Notificação de Utilização do Sistema vai ser verificada e fornecer a periodicidade adequada da verificação. A verificação e a periodicidade da Notificação de Utilização do Sistema são aprovadas e aceites pelo JAB/AO. Orientação: Se realizada como parte de uma verificação da Linha de Base de Configuração, a % de itens que requerem configuração que estão marcados e que passam (ou falham) na verificação podem ser fornecidas. Requisito: Se não for realizada como parte de uma verificação da Linha de Base de Configuração, deve haver um acordo documentado sobre como fornecer os resultados da verificação e a periodicidade necessária da verificação pelo provedor de serviços. O acordo documentado sobre como fornecer verificação dos resultados é aprovado e aceito pelo JAB/AO.	Exibir e exigir que o usuário reconheça os avisos de privacidade e segurança antes de conceder acesso aos sistemas de informação. Com o Microsoft Entra ID, você pode enviar mensagens de notificação ou banner para todos os aplicativos que exigem e registrar confirmação antes de conceder acesso. Você pode segmentar granularmente essas políticas de termos de uso para usuários específicos (Membro ou Convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional. Termos de Uso Termos de Utilização do Microsoft Entra Ver relatório de quem aceitou e recusou
Controle de sessão simultânea AC-10 O sistema de informação limita o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ou tipo de conta] a [Atribuição FedRAMP: três (3) sessões para acesso privilegiado e duas (2) sessões para acesso não privilegiado].	Limite as sessões simultâneas a três sessões para acesso privilegiado e duas para acesso não privilegiado. Atualmente, os usuários se conectam a partir de vários dispositivos, às vezes simultaneamente. Limitar sessões simultâneas leva a uma experiência de usuário degradada e fornece valor de segurança limitado. Uma abordagem melhor para lidar com a intenção por trás desse controle é adotar uma postura de segurança de confiança zero. As condições são explicitamente validadas antes de uma sessão ser criada e continuamente validadas ao longo da vida de uma sessão. Além disso, use os seguintes controles de compensação. Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor restrições de início de sessão ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Use o Privileged Identity Management para restringir e controlar ainda mais as contas privilegiadas. Configure o bloqueio de conta inteligente para tentativas de entrada inválidas. Orientações para a aplicação Confiança zero Protegendo a identidade com Zero Trust Avaliação contínua de acesso no Microsoft Entra ID Acesso Condicional O que é Acesso Condicional no Microsoft Entra ID? Exigir que o dispositivo seja marcado como conforme Frequência de início de sessão do utilizador Políticas de dispositivos Outras configurações de Diretiva de Grupo de cartão inteligente e chaves do Registro Visão geral do Microsoft Endpoint Manager Recursos O que é o Microsoft Entra Privileged Identity Management? Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra Consulte o AC-12 para obter mais orientações sobre reavaliação de sessão e mitigação de riscos.
Bloqueio de sessão AC-11 O sistema de informação: (a) Impede o acesso adicional ao sistema iniciando um bloqueio de sessão após [Atribuição FedRAMP: quinze (15) minutos] de inatividade ou após receber uma solicitação de um usuário; (b) Retém o bloqueio da sessão até que o utilizador restabeleça o acesso utilizando os procedimentos de identificação e autenticação estabelecidos. AC-11(1) O sistema de informação oculta, através do bloqueio da sessão, informações previamente visíveis no visor com uma imagem visível publicamente.	Implemente um bloqueio de sessão após um período de 15 minutos de inatividade ou ao receber uma solicitação de um usuário. Mantenha o bloqueio de sessão até que o usuário se autentique novamente. Ocultar informações visíveis anteriormente quando um bloqueio de sessão é iniciado. Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente. Acesso Condicional Exigir que o dispositivo seja marcado como conforme Frequência de início de sessão do utilizador Política de MDM Configure dispositivos para o máximo de minutos de inatividade até que a tela bloqueie (Android, iOS, Windows 10).
Encerramento da sessão AC-12 O sistema de informações encerra automaticamente uma sessão de usuário após [Atribuição: condições definidas pela organização ou eventos de gatilho que exigem desconexão da sessão].	Encerre automaticamente as sessões do usuário quando ocorrerem condições definidas pela organização ou eventos de gatilho. Implemente a reavaliação automática da sessão do usuário com recursos do Microsoft Entra, como Acesso Condicional baseado em risco e avaliação contínua de acesso. Você pode implementar condições de inatividade em um nível de dispositivo, conforme descrito em AC-11. Recursos Acesso condicional baseado no risco de início de sessão Acesso condicional baseado no risco do utilizador Avaliação contínua do acesso
AC-12(1) O sistema de informação: a) Fornece um recurso de logout para sessões de comunicação iniciadas pelo usuário sempre que a autenticação é usada para obter acesso a [Atribuição: recursos de informações definidos pela organização]; e ainda b) Exibe uma mensagem de logout explícita para os usuários indicando o término confiável de sessões de comunicações autenticadas. AC-8 Requisitos e orientações adicionais do FedRAMP: Orientação: Testando a funcionalidade de logout (OTG-SESS-006) Testando a funcionalidade de logout	Forneça um recurso de logout para todas as sessões e exiba uma mensagem de logout explícita. Todas as interfaces da Web com ID do Microsoft Entra fornecem um recurso de logout para sessões de comunicação iniciadas pelo usuário. Quando os aplicativos SAML são integrados com o Microsoft Entra ID, implemente o logon único. Capacidade de logout Quando o usuário seleciona Sair em todos os lugares, todos os tokens emitidos atualmente são revogados. Apresentar mensagem O Microsoft Entra ID exibe automaticamente uma mensagem após o logout iniciado pelo usuário. Recursos Veja e pesquise a sua atividade de início de sessão recente a partir da página Os meus inícios de sessão Protocolo SAML de Fim de Sessão Único
AC-20 Utilização de Sistemas de Informação Externos A organização estabelece termos e condições, consistentes com quaisquer relações de confiança estabelecidas com outras organizações que possuam, operem e/ou mantenham sistemas de informação externos, permitindo que indivíduos autorizados: a) Aceder ao sistema de informação a partir de sistemas de informação externos; e ainda b) Processar, armazenar ou transmitir informações controladas pela organização usando sistemas de informação externos. AC-20(1) A organização permite que indivíduos autorizados usem um sistema de informação externo para acessar o sistema de informações ou para processar, armazenar ou transmitir informações controladas pela organização somente quando a organização: a) Verifica a implementação dos controles de segurança necessários no sistema externo, conforme especificado na política de segurança da informação e no plano de segurança da organização; quer b) Retém acordos aprovados de conexão ou processamento do sistema de informação com a entidade organizacional que hospeda o sistema de informação externo.	Estabeleça termos e condições que permitam que indivíduos autorizados acessem os recursos implantados pelo cliente a partir de sistemas de informação externos, como dispositivos não gerenciados e redes externas. Exigir a aceitação dos termos de uso para usuários autorizados que acessam recursos de sistemas externos. Implementar políticas de Acesso Condicional para restringir o acesso de sistemas externos. As políticas de Acesso Condicional podem ser integradas ao Defender for Cloud Apps para fornecer controles para aplicativos na nuvem e locais de sistemas externos. O gerenciamento de aplicativos móveis no Intune pode proteger os dados da organização no nível do aplicativo, incluindo aplicativos personalizados e aplicativos da loja, de dispositivos gerenciados que interagem com sistemas externos. Um exemplo seria o acesso a serviços em nuvem. Você pode usar o gerenciamento de aplicativos em dispositivos de propriedade da organização e dispositivos pessoais. Termos e condições da pré-visualização Termos de utilização: Microsoft Entra ID Acesso Condicional Exigir que o dispositivo seja marcado como conforme Condições na política de Acesso Condicional: Estado do dispositivo (pré-visualização) Proteja com o Controle de Aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps Condição de localização no Acesso Condicional do Microsoft Entra MDM O que é o Microsoft Intune? O que é o Defender for Cloud Apps? O que é o gerenciamento de aplicativos no Microsoft Intune? Recurso Integre aplicativos locais com o Defender for Cloud Apps

