具有 Microsoft Entra ID 的 NIST 驗證器保證層級 1
美國國家標準與技術研究所 (NIST) 為實施身分識別解決方案的美國聯邦機構開發技術需求。 組織與聯邦機構合作時必須符合這些需求。
開始驗證器保證層級 1 (AAL1) 之前,您可以檢閱下列資源:
- NIST 概觀:瞭解 AAL 層級
- 驗證基本概念:術語和驗證類型
- NIST 驗證器類型:驗證器類型
- NIST ACL:AAL 元件、Microsoft Entra 驗證方法,以及受信任的平台模組 (TPM)。
允許的驗證器類型
若要達成 AAL1,您可以使用任何 NIST 單一要素或多重要素允許的驗證器。
| Microsoft Entra 驗證方法 | NIST 驗證器類型 |
|---|---|
| 密碼 | 記住的秘密 |
| 電話 (簡訊):不建議 | 頻外單要素 |
| Microsoft Authenticator 應用程式 (電話登入) | 頻外多重要素 |
| 單一要素軟體憑證 | 單一要素加密軟體 |
| 多重要素軟體憑證 使用軟體 TPM 的 Windows Hello 企業版 |
多重要素加密軟體 |
| 多重要素硬體保護憑證 FIDO 2 安全性金鑰 適用於 macOS 的平臺 SSO (安全記憶體保護區) 使用硬體 TPM 的 Windows Hello 企業版 Microsoft Authenticator 中的 Passkey |
多重要素加密硬體 |
提示
建議您至少選取網路釣魚防護 AAL2 驗證器。 基於商務原因、產業標準或合規性需求,請視需要選取 AAL3 驗證器。
FIPS 140 驗證
驗證器需求
Microsoft Entra ID 會使用 Windows FIPS 140 層級 1 加密模組進行驗證加密作業。 因此,這是政府機構所需的 FIPS 140 相容驗證程式。
抵禦中間人的攻擊
申請人與 Microsoft Entra ID 之間的通訊是透過經過驗證、受保護的管道,以抵禦中間人 (MitM) 攻擊。 此設定符合 AAL1、AAL2 和 AAL3 的 MitM 阻力需求。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1