Dela via


NIST-autentiseringsnivå 2 med Microsoft Entra-ID

National Institute of Standards and Technology (NIST) utvecklar tekniska krav för amerikanska federala myndigheter som implementerar identitetslösningar. Organisationer som arbetar med federala myndigheter måste uppfylla dessa krav.

Innan du startar authenticator assurance level 2 (AAL2) kan du se följande resurser:

Tillåtna AAL2-autentiseringstyper

Följande tabell har autentiseringstyper som är tillåtna för AAL2:

Microsoft Entra-autentiseringsmetod Nätfiskeresistent NIST-autentiseringstyp
Rekommenderade metoder
Certifikat för multifaktorprogramvara
Windows Hello för företag med TPM (Trusted Platform Module)
Ja Programvara för multifaktorkryptering
Maskinvaruskyddat certifikat med flera faktorer
SÄKERHETSNYCKEL FÖR FIDO 2
Plattforms-SSO för macOS (säker enklav)
Windows Hello för företag med maskinvaru-TPM
Nyckel i Microsoft Authenticator
Ja Maskinvara för multifaktorkryptering
Ytterligare metoder
Microsoft Authenticator-appen (telefoninloggning) Nej Multifaktor out-of-band
Lösenord
OCH
– Microsoft Authenticator-appen (push-meddelande)
- OR
– Microsoft Authenticator Lite (push-meddelande)
- OR
- Telefon (SMS)
Nej Memorerad hemlighet
OCH
Enfaktors out-of-band
Lösenord
OCH
– OATH-maskinvarutoken (förhandsversion)
- OR
– Microsoft Authenticator-appen (OTP)
- OR
– Microsoft Authenticator Lite (OTP)
- OR
– OATH-programvarutoken
Nej Memorerad hemlighet
OCH
OtP med en faktor
Lösenord
OCH
– Certifikat för enfaktorsprogramvara
- OR
– Microsoft Entra är anslutet till programvaran TPM
- OR
- Microsoft Entra hybrid ansluten med programvara TPM
- OR
– Kompatibel mobil enhet
Ja1 Memorerad hemlighet
OCH
Programvara med en faktorkryptering
Lösenord
OCH
– Microsoft Entra har anslutits till TPM för maskinvara
- OR
– Microsoft Entra-hybrid ansluten med maskinvaru-TPM
Ja1 Memorerad hemlighet
OCH
Maskinvara för enfaktorkryptering

1 Skydd mot extern nätfiske

AAL2-rekommendationer

För AAL2 använder du multifaktorkryptografisk autentisering. Detta är nätfiskebeständigt, eliminerar den största attackytan (lösenordet) och ger användarna en effektiv metod för att autentisera.

Vägledning om hur du väljer en lösenordslös autentiseringsmetod finns i Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID. Se även distributionsguide för Windows Hello för företag

FIPS 140-validering

Använd följande avsnitt för att lära dig mer om FIPS 140-validering.

Kontrollantkrav

Microsoft Entra ID använder den övergripande verifierade kryptografiska modulen för Windows FIPS 140 Level 1 för kryptografiska autentiseringsåtgärder. Det är därför en FIPS 140-kompatibel kontrollant som krävs av myndigheter.

Autentiserarkrav

Kryptografiska autentiserare för myndigheter verifieras för FIPS 140 Nivå 1 totalt. Detta krav gäller inte för icke-statliga myndigheter. Följande Microsoft Entra-autentiserare uppfyller kravet när de körs i Windows i ett FIPS 140-godkänt läge:

  • Lösenord

  • Microsoft Entra är anslutet till programvara eller med TPM för maskinvara

  • Microsoft Entra-hybrid som är ansluten till programvara eller med TPM för maskinvara

  • Windows Hello för företag med programvara eller med TPM för maskinvara

  • Certifikat som lagras i programvara eller maskinvara (smartkort/säkerhetsnyckel/TPM)

Information om FIPS 140-efterlevnad för Microsoft Authenticator-appen (iOS/Android) finns i FIPS 140-kompatibel för Microsoft Entra-autentisering

För OATH-maskinvarutoken och smartkort rekommenderar vi att du kontaktar din leverantör för aktuell FIPS-valideringsstatus.

FIDO 2-säkerhetsnyckelprovidrar är i olika skeden av FIPS-certifieringen. Vi rekommenderar att du granskar listan över FIDO 2-nyckelleverantörer som stöds. Kontakta leverantören för aktuell FIPS-valideringsstatus.

Plattforms-SSO för macOS är FIPS 140-kompatibel. Vi rekommenderar att du refererar till Apples plattformscertifieringar.

Autentisering igen

För AAL2 är NIST-kravet omautentisering var 12:e timme, oavsett användaraktivitet. Autentisering krävs efter en period av inaktivitet på 30 minuter eller längre. Eftersom sessionshemligheten är något du har, krävs att du presenterar något du känner till eller är.

För att uppfylla kravet på omautentisering, oavsett användaraktivitet, rekommenderar Microsoft att du konfigurerar användarinloggningsfrekvens till 12 timmar.

Med NIST kan du använda kompenserande kontroller för att bekräfta prenumerantnärvaro:

  • Ange tidsgränsen för sessionsinaktivitet till 30 minuter: Lås enheten på operativsystemnivå med Microsoft System Center Configuration Manager, grupprincipobjekt eller Intune. För att prenumeranten ska kunna låsa upp den behöver du lokal autentisering.

  • Tidsgräns oavsett aktivitet: Kör en schemalagd aktivitet (Configuration Manager, GPO eller Intune) för att låsa datorn efter 12 timmar, oavsett aktivitet.

Man-in-the-middle motstånd

Kommunikationen mellan den sökande och Microsoft Entra-ID:t sker via en autentiserad, skyddad kanal. Den här konfigurationen ger motstånd mot man-in-the-middle-attacker (MitM) och uppfyller mitm-motståndskraven för AAL1, AAL2 och AAL3.

Återuppspelningsmotstånd

Microsoft Entra-autentiseringsmetoder på AAL2 använder nonce eller utmaningar. Metoderna motstår reprisattacker eftersom kontrollanten identifierar omspelade autentiseringstransaktioner. Sådana transaktioner innehåller inte nödvändiga nonce- eller timeliness-data.

Nästa steg

ÖVERSIKT ÖVER NIST

Lär dig mer om AALs

Grundläggande om autentisering

NIST-autentiseringstyper

Uppnå NIST AAL1 med Microsoft Entra ID

Uppnå NIST AAL2 med Microsoft Entra-ID

Uppnå NIST AAL3 med Microsoft Entra ID