ID de controle FedRAMP e descrição

Orientações e recomendações do Microsoft Entra

GESTÃO DE CONTAS AC-2

A Organização
a) Identifica e seleciona os seguintes tipos de contas do sistema de informação para suportar missões organizacionais/funções de negócios: [Atribuição: tipos de conta de sistema de informação definidos pela organização];

b) Atribui gestores de contas para contas do sistema de informação;

c) Estabelece condições para a participação em grupos e funções;

d) Especifica usuários autorizados do sistema de informações, associação de grupo e função, e autorizações de acesso (ou seja, privilégios) e outros atributos (conforme necessário) para cada conta;

e) Requer aprovações por [Atribuição: pessoal ou funções definidas pela organização] para solicitações de criação de contas do sistema de informações;

f) Cria, habilita, modifica, desabilita e remove contas do sistema de informações de acordo com [Atribuição: procedimentos ou condições definidos pela organização];

g) Monitoriza a utilização das contas do sistema de informação;

h) Notifica os gerentes de conta:
(1.) Quando as contas não são mais necessárias;
(2.) Quando os usuários são encerrados ou transferidos; e ainda
(3.) Quando a utilização individual do sistema de informação ou a necessidade de conhecimento mudam;

i) Autoriza o acesso ao sistema de informação com base em:
(1.) Uma autorização de acesso válida;
(2.) Utilização prevista do sistema; e ainda
(3.) Outros atributos conforme exigido pela organização ou missões/funções de negócios associadas;

j.) Analisa as contas quanto à conformidade com os requisitos de gerenciamento de conta [Atribuição FedRAMP: mensalmente para acesso privilegiado, a cada 6 (seis) meses para acesso não privilegiado]; e

k) Estabelece um processo para reemitir credenciais de conta compartilhada/de grupo (se implantadas) quando indivíduos são removidos do grupo.

Implemente o gerenciamento do ciclo de vida da conta para contas controladas pelo cliente. Monitore o uso de contas e notifique os gerentes de conta sobre eventos do ciclo de vida da conta. Analise as contas quanto à conformidade com os requisitos de gerenciamento de contas todos os meses para acesso privilegiado e a cada seis meses para acesso não privilegiado.

Use o Microsoft Entra ID para provisionar contas de sistemas de RH externos, Ative Directory local ou diretamente na nuvem. Todas as operações do ciclo de vida da conta são auditadas nos logs de auditoria do Microsoft Entra. Você pode coletar e analisar logs usando uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM), como o Microsoft Sentinel. Como alternativa, você pode usar os Hubs de Eventos do Azure para integrar logs com soluções SIEM de terceiros para habilitar o monitoramento e a notificação. Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para garantir o status de conformidade das contas.

Contas de provisão

Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra

Microsoft Entra Connect Sync: Compreender e personalizar a sincronização

Adicionar ou eliminar utilizadores através do Microsoft Entra ID

Monitorar contas

Relatórios de atividade de auditoria no centro de administração do Microsoft Entra

Conectar dados do Microsoft Entra ao Microsoft Sentinel

Tutorial: Transmitir logs para um hub de eventos do Azure

Rever contas

O que é o gerenciamento de direitos do Microsoft Entra?

Criar uma revisão de acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra

Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra

Recursos

Permissões da função de administrador no Microsoft Entra ID

Grupos dinâmicos no Microsoft Entra ID

AC-2(1)
A organização emprega mecanismos automatizados para apoiar a gestão de contas do sistema de informação.

Empregar mecanismos automatizados para dar suporte ao gerenciamento de contas controladas pelo cliente.

Configure o provisionamento automatizado de contas controladas pelo cliente a partir de sistemas de RH externos ou do Ative Directory local. Para aplicativos que oferecem suporte ao provisionamento de aplicativos, configure o Microsoft Entra ID para criar automaticamente identidades de usuário e funções em aplicativos de software de nuvem como uma solução (SaaS) aos quais os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Para facilitar o monitoramento do uso da conta, você pode transmitir logs de Proteção de ID do Microsoft Entra, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria diretamente no Microsoft Sentinel ou Hubs de Eventos.

Aprovisionar o

Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra

Microsoft Entra Connect Sync: Compreender e personalizar a sincronização

O que é o provisionamento automatizado de usuários de aplicativos SaaS no Microsoft Entra ID?

Tutoriais de integração de aplicativos SaaS para uso com o Microsoft Entra ID

Monitorizar e auditar

Investigar o risco

Relatórios de atividade de auditoria no centro de administração do Microsoft Entra

O que é o Microsoft Sentinel?

Microsoft Sentinel: Conectar dados do Microsoft Entra ID

Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure

AC-2(2)
O sistema de informação automaticamente [FedRAMP Selection: desativa] contas temporárias e de emergência após [FedRAMP Assignment: 24 horas a partir da última utilização].

AC-02(3)
O sistema de informação desativa automaticamente as contas inativas após [Atribuição FedRAMP: trinta e cinco (35) dias para contas de utilizador].

AC-2 (3) Requisitos e orientações adicionais do FedRAMP:
Requisito: O provedor de serviços define o período de tempo para contas de não-usuário (por exemplo, contas associadas a dispositivos). Os prazos são aprovados e aceites pelo JAB/AO. Sempre que a gestão dos utilizadores seja uma função do serviço, devem ser disponibilizados relatórios de atividade dos utilizadores consumidores.

Utilize mecanismos automatizados para suportar a remoção ou desativação automática de contas temporárias e de emergência após 24 horas da última utilização e todas as contas controladas pelo cliente após 35 dias de inatividade.

Implemente a automação do gerenciamento de contas com o Microsoft Graph e o Microsoft Graph PowerShell. Use o Microsoft Graph para monitorar a atividade de entrada e o Microsoft Graph PowerShell para executar ações em contas no período de tempo necessário.

Determinar inatividade

Gerenciar contas de usuário inativas no Microsoft Entra ID

Gerenciar dispositivos obsoletos no Microsoft Entra ID

Remover ou desativar contas

Trabalhando com usuários no Microsoft Graph

Obter um utilizador

Atualizar usuário

Eliminar um utilizador

Trabalhar com dispositivos no Microsoft Graph

Obter dispositivo

Atualizar dispositivo

Excluir dispositivo

Consulte a documentação do Microsoft Graph PowerShell

CA-2(4)
O sistema de informação audita automaticamente as ações de criação, modificação, ativação, desativação e remoção de contas e notifica [Atribuição FedRAMP: proprietário do sistema da organização e/ou do provedor de serviços].

Implemente um sistema automatizado de auditoria e notificação para o ciclo de vida do gerenciamento de contas controladas pelo cliente.

Todas as operações do ciclo de vida da conta, como ações de criação, modificação, habilitação, desativação e remoção de contas, são auditadas nos logs de auditoria do Azure. Você pode transmitir os logs diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar com a notificação.

Audit

Relatórios de atividade de auditoria no centro de administração do Microsoft Entra

Microsoft Sentinel: Conectar dados do Microsoft Entra ID

Notificação

O que é o Microsoft Sentinel?

Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure

CA-2(5)
A organização exige que os usuários efetuem logout quando [Atribuição FedRAMP: a inatividade deve exceder quinze (15) minutos].

AC-2 (5) Requisitos e orientações adicionais do FedRAMP:
Orientação: Deve usar um período de tempo mais curto do que AC-12

Implemente o logout do dispositivo após um período de 15 minutos de inatividade.

Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional que restrinja o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções de gestão de dispositivos móveis (MDM), como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente.

Acesso Condicional

Exigir que o dispositivo seja marcado como conforme

Frequência de início de sessão do utilizador

Política de MDM

Configure dispositivos para o máximo de minutos de inatividade até que a tela bloqueie e exija uma senha para desbloquear (Android, iOS, Windows 10).

AC-2(7)

A organização:
a) Estabelece e administra contas de usuário privilegiadas de acordo com um esquema de acesso baseado em função que organiza o acesso permitido ao sistema de informações e privilégios em funções;
(b) Monitoriza as atribuições de funções privilegiadas;
(c) Aceita [Atribuição FedRAMP: desabilita/revoga o acesso dentro de um período de tempo especificado pela organização] quando as atribuições de função privilegiadas não são mais apropriadas.

Administre e monitore atribuições de funções privilegiadas seguindo um esquema de acesso baseado em função para contas controladas pelo cliente. Desative ou revogue o acesso de privilégio para contas quando não for mais apropriado.

Implemente o Microsoft Entra Privileged Identity Management com revisões de acesso para funções privilegiadas no Microsoft Entra ID para monitorar atribuições de função e remover atribuições de função quando não forem mais apropriadas. Você pode transmitir logs de auditoria diretamente para o Microsoft Sentinel ou Hubs de Eventos para ajudar no monitoramento.

Administrar

O que é o Microsoft Entra Privileged Identity Management?

Duração máxima da ativação

Monitor

Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management

Exibir histórico de auditoria para funções do Microsoft Entra no Privileged Identity Management

Relatórios de atividade de auditoria no centro de administração do Microsoft Entra

O que é o Microsoft Sentinel?

Conectar dados do Microsoft Entra ID

Tutorial: Transmitir logs do Microsoft Entra para um hub de eventos do Azure

CA-2(11)
O sistema de informações impõe [Atribuição: circunstâncias definidas pela organização e/ou condições de uso] para [Atribuição: contas do sistema de informações definidas pela organização].

Impor o uso de contas controladas pelo cliente para atender às condições ou circunstâncias definidas pelo cliente.

Crie políticas de Acesso Condicional para impor decisões de controle de acesso entre usuários e dispositivos.

Acesso Condicional

Criar uma política de Acesso Condicional

O que é Acesso Condicional?

AC-2(12)

A organização:
(a) Monitoriza as contas do sistema de informação para [Atribuição: utilização atípica definida pela organização];
(b) Relata o uso atípico de contas do sistema de informação para [Atribuição FedRAMP: no mínimo, o ISSO e/ou função semelhante dentro da organização].

AC-2 (12) (a) e AC-2 (12) (b) Requisitos e orientações adicionais do FedRAMP:
Necessário para contas privilegiadas.

Monitore e relate contas controladas pelo cliente com acesso privilegiado para uso atípico.

Para obter ajuda com o monitoramento do uso atípico, você pode transmitir logs de Proteção de ID do Microsoft Entra, que mostram usuários arriscados, entradas arriscadas e deteções de risco, e logs de auditoria, que ajudam na correlação com a atribuição de privilégios, diretamente em uma solução SIEM, como o Microsoft Sentinel. Você também pode usar Hubs de Eventos para integrar logs com soluções SIEM de terceiros.

Proteção de ID

O que é o Microsoft Entra ID Protection?

Investigar o risco

Notificações do Microsoft Entra ID Protection

Monitorar contas

O que é o Microsoft Sentinel?

Relatórios de atividade de auditoria no centro de administração do Microsoft Entra

Conectar dados do Microsoft Entra ao Microsoft Sentinel

Tutorial: Transmitir logs para um hub de eventos do Azure

CA-2(13)
A organização desativa contas de usuários que representam um risco significativo em [Atribuição FedRAMP: uma (1) hora] de descoberta do risco.

Desative contas controladas pelo cliente de usuários que representam um risco significativo em uma hora.

No Microsoft Entra ID Protection, configure e habilite uma política de risco do usuário com o limite definido como Alto. Crie políticas de Acesso Condicional para bloquear o acesso de utilizadores arriscados e entradas arriscadas. Configure políticas de risco para permitir que os usuários se autocorrijam e desbloqueiem tentativas de entrada subsequentes.

Proteção de ID

O que é o Microsoft Entra ID Protection?

Acesso Condicional

O que é Acesso Condicional?

Criar uma política de Acesso Condicional

Acesso condicional: Acesso condicional baseado no risco do utilizador

Acesso condicional: Acesso condicional baseado no risco de entrada

Auto-remediação com política de risco

AC-6(7)

A organização:
a) Revisa [Atribuição FedRAMP: no mínimo, anualmente] os privilégios atribuídos a [Atribuição FedRAMP: todos os usuários com privilégios] para validar a necessidade de tais privilégios;
b) Reatribui ou remove privilégios, se necessário, para refletir corretamente a missão organizacional/necessidades de negócios.

Revise e valide todos os usuários com acesso privilegiado todos os anos. Certifique-se de que os privilégios sejam reatribuídos (ou removidos, se necessário) para se alinharem com a missão organizacional e os requisitos de negócios.

Use o gerenciamento de direitos do Microsoft Entra com revisões de acesso para usuários privilegiados para verificar se o acesso privilegiado é necessário.

Revisões de acesso

O que é o gerenciamento de direitos do Microsoft Entra?

Criar uma revisão de acesso das funções do Microsoft Entra no Privileged Identity Management

Revisar o acesso de um pacote de acesso no gerenciamento de direitos do Microsoft Entra

AC-7 Tentativas de login sem sucesso

A organização:
a) Impõe um limite de [Atribuição FedRAMP: não mais de três (3)] tentativas de logon inválidas consecutivas por um usuário durante uma [Atribuição FedRAMP: quinze (15) minutos];
b) Automaticamente [Seleção: bloqueia a conta/nó para uma [Atribuição FedRAMP: mínimo de três (3) horas ou até ser desbloqueado por um administrador]; atrasa o próximo prompt de logon de acordo com [Atribuição: algoritmo de atraso definido pela organização]] quando o número máximo de tentativas malsucedidas é excedido.

Imponha um limite de no máximo três tentativas consecutivas de login com falha em recursos implantados pelo cliente dentro de um período de 15 minutos. Bloqueie a conta por um período mínimo de três horas ou até ser desbloqueada por um administrador.

Habilite as configurações personalizadas de bloqueio inteligente. Configure o limite e a duração do bloqueio em segundos para implementar esses requisitos.

Bloqueio inteligente

Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra

Gerenciar valores de bloqueio inteligente do Microsoft Entra

Notificação de uso do sistema AC-8

O sistema de informação:
a) Exibe aos usuários [Atribuição: mensagem ou banner de notificação de uso do sistema definido pela organização (Atribuição FedRAMP: consulte Requisitos e Orientações adicionais)] antes de conceder acesso ao sistema que fornece avisos de privacidade e segurança consistentes com as leis federais, ordens executivas, diretrizes, políticas, regulamentos, normas e orientações aplicáveis e declara que:
(1.) Os usuários estão acessando um sistema de informações do governo dos EUA;
(2.) A utilização do sistema de informação pode ser monitorizada, registada e sujeita a auditoria;
(3.) A utilização não autorizada do sistema de informação é proibida e sujeita a sanções penais e civis; e ainda
(4.) A utilização do sistema de informação indica o consentimento para a monitorização e o registo;

b) Retém a mensagem de notificação ou banner na tela até que os usuários reconheçam as condições de uso e tomem ações explícitas para fazer logon ou acessar ainda mais o sistema de informação; e ainda

c) Para os sistemas acessíveis ao público:
(1.) Exibe informações de uso do sistema [Atribuição: condições definidas pela organização (Atribuição FedRAMP: consulte Requisitos e Orientações adicionais)], antes de conceder acesso adicional;
(2.) Exibe referências, se houver, a monitoramento, gravação ou auditoria que sejam consistentes com acomodações de privacidade para tais sistemas que geralmente proíbem essas atividades; e ainda
(3.) Inclui uma descrição das utilizações autorizadas do sistema.

AC-8 Requisitos e orientações adicionais do FedRAMP:
Requisito: O provedor de serviços deve determinar os elementos do ambiente de nuvem que exigem o controle de Notificação de Uso do Sistema. Os elementos do ambiente de nuvem que exigem Notificação de Uso do Sistema são aprovados e aceitos pelo JAB/AO.
Requisito: O prestador de serviços deve determinar a forma como a Notificação de Utilização do Sistema vai ser verificada e fornecer a periodicidade adequada da verificação. A verificação e a periodicidade da Notificação de Utilização do Sistema são aprovadas e aceites pelo JAB/AO.
Orientação: Se realizada como parte de uma verificação da Linha de Base de Configuração, a % de itens que requerem configuração que estão marcados e que passam (ou falham) na verificação podem ser fornecidas.
Requisito: Se não for realizada como parte de uma verificação da Linha de Base de Configuração, deve haver um acordo documentado sobre como fornecer os resultados da verificação e a periodicidade necessária da verificação pelo provedor de serviços. O acordo documentado sobre como fornecer verificação dos resultados é aprovado e aceito pelo JAB/AO.

Exibir e exigir que o usuário reconheça os avisos de privacidade e segurança antes de conceder acesso aos sistemas de informação.

Com o Microsoft Entra ID, você pode enviar mensagens de notificação ou banner para todos os aplicativos que exigem e registrar confirmação antes de conceder acesso. Você pode segmentar granularmente essas políticas de termos de uso para usuários específicos (Membro ou Convidado). Você também pode personalizá-los por aplicativo por meio de políticas de Acesso Condicional.

Termos de Uso

Termos de Utilização do Microsoft Entra

Ver relatório de quem aceitou e recusou

Controle de sessão simultânea AC-10
O sistema de informação limita o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ou tipo de conta] a [Atribuição FedRAMP: três (3) sessões para acesso privilegiado e duas (2) sessões para acesso não privilegiado].

Limite as sessões simultâneas a três sessões para acesso privilegiado e duas para acesso não privilegiado.

Atualmente, os usuários se conectam a partir de vários dispositivos, às vezes simultaneamente. Limitar sessões simultâneas leva a uma experiência de usuário degradada e fornece valor de segurança limitado. Uma abordagem melhor para lidar com a intenção por trás desse controle é adotar uma postura de segurança de confiança zero. As condições são explicitamente validadas antes de uma sessão ser criada e continuamente validadas ao longo da vida de uma sessão.

Além disso, use os seguintes controles de compensação.

Use políticas de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor restrições de início de sessão ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas.

Use o Privileged Identity Management para restringir e controlar ainda mais as contas privilegiadas.

Configure o bloqueio de conta inteligente para tentativas de entrada inválidas.

Orientações para a aplicação

Confiança zero

Protegendo a identidade com Zero Trust

Avaliação contínua de acesso no Microsoft Entra ID

Acesso Condicional

O que é Acesso Condicional no Microsoft Entra ID?

Exigir que o dispositivo seja marcado como conforme

Frequência de início de sessão do utilizador

Políticas de dispositivos

Outras configurações de Diretiva de Grupo de cartão inteligente e chaves do Registro

Visão geral do Microsoft Endpoint Manager

Recursos

O que é o Microsoft Entra Privileged Identity Management?

Proteja as contas de utilizador contra ataques com o bloqueio inteligente do Microsoft Entra

Consulte o AC-12 para obter mais orientações sobre reavaliação de sessão e mitigação de riscos.

Bloqueio de sessão AC-11
O sistema de informação:
(a) Impede o acesso adicional ao sistema iniciando um bloqueio de sessão após [Atribuição FedRAMP: quinze (15) minutos] de inatividade ou após receber uma solicitação de um usuário;
(b) Retém o bloqueio da sessão até que o utilizador restabeleça o acesso utilizando os procedimentos de identificação e autenticação estabelecidos.

AC-11(1)
O sistema de informação oculta, através do bloqueio da sessão, informações previamente visíveis no visor com uma imagem visível publicamente.

Implemente um bloqueio de sessão após um período de 15 minutos de inatividade ou ao receber uma solicitação de um usuário. Mantenha o bloqueio de sessão até que o usuário se autentique novamente. Ocultar informações visíveis anteriormente quando um bloqueio de sessão é iniciado.

Implemente o bloqueio de dispositivo usando uma política de Acesso Condicional para restringir o acesso a dispositivos compatíveis. Configure as definições de política no dispositivo para impor o bloqueio do dispositivo ao nível do SO com soluções MDM, como o Intune. O Endpoint Manager ou objetos de política de grupo também podem ser considerados em implantações híbridas. Para dispositivos não gerenciados, configure a configuração Freqüência de entrada para forçar os usuários a se autenticarem novamente.

Acesso Condicional

Exigir que o dispositivo seja marcado como conforme

Frequência de início de sessão do utilizador

Política de MDM

Configure dispositivos para o máximo de minutos de inatividade até que a tela bloqueie (Android, iOS, Windows 10).

Encerramento da sessão AC-12
O sistema de informações encerra automaticamente uma sessão de usuário após [Atribuição: condições definidas pela organização ou eventos de gatilho que exigem desconexão da sessão].

Encerre automaticamente as sessões do usuário quando ocorrerem condições definidas pela organização ou eventos de gatilho.

