Freigeben über


NIST-Authentifikatortypen und ausgerichtete Microsoft Entra-Methoden

Der Authentifizierungsprozess beginnt, wenn ein Anforderer seine Kontrolle über mindestens einen Authentifikatoren bestätigt, die einem Abonnenten zugeordnet sind. Bei dem Abonnenten kann es sich um eine Person oder eine andere Entität handeln. Informieren Sie sich in der folgenden Tabelle über die NIST-Authentifikatortypen (National Institute of Standards and Technology) und die zugehörigen Microsoft Entra-Authentifizierungsmethoden.

NIST-Authentifikatortyp Microsoft Entra-Authentifizierungsmethode
Gespeichertes Geheimnis
(etwas, das Sie wissen)
Kennwort: Cloudkonten, Verbund, Kennworthashsynchronisierung, Passthrough-Authentifizierung
Lookupgeheimnis
(etwas, das Sie haben)
None
Single-Factor Out-of-band
(etwas, das Sie haben)
Microsoft Authenticator-App (Pushbenachrichtigung)
Telefon (SMS): nicht empfohlen
Multi-Faktor, Out-of-Band
(etwas, das Sie haben + etwas, das Sie kennen/sind)
Microsoft Authenticator-App (kennwortlos)
Einzel-Faktor-Einmalkennwort (One-Time Passwort, OTP)
(etwas, das Sie haben)
Microsoft Authenticator-App (OTP)
Single-Factor Hardware/Software OTP1
Multi-Faktor-OTP
(etwas, das Sie haben + etwas, das Sie kennen/sind)
Als Single-Factor OTP behandelt
Single-Factor-Kryptografiesoftware
(etwas, das Sie haben)
Single-Factor-Softwarezertifikat
In Microsoft Entra eingebunden 2 mit Software TPM
In Microsoft Entra hybrid eingebunden 2 mit Software TPM
Kompatibles mobiles Gerät
Multi-Factor-Kryptografiehardware
(etwas, das Sie haben)
In Microsoft Entra eingebunden 2 mit Hardware TPM
In Microsoft Entra hybrid eingebunden 2 mit Hardware TPM
Multi-Factor-Kryptografiesoftware
(etwas, das Sie haben + etwas, das Sie kennen/sind)
Multi-Faktor-Softwarezertifikat (PIN-geschützt)
Windows Hello for Business mit Software-TPM
Multi-Factor-Kryptografiehardware
(etwas, das Sie haben + etwas, das Sie kennen/sind)
Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
Windows Hello for Business mit Hardware-TPM
FIDO 2-Sicherheitsschlüssel
Plattformanmeldeinformationen für macOS

1 30 oder 60 Sekunden gültiges OATH-TOTP SHA-1-Token.

2 Weitere Informationen zu den Einbindungszuständen von Geräten finden Sie unter Microsoft Entra-Geräteidentität

NIST empfiehlt SMS oder Voice nicht. Die Risiken von Gerätetauschen, SIM-Wechseln, Nummernportierung und anderem Verhalten können Probleme verursachen. Wenn diese Aktionen böswillig ausgeführt werden, können sie zu mangelnder Sicherheit führen. Obwohl SMS/Voice nicht empfohlen werden, ist dies besser als die ausschließliche Verwendung eines Passworts, da es für Hacker mehr Aufwand bedeutet.

Nächste Schritte

NIST-Übersicht

Weitere Informationen zu AALs

Authentifizierungsszenarien für Azure AD

NIST-Authentifikatortypen

Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID