NIST authenticator assurance level 2 met Microsoft Entra ID
Het National Institute of Standards and Technology (NIST) ontwikkelt technische vereisten voor amerikaanse federale instanties die identiteitsoplossingen implementeren. Organisaties die met federale agentschappen werken, moeten aan deze vereisten voldoen.
Voordat u begint met authenticatorcontroleniveau 2 (AAL2), ziet u de volgende resources:
- Overzicht van NIST: Inzicht in AAL-niveaus
- Basisbeginselen van verificatie: Terminologie en verificatietypen
- NIST-verificatortypen: Verificatortypen
- NIST AALs: AAL-onderdelen en Verificatiemethoden van Microsoft Entra
Toegestane AAL2-verificatortypen
In de volgende tabel zijn verificatortypen toegestaan voor AAL2:
| Microsoft Entra-verificatiemethode | Phishingbestendig | Type NIST-verificator |
|---|---|---|
| Aanbevolen methoden | ||
| Multi-Factor Software-certificaat Windows Hello voor Bedrijven met TPM (Software Trusted Platform Module) |
Ja | Multi-Factor Crypto Software |
| Met multi-factor hardware beveiligd certificaat FIDO 2-beveiligingssleutel Platform-SSO voor macOS (Secure Enclave) Windows Hello voor Bedrijven met hardware-TPM Wachtwoordsleutel in Microsoft Authenticator |
Ja | Multi-Factor Crypto hardware |
| Aanvullende methoden | ||
| Microsoft Authenticator-app (aanmelden via telefoon) | Nee | Multi-factor out-of-band |
| Wachtwoord EN - Microsoft Authenticator-app (pushmelding) - OF - Microsoft Authenticator Lite (pushmelding) - OF - Telefoon (sms) |
Nee | Memorized geheim EN Single-factor out-of-band |
| Wachtwoord EN - OATH-hardwaretokens (preview) - OF - Microsoft Authenticator-app (OTP) - OF - Microsoft Authenticator Lite (OTP) - OF - OATH-softwaretokens |
Nee | Memorized geheim EN Otp met één factor |
| Wachtwoord EN - Single-Factor Software Certificate - OF - Microsoft Entra toegevoegd aan software-TPM - OF - Microsoft Entra hybride gekoppeld aan software-TPM - OF - Compatibel mobiel apparaat |
Ja1 | Memorized geheim EN Cryptosoftware met één factor |
| Wachtwoord EN - Microsoft Entra gekoppeld aan hardware TPM - OF - Microsoft Entra hybride gekoppeld met hardware TPM |
Ja1 | Memorized geheim EN Hardware met één factor crypto |
1 Bescherming tegen externe phishing
AAL2-aanbevelingen
Gebruik voor AAL2 multi-factor cryptografische verificator. Dit is phishingbestendig, elimineert het grootste aanvalsoppervlak (het wachtwoord) en biedt gebruikers een gestroomlijnde methode om te verifiëren.
Zie Een implementatie van verificatie zonder wachtwoord plannen in Microsoft Entra-id voor hulp bij het selecteren van een verificatiemethode zonder wachtwoord. Zie ook Windows Hello voor Bedrijven implementatiehandleiding
FIPS 140-validatie
Gebruik de volgende secties voor meer informatie over FIPS 140-validatie.
Vereisten voor verificator
Microsoft Entra ID maakt gebruik van de algemene gevalideerde cryptografische module van Windows FIPS 140 Niveau 1 voor cryptografische verificatiebewerkingen. Het is daarom een FIPS 140-compatibele verificator die is vereist door overheidsinstanties.
Verificatorvereisten
Cryptografische verificators van overheidsinstanties worden in het algemeen gevalideerd voor FIPS 140 Niveau 1. Deze vereiste is niet voor niet-gouvernementele instanties. De volgende Microsoft Entra authenticators voldoen aan de vereiste bij het uitvoeren op Windows in een door FIPS 140 goedgekeurde modus:
Wachtwoord
Microsoft Entra toegevoegd aan software of met hardware TPM
Microsoft Entra hybride gekoppeld aan software of met hardware TPM
Windows Hello voor Bedrijven met software of met hardware-TPM
Certificaat opgeslagen in software of hardware (smartcard/beveiligingssleutel/TPM)
Voor OATH-hardwaretokens en smartcards raden we u aan contact op te stellen met uw provider voor de huidige FIPS-validatiestatus.
FIDO 2-beveiligingssleutelproviders bevinden zich in verschillende fasen van FIPS-certificering. We raden u aan de lijst met ondersteunde FIDO 2-belangrijke leveranciers te bekijken. Neem contact op met uw provider voor de huidige FIPS-validatiestatus.
Platform-SSO voor macOS is compatibel met FIPS 140. We raden u aan om te verwijzen naar de Apple Platform-certificeringen.
Verificatie opnieuw
Voor AAL2 wordt de NIST-vereiste elke 12 uur opnieuw geverifieerd, ongeacht de gebruikersactiviteit. Herauthenticatie is vereist na een periode van inactiviteit van 30 minuten of langer. Omdat het sessiegeheim iets is dat u hebt, iets presenteert wat u weet of iets bent, is vereist.
Om te voldoen aan de vereiste voor opnieuw verificatie, ongeacht de gebruikersactiviteit, raadt Microsoft aan om de aanmeldingsfrequentie van gebruikers te configureren tot 12 uur.
Met NIST kunt u compenserende besturingselementen gebruiken om de aanwezigheid van abonnees te bevestigen:
Time-out voor sessie-inactiviteit instellen op 30 minuten: Vergrendel het apparaat op besturingssysteemniveau met Microsoft System Center Configuration Manager, groepsbeleidsobjecten (GPO's) of Intune. Voor de abonnee om deze te ontgrendelen, is lokale verificatie vereist.
Time-out ongeacht de activiteit: Voer een geplande taak (Configuration Manager, GPO of Intune) uit om de machine na 12 uur te vergrendelen, ongeacht de activiteit.
Man-in-the-middle weerstand
Communicatie tussen de eiser en Microsoft Entra-id is via een geverifieerd, beveiligd kanaal. Deze configuratie biedt weerstand tegen man-in-the-middle -aanvallen (MitM) en voldoet aan de MitM-weerstandsvereisten voor AAL1, AAL2 en AAL3.
Herhalingsweerstand
Microsoft Entra-verificatiemethoden bij AAL2 maken gebruik van nonce of uitdagingen. De methoden weerstaan replay-aanvallen omdat de verifier opnieuw afgespeelde verificatietransacties detecteert. Dergelijke transacties bevatten geen niet-benodigde gegevens of tijdigheidsgegevens.
Volgende stappen
De basisbeginselen van verificatie
NIST AAL1 bereiken met Microsoft Entra-id