使用 Microsoft Entra ID 实现 NIST 验证器保证级别 1

美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。 与联邦机构合作时,组织必须满足这些要求。

在开始实现验证器保证等级 1 (AAL1) 之前,可以查看以下资源:

允许的验证器类型

可使用允许的任何 NIST 单一或多重验证器来满足 AAL1 要求。

Microsoft Entra 身份验证方法 NIST 验证器类型
密码 记住的密码
电话(短信):不建议 单因素带外
Microsoft Authenticator 应用(手机登录) 多重带外
单因素软件证书 单因素加密软件
多因素软件证书
带软件 TPM 的 Windows Hello 企业版
多重加密软件
多因素硬件保护证书
FIDO 2 安全密钥
适用于 macOS 的平台 SSO(安全飞地)
带硬件 TPM 的 Windows Hello 企业版
Microsoft Authenticator 中的密钥
多重加密硬件

提示

建议至少选择防网络钓鱼的 AAL2 验证器。 根据业务原因、行业标准或合规性要求,选择 AAL3 验证器。

FIPS 140 验证

验证程序要求

Microsoft Entra ID 使用 Windows FIPS 140 级别 1 加密模块来执行其身份验证加密操作。 因此,根据政府机构的要求,该验证程序符合 FIPS 140 标准。

抵御中间人攻击

请求方与 Microsoft Entra ID 之间的通信通过经身份验证的受保护通道进行,以抵御中间人 (MitM) 攻击。 此配置满足 AAL1、AAL2 和 AAL3 对抵御 MitM 攻击的要求。

后续步骤

NIST 概述

了解 AAL

身份验证基础知识

NIST 验证器类型

使用 Microsoft Entra ID 实现 NIST AAL1

使用 Microsoft Entra ID 实现 NIST AAL2

使用 Microsoft Entra ID 实现 NIST AAL3