NIST-Authentifikatorsicherheitsstufe 2 mit Microsoft Entra ID
Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen, die mit US-Bundesbehörden zusammenarbeiten, müssen diese Anforderungen erfüllen.
Bevor Sie versuchen, AAL2 (Authenticator Assurance Level 2) zu erfüllen, können Sie die folgenden Ressourcen konsultieren:
- NIST-Übersicht: Grundlegendes zu AAL-Ebenen
- Authentifizierungsgrundlagen: Begriffe und Authentifizierungstypen
- NIST-Authentifikatortypen: Authentifikatortypen
- NIST-AALs: AAL-Komponenten und Microsoft Entra-Authentifizierungsmethoden
Zulässige AAL2-Authentifikatortypen
Die folgende Tabelle enthält Authentifikatortypen, die für AAL2 zulässig sind:
| Microsoft Entra-Authentifizierungsmethode | Sicher gegen Phishing | NIST-Authentifikatortyp |
|---|---|---|
| Empfohlene Methoden | ||
| Multi-Faktor-Softwarezertifikat Windows Hello for Business mit softwaregestütztem TPM (Trusted Platform Module) |
Ja | Multi-Factor-Kryptografiesoftware |
| Hardwaregeschütztes Multi-Faktor-Zertifikat FIDO 2-Sicherheitsschlüssel Plattform-SSO für macOS (Secure Enclave) Windows Hello for Business mit Hardware-TPM Passkey in Microsoft Authenticator |
Ja | Multi-Factor-Kryptografiehardware |
| Weitere Methoden | ||
| Microsoft Authenticator-App (Anmeldung per Telefon) | No | Multi-Faktor Out-of-band |
| Kennwort AND – Microsoft Authenticator-App (Pushbenachrichtigung) - OR - Microsoft Authenticator Lite (Pushbenachrichtigung) - ODER – Telefon (SMS) |
No | Gespeichertes Geheimnis AND Single-Factor Out-of-band |
| Kennwort AND – OATH-Hardwaretoken (Vorschau) - OR – Microsoft Authenticator-App (OTP) - ODER - Microsoft Authenticator-App (OTP) - ODER Oath-Softwaretoken |
No | Gespeichertes Geheimnis AND Single-Factor OTP |
| Kennwort AND – Single-Factor-Softwarezertifikat - OR - In Microsoft Entra eingebunden mit Software TPM - OR - In Microsoft Entra hybrid eingebunden mit Software TPM - OR – Kompatibles mobiles Gerät |
Ja1 | Gespeichertes Geheimnis AND Single-Factor-Kryptografiesoftware |
| Kennwort AND – In Microsoft Entra eingebunden mit Hardware TPM - OR – In Microsoft Entra hybrid eingebunden mit Hardware TPM |
Ja1 | Gespeichertes Geheimnis AND Single-Factor-Kryptografiehardware |
1 Schutz vor externem Phishing
AAL2-Empfehlungen
Verwenden Sie für AAL2 eine kryptografische Multi-Faktor-Authentifizierung. Dies ist einerseits Phishing-resistent und beseitigt andererseits die größte Angriffsfläche (das Kennwort) und bietet Benutzenden eine optimierte Methode zur Authentifizierung.
Einen Leitfaden zur Auswahl einer kennwortlosen Authentifizierungsmethode finden Sie unter Planen einer Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID. Weitere Informationen finden Sie auch in der Bereitstellungsanleitung für Windows Hello for Business.
FIPS 140-Validierung
In den folgenden Abschnitten erfahren Sie mehr über die FIPS 140-Validierung.
Anforderungen an Überprüfer
Microsoft Entra ID verwendet für die kryptografischen Vorgänge zur Authentifizierung das gesamtvalidierte Kryptografiemodul Windows FIPS 140 Level 1 Overall. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, der von US-Regierungsbehörden angefordert wird.
Anforderungen an Authentifikatoren
Die kryptografischen Authentifikatoren von US-Regierungsbehörden müssen gemäß Windows FIPS 140 Level 1 Overall validiert sein. Diese Anforderung gilt nicht für Institutionen, die keine US-Regierungsbehörden sind. Die folgenden Microsoft Entra-Authentifikatoren erfüllen die Anforderung, wenn sie unter Windows in einem gemäß FIPS 140 genehmigten Betriebsmodus ausgeführt werden:
Kennwort
In Microsoft Entra eingebunden mit Software oder Hardware TPM
In Microsoft Entra hybrid eingebunden mit Software oder Hardware TPM
Windows Hello for Business mit Software- oder Hardware-TPM
In Software oder Hardware gespeichertes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
Weitere Informationen zur FIPS 140-Konformität der Microsoft Authenticator-App (iOS/Android) finden Sie unter FIPS 140-Konformität für die Microsoft Entra-Authentifizierung.
Für OATH-Hardwaretoken und Smartcards empfehlen wir Ihnen, sich bei Ihrem Anbieter über den aktuellen FIPS-Validierungsstatus zu informieren.
Anbieter von FIDO 2-Sicherheitsschlüsseln befinden sich in verschiedenen Phasen der FIPS-Zertifizierung. Es wird empfohlen, die Liste der unterstützten FIDO 2-Schlüsselanbieter zu überprüfen. Wenden Sie sich an Ihren Anbieter, um den aktuellen FIPS-Validierungsstatus zu erfahren.
Plattform-SSO für macOS ist FIPS 140-konform. Sie sollten sich die Apple Plattform-Zertifizierungen ansehen.
Erneute Authentifizierung
Zum Erfüllen von AAL2 erfordert NIST alle 12 Stunden unabhängig von der Benutzeraktivität eine erneute Authentifizierung. Eine erneute Authentifizierung ist nach mindestens 30 Minuten Inaktivität erforderlich. Da das Sitzungsgeheimnis etwas ist, das Sie haben, ist es erforderlich, etwas zu präsentieren, das Sie wissen oder sind.
Um die Anforderung einer erneuten Authentifizierung unabhängig von der Benutzeraktivität zu erfüllen, empfiehlt Microsoft, die Anmeldehäufigkeit für Benutzer auf 12 Stunden festzulegen.
Gemäß NIST können Sie kompensierende Kontrollmechanismen verwenden, um die Anwesenheit von Teilnehmern zu bestätigen:
Legen Sie das Timeout bei Sitzungsinaktivität auf 30 Minuten fest: Sperren Sie das Gerät über Microsoft System Center Configuration Manager, Gruppenrichtlinienobjekte oder Intune auf Betriebssystemebene. Fordern Sie eine lokale Authentifizierung an, damit der Teilnehmer das Gerät entsperren kann.
Timeout unabhängig von der Aktivität: Führen Sie eine geplante Aufgabe (in Configuration Manager, Gruppenrichtlinienobjekt oder Intune) aus, um den Computer unabhängig von der Aktivität nach 12 Stunden zu sperren.
Man-in-the-Middle-Widerstand
Die Kommunikation zwischen Anforderer und Microsoft Entra ID erfolgt über einen authentifizierten, geschützten Kanal. Diese Konfiguration bietet Widerstandsfähigkeit gegen Man-in-the-Middle-Angriffe (MitM) und erfüllt die MitM-Widerstandsanforderungen für AAL1, AAL2 und AAL3.
Replay-Widerstand
Microsoft Entra-Authentifizierungsmethoden gemäß AAL2 verwenden Nonce oder Herausforderungen. Die Methoden sind widerstandsfähig gegen Replay-Angriffe, da der Prüfmechanismus wiederholte Authentifizierungstransaktionen leicht erkennt. Solche Transaktionen enthalten nicht die erforderlichen Nonce- oder Aktualitätsdaten.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID