NIST-Authentifikatortypen und ausgerichtete Microsoft Entra-Methoden
Der Authentifizierungsprozess beginnt, wenn ein Anforderer seine Kontrolle über mindestens einen Authentifikatoren bestätigt, die einem Abonnenten zugeordnet sind. Bei dem Abonnenten kann es sich um eine Person oder eine andere Entität handeln. Informieren Sie sich in der folgenden Tabelle über die NIST-Authentifikatortypen (National Institute of Standards and Technology) und die zugehörigen Microsoft Entra-Authentifizierungsmethoden.
| NIST-Authentifikatortyp | Microsoft Entra-Authentifizierungsmethode |
|---|---|
| Gespeichertes Geheimnis (etwas, das Sie wissen) |
Kennwort: Cloudkonten, Verbund, Kennworthashsynchronisierung, Passthrough-Authentifizierung |
| Lookupgeheimnis (etwas, das Sie haben) |
None |
| Single-Factor Out-of-band (etwas, das Sie haben) |
Microsoft Authenticator-App (Pushbenachrichtigung) Telefon (SMS): nicht empfohlen |
| Multi-Faktor, Out-of-Band (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Microsoft Authenticator-App (kennwortlos) |
| Einzel-Faktor-Einmalkennwort (One-Time Passwort, OTP) (etwas, das Sie haben) |
Microsoft Authenticator-App (OTP) Single-Factor Hardware/Software OTP1 |
| Multi-Faktor-OTP (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Als Single-Factor OTP behandelt |
| Single-Factor-Kryptografiesoftware (etwas, das Sie haben) |
Single-Factor-Softwarezertifikat In Microsoft Entra eingebunden 2 mit Software TPM In Microsoft Entra hybrid eingebunden 2 mit Software TPM Kompatibles mobiles Gerät |
| Multi-Factor-Kryptografiehardware (etwas, das Sie haben) |
In Microsoft Entra eingebunden 2 mit Hardware TPM In Microsoft Entra hybrid eingebunden 2 mit Hardware TPM |
| Multi-Factor-Kryptografiesoftware (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Multi-Faktor-Softwarezertifikat (PIN-geschützt) Windows Hello for Business mit Software-TPM |
| Multi-Factor-Kryptografiehardware (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM) Windows Hello for Business mit Hardware-TPM FIDO 2-Sicherheitsschlüssel Plattformanmeldeinformationen für macOS |
1 30 oder 60 Sekunden gültiges OATH-TOTP SHA-1-Token.
2 Weitere Informationen zu den Einbindungszuständen von Geräten finden Sie unter Microsoft Entra-Geräteidentität
PSTN (Public Switch Telephone Network) SMS/Voice wird nicht empfohlen
NIST empfiehlt SMS oder Voice nicht. Die Risiken von Gerätetauschen, SIM-Wechseln, Nummernportierung und anderem Verhalten können Probleme verursachen. Wenn diese Aktionen böswillig ausgeführt werden, können sie zu mangelnder Sicherheit führen. Obwohl SMS/Voice nicht empfohlen werden, ist dies besser als die ausschließliche Verwendung eines Passworts, da es für Hacker mehr Aufwand bedeutet.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID