Garantia do autenticador NIST nível 2 com ID do Microsoft Entra

Artigo
11/24/2024

O National Institute of Standards and Technology (NIST) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. As organizações que trabalham com agências federais devem atender a esses requisitos.

Antes de iniciar o nível 2 de garantia do autenticador (AAL2), você pode ver os seguintes recursos:

Visão geral do NIST: Compreender os níveis de AAL
Noções básicas de autenticação: terminologia e tipos de autenticação
Tipos de autenticador NIST: Tipos de autenticador
AALs NIST: componentes AAL e métodos de autenticação Microsoft Entra

Tipos de autenticador AAL2 permitidos

A tabela a seguir tem tipos de autenticador permitidos para AAL2:

Método de autenticação Microsoft Entra	Resistente a phishing	Tipo de autenticador NIST
Métodos recomendados
Certificado de software multifator Windows Hello para Empresas com software Trusted Platform Module (TPM)	Sim	Software de criptografia multifator
Certificado protegido por hardware multifator Chave de segurança FIDO 2 SSO da plataforma para macOS (Secure Enclave) Windows Hello para Empresas com TPM de hardware Chave de acesso no Microsoft Authenticator	Sim	Hardware de criptografia multifator
Métodos adicionais
Aplicação Microsoft Authenticator (Início de sessão por telefone)	Não	Multi-fator fora da banda
Palavra-passe E AINDA - Aplicação Microsoft Authenticator (Push Notification) - OU - Microsoft Authenticator Lite (Notificação Push) - OU - Telefone (SMS)	Não	Segredo memorizado E AINDA Fator único fora da banda
Palavra-passe E AINDA - Tokens de hardware OATH (visualização) - OU - Aplicativo Microsoft Authenticator (OTP) - OU - Microsoft Authenticator Lite (OTP) - OU - Tokens de software OATH	Não	Segredo memorizado E AINDA OTP de fator único
Palavra-passe E AINDA - Certificado de software de fator único - OU - Microsoft Entra juntou-se ao software TPM - OU - Microsoft Entra híbrido unido com software TPM - OU - Dispositivo móvel compatível	Sim¹	Segredo memorizado E AINDA Software de criptografia de fator único
Palavra-passe E AINDA - Microsoft Entra juntou-se com hardware TPM - OU - Microsoft Entra híbrido unido com hardware TPM	Sim¹	Segredo memorizado E AINDA Hardware de criptografia de fator único

1 Proteção contra phishing externo

Recomendações AAL2

Para AAL2, use o autenticador criptográfico multifator. Isso é resistente a phishing, elimina a maior superfície de ataque (a senha) e oferece aos usuários um método simplificado de autenticação.

Para obter orientação sobre como selecionar um método de autenticação sem senha, consulte Planejar uma implantação de autenticação sem senha no Microsoft Entra ID. Consulte também o guia de implantação do Windows Hello for Business

Validação FIPS 140

Use as seções a seguir para saber mais sobre a validação FIPS 140.

Requisitos do verificador

O Microsoft Entra ID usa o módulo criptográfico validado geral do Windows FIPS 140 Nível 1 para operações criptográficas de autenticação. É, portanto, um verificador compatível com FIPS 140 exigido por agências governamentais.

Requisitos do autenticador

Os autenticadores criptográficos de agências governamentais são validados para FIPS 140 Nível 1 em geral. Este requisito não é para agências não-governamentais. Os seguintes autenticadores do Microsoft Entra atendem aos requisitos quando executados no Windows em um modo aprovado pelo FIPS 140:

Palavra-passe
Microsoft Entra juntou-se com software ou com hardware TPM
Microsoft Entra híbrido unido com software ou com hardware TPM
Windows Hello para Empresas com software ou com hardware TPM
Certificado armazenado em software ou hardware (cartão inteligente/chave de segurança/TPM)

Para obter informações de conformidade com o Microsoft Authenticator (iOS/Android) FIPS 140, consulte Compatível com FIPS 140 para autenticação do Microsoft Entra

Para tokens de hardware OATH e cartões inteligentes, recomendamos que você consulte seu provedor para obter o status atual de validação FIPS.

Os fornecedores de chaves de segurança FIDO 2 estão em vários estágios de certificação FIPS. Recomendamos que você revise a lista de fornecedores de chaves FIDO 2 suportados. Consulte seu provedor para obter o status atual da validação FIPS.

O SSO da plataforma para macOS é compatível com FIPS 140. Recomendamos que consulte as Certificações da plataforma Apple.

Reautenticação

Para AAL2, o requisito do NIST é a reautenticação a cada 12 horas, independentemente da atividade do usuário. A reautenticação é necessária após um período de inatividade de 30 minutos ou mais. Porque o segredo da sessão é algo que você tem, apresentar algo que você sabe, ou é, é necessário.

Para atender ao requisito de reautenticação, independentemente da atividade do usuário, a Microsoft recomenda configurar a frequência de entrada do usuário para 12 horas.

Com o NIST, você pode usar controles de compensação para confirmar a presença do assinante:

Defina o tempo limite de inatividade da sessão para 30 minutos: bloqueie o dispositivo no nível do sistema operacional com o Microsoft System Center Configuration Manager, objetos de política de grupo (GPOs) ou Intune. Para que o assinante o desbloqueie, exija autenticação local.
Tempo limite independentemente da atividade: execute uma tarefa agendada (Configuration Manager, GPO ou Intune) para bloquear a máquina após 12 horas, independentemente da atividade.

Resistência homem-no-meio

As comunicações entre o requerente e o Microsoft Entra ID são feitas através de um canal autenticado e protegido. Esta configuração fornece resistência a ataques man-in-the-middle (MitM) e satisfaz os requisitos de resistência MitM para AAL1, AAL2 e AAL3.

Resistência à repetição

Os métodos de autenticação Microsoft Entra no AAL2 usam nonce ou challenges. Os métodos resistem a ataques de repetição porque o verificador deteta transações de autenticação repetidas. Essas transações não conterão os dados necessários de nonce ou pontualidade.