NIST-Authentifikatorsicherheitsstufe 1 mit Microsoft Entra ID
Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen müssen diese Anforderungen bei der Zusammenarbeit mit US-Bundesbehörden erfüllen.
Bevor Sie mit der Umsetzung von Authenticator Assurance Level 1 (AAL1) beginnen, sollten Sie sich die folgenden Ressourcen ansehen:
- NIST-Übersicht: Grundlegendes zu AAL-Ebenen
- Authentifizierungsgrundlagen: Begriffe und Authentifizierungstypen
- NIST-Authentifikatortypen: Authentifikatortypen
- NIST-AALs: AAL-Komponenten, Microsoft Entra-Authentifizierungsmethoden und Trusted Platform Modules (TPMs).
Zulässige Authentifikatortypen
Zum Erzielen von AAL1 kann jeder, gemäß NIST zugelassener Ein- oder Mehrfaktor-Authentifikator verwendet werden.
| Microsoft Entra-Authentifizierungsmethode | NIST-Authentifikatortyp |
|---|---|
| Kennwort | Gespeichertes Geheimnis |
| Telefon (SMS): nicht empfohlen | Single-Factor Out-of-band |
| Microsoft Authenticator-App (kennwortlos) | Multi-Faktor Out-of-band |
| Single-Factor-Softwarezertifikat | Single-Factor-Kryptografiesoftware |
| Multi-Faktor-Softwarezertifikat (PIN-geschützt) Windows Hello for Business mit Software-TPM |
Multi-Factor-Kryptografiesoftware |
| Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM) FIDO 2-Sicherheitsschlüssel Windows Hello for Business mit Hardware-TPM |
Multi-Factor-Kryptografiehardware |
Tipp
Es wird empfohlen, mindestens phishingresistente AAL2-Authentifizierungsanbieter auszuwählen. Wählen Sie AAL3-Authentifizierungsanbieter aus, wenn dies aus geschäftlichen Gründen, gemäß Branchenstandards oder aufgrund von Complianceanforderungen erforderlich ist.
FIPS 140-Validierung
Anforderungen an Überprüfer
Microsoft Entra ID verwendet für kryptografische Vorgänge zur Authentifizierung das Windows FIPS 140 Level 1-Kryptografiemodul. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, wie von US-Regierungsbehörden gefordert.
Man-in-the-Middle-Widerstand
Die Kommunikation zwischen dem Antragsteller und Microsoft Entra ID erfolgt zum Schutz vor Man-in-the-Middle-Angriffen (MitM) über einen authentifizierten geschützten Kanal. Diese Konfiguration erfüllt die Anforderungen an die MitM-Widerstandsfähigkeit für AAL1, AAL2 und AAL3.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID