Sdílet prostřednictvím


Úroveň záruky authenticatoru NIST 2 s ID Microsoft Entra

National Institute of Standards and Technology (NIST) vyvíjí technické požadavky pro federální agentury USA implementovaných řešení identit. Organizace pracující s federálními institucemi musí splňovat tyto požadavky.

Před zahájením ověřování úrovně 2 (AAL2) si můžete prohlédnout následující zdroje informací:

  • Přehled NIST: Vysvětlení úrovní AAL
  • Základy ověřování: Terminologie a typy ověřování
  • Typy ověřovacího programu NIST: Typy authenticatoru
  • AALs NIST: Komponenty AAL a metody ověřování Microsoft Entra

Povolené typy ověřovacího programu AAL2

Následující tabulka obsahuje typy authenticatoru povolené pro AAL2:

Metoda ověřování Microsoft Entra Phishingodolný Typ ověřovacího objektu NIST
Doporučené metody
Vícefaktorový softwarový certifikát
Windows Hello pro firmy s čipem TPM (Software Trusted Platform Module)
Ano Multi-factor crypto software
Vícefaktorový certifikát chráněný hardwarem
Klíč zabezpečení FIDO 2
Jednotné přihlašování platformy pro macOS (Secure Enclave)
Windows Hello pro firmy s hardwarovým čipem TPM
Klíč v Microsoft Authenticatoru
Ano Multi-factor crypto hardware
Další metody
Aplikace Microsoft Authenticator (přihlášení pro telefon) No Vícefaktorové mimo pásma
Heslo
A
– Aplikace Microsoft Authenticator (nabízené oznámení)
- NEBO
– Microsoft Authenticator Lite (nabízené oznámení)
- NEBO
- Telefon (SMS)
No Zapamatovaný tajný kód
A
Jednofaktorové mimo pásma
Heslo
A
– Hardwarové tokeny OATH (Preview)
- NEBO
– Aplikace Microsoft Authenticator (OTP)
- NEBO
– Microsoft Authenticator Lite (OTP)
- NEBO
– Softwarové tokeny OATH
No Zapamatovaný tajný kód
A
Jednofaktorové jednorázové heslo
Heslo
A
- Jednofaktorový softwarový certifikát
- NEBO
– Microsoft Entra připojený k softwarovému čipu TPM
- NEBO
– Hybridní připojení Microsoft Entra se softwarovým čipem TPM
- NEBO
- Kompatibilní mobilní zařízení
Ano1 Zapamatovaný tajný kód
A
Kryptografický software s jedním faktorem
Heslo
A
– Microsoft Entra připojený k hardwarovému čipu TPM
- NEBO
– Hybridní připojení Microsoft Entra k hardwarovému čipu TPM
Ano1 Zapamatovaný tajný kód
A
Kryptografický hardware s jedním faktorem

1 Ochrana před externími útoky phishing

Doporučení AAL2

Pro AAL2 použijte vícefaktorové kryptografické ověřování. To je odolné proti útokům phishing, eliminuje největší prostor pro útoky (heslo) a nabízí uživatelům zjednodušenou metodu ověřování.

Pokyny k výběru metody ověřování bez hesla najdete v tématu Plánování nasazení ověřování bez hesla v Microsoft Entra ID. Viz také průvodce nasazením Windows Hello pro firmy

Ověřování FIPS 140

Informace o ověřování FIPS 140 najdete v následujících částech.

Požadavky na ověřovatele

Microsoft Entra ID používá windows FIPS 140 Úroveň 1 celkový ověřený kryptografický modul pro ověřovací kryptografické operace. Proto je to ověřovatel kompatibilní s FIPS 140 vyžadovaný vládními úřady.

Požadavky na authenticator

Kryptografické ověřovací moduly agentury pro státní správu jsou ověřeny pro FIPS 140 úroveň 1 celkově. Tento požadavek není určen pro nevládní agentury. Následující ověřovací program Microsoft Entra splňuje požadavek při spuštění ve Windows v režimu schváleném fiPS 140:

  • Heslo

  • Microsoft Entra připojený k softwaru nebo hardwaru TPM

  • Hybridní připojení Microsoft Entra se softwarem nebo hardwarovým čipem TPM

  • Windows Hello pro firmy se softwarem nebo hardwarem TPM

  • Certifikát uložený v softwaru nebo hardwaru (čipová karta/ bezpečnostní klíč/TPM)

Informace o dodržování předpisů pro aplikaci Microsoft Authenticator (iOS/Android) FIPS 140 najdete v tématu Dodržování předpisů FIPS 140 pro ověřování Microsoft Entra.

U hardwarových tokenů OATH a čipových karet doporučujeme, abyste se s vaším poskytovatelem poradili s aktuálním stavem ověření FIPS.

Poskytovatelé klíčů zabezpečení FIDO 2 jsou v různých fázích certifikace FIPS. Doporučujeme projít si seznam podporovaných dodavatelů klíčů FIDO 2. Aktuální stav ověření FIPS vám poskytne váš poskytovatel.

Jednotné přihlašování platformy pro macOS je kompatibilní se standardem FIPS 140. Doporučujeme odkazovat na certifikace platformy Apple.

Opětovné ověření

V případě AAL2 se požadavek NIST znovu provádí každých 12 hodin bez ohledu na aktivitu uživatelů. Opětovné ověření se vyžaduje po určité době nečinnosti 30 minut nebo déle. Protože tajný kód relace je něco, co máte, je nutné prezentovat něco, co víte nebo jsou.

Microsoft doporučuje nakonfigurovat frekvenci přihlašování uživatelů na 12 hodin, aby splňovala požadavek na opětovné ověření bez ohledu na aktivitu uživatele.

Pomocí nist můžete pomocí kompenzačních ovládacích prvků ověřit přítomnost odběratele:

  • Nastavte časový limit nečinnosti relace na 30 minut: Uzamkněte zařízení na úrovni operačního systému pomocí Microsoft System Center Configuration Manageru, objektů zásad skupiny (GPO) nebo Intune. Aby ho předplatitel odemkl, vyžaduje místní ověřování.

  • Časový limit bez ohledu na aktivitu: Spuštěním naplánované úlohy (Configuration Manager, objekt zásad skupiny nebo Intune) zamkněte počítač po 12 hodinách bez ohledu na aktivitu.

Man-in-the-middle odpor

Komunikace mezi deklaracemi a ID Microsoft Entra se provádí prostřednictvím ověřeného chráněného kanálu. Tato konfigurace poskytuje odolnost vůči útokům mitm (man-in-the-middle) a splňuje požadavky na odolnost MitM pro AAL1, AAL2 a AAL3.

Replay odpor

Metody ověřování Microsoft Entra v AAL2 používají jiné než výzvy. Metody odporují útokům přehrání, protože ověřovatel detekuje přehrání ověřovacích transakcí. Takové transakce nebudou obsahovat potřebná data o nedosahování ani včasnosti.

Další kroky

Přehled NIST

Další informace o AALs

Základy ověřování

Typy ověřovacího programu NIST

Dosažení AAL1 NIST s Microsoft Entra ID

Dosažení AAL2 NIST s Microsoft Entra ID

Dosažení AAL3 NIST s Microsoft Entra ID