Implemente a reavaliação automática da sessão do usuário com recursos do Microsoft Entra, como Acesso Condicional baseado em risco e avaliação contínua de acesso. Você pode implementar condições de inatividade em um nível de dispositivo, conforme descrito em AC-11.

Recursos

Acesso condicional baseado no risco de início de sessão

Acesso condicional baseado no risco do utilizador

Avaliação contínua do acesso

AC-12(1)
O sistema de informação:
a) Fornece um recurso de logout para sessões de comunicação iniciadas pelo usuário sempre que a autenticação é usada para obter acesso a [Atribuição: recursos de informações definidos pela organização]; e ainda
b) Exibe uma mensagem de logout explícita para os usuários indicando o término confiável de sessões de comunicações autenticadas.

AC-8 Requisitos e orientações adicionais do FedRAMP:
Orientação: Testando a funcionalidade de logout (OTG-SESS-006) Testando a funcionalidade de logout

Forneça um recurso de logout para todas as sessões e exiba uma mensagem de logout explícita.

Todas as interfaces da Web com ID do Microsoft Entra fornecem um recurso de logout para sessões de comunicação iniciadas pelo usuário. Quando os aplicativos SAML são integrados com o Microsoft Entra ID, implemente o logon único.

Capacidade de logout

Quando o usuário seleciona Sair em todos os lugares, todos os tokens emitidos atualmente são revogados.

Apresentar mensagem
O Microsoft Entra ID exibe automaticamente uma mensagem após o logout iniciado pelo usuário.

Captura de tela que mostra uma mensagem de controle de acesso.

Recursos

Veja e pesquise a sua atividade de início de sessão recente a partir da página Os meus inícios de sessão

Protocolo SAML de Fim de Sessão Único

AC-20 Utilização de Sistemas de Informação Externos
A organização estabelece termos e condições, consistentes com quaisquer relações de confiança estabelecidas com outras organizações que possuam, operem e/ou mantenham sistemas de informação externos, permitindo que indivíduos autorizados:
a) Aceder ao sistema de informação a partir de sistemas de informação externos; e ainda
b) Processar, armazenar ou transmitir informações controladas pela organização usando sistemas de informação externos.

AC-20(1)
A organização permite que indivíduos autorizados usem um sistema de informação externo para acessar o sistema de informações ou para processar, armazenar ou transmitir informações controladas pela organização somente quando a organização:
a) Verifica a implementação dos controles de segurança necessários no sistema externo, conforme especificado na política de segurança da informação e no plano de segurança da organização; quer
b) Retém acordos aprovados de conexão ou processamento do sistema de informação com a entidade organizacional que hospeda o sistema de informação externo.

Estabeleça termos e condições que permitam que indivíduos autorizados acessem os recursos implantados pelo cliente a partir de sistemas de informação externos, como dispositivos não gerenciados e redes externas.

Exigir a aceitação dos termos de uso para usuários autorizados que acessam recursos de sistemas externos. Implementar políticas de Acesso Condicional para restringir o acesso de sistemas externos. As políticas de Acesso Condicional podem ser integradas ao Defender for Cloud Apps para fornecer controles para aplicativos na nuvem e locais de sistemas externos. O gerenciamento de aplicativos móveis no Intune pode proteger os dados da organização no nível do aplicativo, incluindo aplicativos personalizados e aplicativos da loja, de dispositivos gerenciados que interagem com sistemas externos. Um exemplo seria o acesso a serviços em nuvem. Você pode usar o gerenciamento de aplicativos em dispositivos de propriedade da organização e dispositivos pessoais.

Termos e condições da pré-visualização

Termos de utilização: Microsoft Entra ID

Acesso Condicional

Exigir que o dispositivo seja marcado como conforme

Condições na política de Acesso Condicional: Estado do dispositivo (pré-visualização)

Proteja com o Controle de Aplicativo de Acesso Condicional do Microsoft Defender for Cloud Apps

Condição de localização no Acesso Condicional do Microsoft Entra

MDM

O que é o Microsoft Intune?

O que é o Defender for Cloud Apps?

O que é o gerenciamento de aplicativos no Microsoft Intune?

Recurso