Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen müssen diese Anforderungen bei der Zusammenarbeit mit US-Bundesbehörden erfüllen.
Bevor Sie mit der Umsetzung von Authenticator Assurance Level 1 (AAL1) beginnen, sollten Sie sich die folgenden Ressourcen ansehen:
- NIST-Übersicht: Grundlegende Informationen zu den AAL-Stufen
- Authentifizierungsgrundlagen: Begriffe und Authentifizierungstypen
- NIST-Authentifikatortypen: Authentifikatortypen
- NIST-AALs: AAL-Komponenten, Microsoft Entra-Authentifizierungsmethoden und Trusted Platform Modules (TPMs)
Zulässige Authentifikatortypen
Zum Erzielen von AAL1 kann jeder, gemäß NIST zugelassener Ein- oder Mehrfaktor-Authentifikator verwendet werden.
| Microsoft Entra-Authentifizierungsmethode | NIST-Authentifikatortyp |
|---|---|
| Kennwort QR-Code (PIN) |
Gespeichertes Geheimnis |
| Telefon (SMS): nicht empfohlen | Single-Factor Out-of-band |
| Microsoft Authenticator-App (Anmeldung per Telefon) | Multi-Faktor Out-of-band |
| Single-Factor-Softwarezertifikat | Single-Factor-Kryptografiesoftware |
| Multi-Faktor-Softwarezertifikat Windows Hello for Business mit Software-TPM |
Multi-Factor-Kryptografiesoftware |
| Hardwaregeschütztes Multi-Faktor-Zertifikat FIDO 2-Sicherheitsschlüssel Plattform-SSO für macOS (Secure Enclave) Windows Hello for Business mit Hardware-TPM Hauptschlüssel in Microsoft Authenticator |
Multi-Factor-Kryptografiehardware |
Tipp
Es wird empfohlen, mindestens phishingresistente AAL2-Authentifizierungsanbieter auszuwählen. Wählen Sie AAL3-Authentifizierungsanbieter aus, wenn dies aus geschäftlichen Gründen, gemäß Branchenstandards oder aufgrund von Complianceanforderungen erforderlich ist.
FIPS 140-Validierung
Anforderungen an Überprüfer
Microsoft Entra ID verwendet für kryptografische Vorgänge zur Authentifizierung das Windows FIPS 140 Level 1-Kryptografiemodul. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, wie von US-Regierungsbehörden gefordert.
Man-in-the-Middle-Widerstand
Die Kommunikation zwischen dem Antragsteller und Microsoft Entra ID erfolgt zum Schutz vor Man-in-the-Middle-Angriffen (MitM) über einen authentifizierten geschützten Kanal. Diese Konfiguration erfüllt die Anforderungen an die MitM-Widerstandsfähigkeit für AAL1, AAL2 und AAL3.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID