Niveau d'assurance de l'authentificateur NIST 3 à l'aide de Microsoft Entra ID
Utilisez les informations de cet article pour l’authentificateur de niveau 3 (AAL3) du National Institute of Standards and Technology (NIST).
Avant d’obtenir AAL2, vous pouvez consulter les ressources suivantes :
- Vue d’ensemble de NIST : Comprendre les niveaux AAL
- Principes fondamentaux de l’authentification : terminologie et types d’authentification
- Types d’authentificateurs NIST : Types d’authentification
- NIST AAL : composants AAL et méthodes d'authentification Microsoft Entra
Types d’authentificateurs autorisés
Utilisez des méthodes d’authentification Microsoft qui vous permettent de répondre aux types d’authentificateurs NIST requis.
| Méthodes d'authentification Microsoft Entra | Type d’authentificateur NIST |
|---|---|
| Méthodes recommandées | |
| Certificat matériel protégé (carte à puce/clé de sécurité/TPM) Clé de sécurité FIDO 2 Windows Hello Entreprise avec TPM matériel Informations d’identification de la plateforme pour macOS |
Matériel de chiffrement multifacteur |
| Autres méthodes | |
| Mot de passe AND – Microsoft Entra associé au TPM matériel - OU – Microsoft Entra hybride associé au TPM matériel |
Secret mémorisé AND Matériel de chiffrement monofacteur |
| Mot de passe AND Jetons matériels OATH (préversion) AND – Certificat logiciel à facteur unique - OU – Appareil hybride Microsoft Entra joint ou compatible avec logiciel TPM |
Secret mémorisé AND Matériel OTP à facture unique AND Logiciel de chiffrement monofacteur |
Recommandations
Pour AAL3, nous vous recommandons d’utiliser un authentificateur de matériel de chiffrement multifacteur qui fournit une authentification sans mot de passe éliminant la plus grande surface d’attaque, le mot de passe.
Pour obtenir des conseils, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID. Voir aussi Guide de déploiement de Windows Hello Entreprise.
Validation FIPS 140
Exigences liées au vérificateur
Microsoft Entra ID utilise le module cryptographique globalement validé Windows FIPS 140 niveau 1 pour ses opérations cryptographiques d'authentification, faisant de Microsoft Entra ID un vérificateur conforme.
Exigences liées à l’authentificateur
Exigences des authentificateurs matériels de chiffrement monofacteur et multifacteur.
Matériel de chiffrement monofacteur
Les authentificateurs doivent être :
Niveau 1 Global ou supérieur de la norme FIPS 140
Niveau 3 Sécurité physique ou supérieur de la norme FIPS 140
Les appareils joints à Microsoft Entra et à Microsoft Entra hybride répondent à cette exigence lorsque :
Vous exécutez Windows dans un mode approuvé par la norme FIPS-140.
Sur une machine équipée d’un module TPM de niveau 1 Global ou supérieur de la norme FIPS 140 avec le niveau 3 Sécurité physique de la norme FIPS 140.
- Recherchez les modules TPM conformes via « Module de plateforme sécurisée (TPM) » et « TPM » sous Programme de validation du module de chiffrement.
Consultez le fournisseur de votre appareil mobile pour en savoir plus sur le respect de la norme FIPS 140.
Matériel de chiffrement multifacteur
Les authentificateurs doivent être :
Niveau 2 Global ou supérieur de la norme FIPS 140.
Niveau 3 Sécurité physique ou supérieur de la norme FIPS 140
Les clés de sécurité FIDO 2, les cartes à puce et Windows Hello Entreprise peuvent vous aider à répondre à ces exigences.
Les fournisseurs de clés FIDO2 sont en certification FIPS. Nous vous recommandons de consulter la liste des fournisseurs de clés FIDO2 pris en charge. Consultez votre fournisseur pour connaître l’état de validation FIPS actuel.
Les cartes à puce sont une technologie éprouvée. Les produits de plusieurs fournisseurs répondent aux exigences de la norme FIPS.
- Pour en savoir plus, consultez Programme de validation des modules de chiffrement
Windows Hello Entreprise
La norme FIPS 140 exige que la limite de chiffrement, y compris les logiciels, les microprogrammes et le matériel, fasse l’objet d’une évaluation. Les systèmes d’exploitation Windows peuvent être associés à des milliers de ces combinaisons. Par conséquent, il n’est pas possible pour Microsoft d’avoir Windows Hello Entreprise validés au niveau de sécurité FIPS 140 2. Les clients fédéraux doivent effectuer des évaluations des risques et évaluer chacune des certifications de composants suivantes dans le cadre de leur acceptation des risques avant d’accepter ce service en tant que AAL3 :
Windows 10 et Windows Server utilisent le profil de protection v 4.2.1 approuvé par le gouvernement américain pour les systèmes d’exploitation à usage général du National Information Assurance Partnership (NIAP). Cette organisation supervise un programme national visant à évaluer la conformité des produits informatiques du commerce (COTS) aux critères communs internationaux.
La Bibliothèque de chiffrement Windows est globalement au niveau 1 des normes FIPS du programme NIST CMVP (Cryptographic Module Validation Program), un effort conjoint entre le NIST et le Centre canadien pour la cybersécurité. Cette organisation valide les modules de chiffrement par rapport aux normes FIPS.
Choisissez un module TPM conforme au niveau 2 Global et au niveau 3 Sécurité physique de la norme FIPS 140. Votre organisation s’assure que le module de plateforme sécurisée (TPM) matériel répond aux exigences de niveau AAL souhaitées.
Pour savoir quels modules TPM répondent aux normes actuelles, accédez au Programme de validation du module de chiffrement du centre de ressources de sécurité informatique NIST. Dans la zone Nom du module, entrez Module de plateforme sécurisée pour obtenir la liste des modules TPM matériels qui répondent aux normes.
Authentification unique de la plateforme MacOS
FiPS 140 Security Niveau 2 est implémenté pour macOS 13 au minimum, la plupart des nouveaux appareils implémentant le Niveau 3. Nous vous recommandons de vous référer aux Certifications de la plateforme Apple. Il est important que vous soyez conscient du niveau de sécurité sur votre appareil.
Réauthentification
Pour AAL3, NIST requiert une réauthentification toutes les 12 heures, quelle que soit l’activité de l’utilisateur. La réauthentification est également requise après une période d’inactivité de 15 minutes ou plus. La présentation des deux facteurs est nécessaire.
Pour répondre à la configuration requise à des fins de réauthentification, quelle que soit l’activité de l’utilisateur, Microsoft recommande de configurer la fréquence de connexion de l’utilisateur sur 12 heures.
Utilisez le NIST pour la compensation de contrôles afin de confirmer la présence de l’abonné :
Définissez un délai d’inactivité de session de 15 minutes : verrouillez l’appareil au niveau du système d’exploitation en utilisant Microsoft Configuration Manager, un objet de stratégie de groupe (GPO) ou Intune. Pour que l’abonné le déverrouille, exigez une authentification locale.
Définissez le délai d’expiration, quelle que soit l’activité, en exécutant une tâche planifiée à l’aide de Configuration Manager, d’un objet de stratégie de groupe ou d’Intune. Verrouillez la machine après 12 heures, quelle que soit l’activité.
Résistance aux attaques de l’intercepteur
Les communications entre le demandeur et Microsoft Entra ID s'effectuent via un canal authentifié et protégé pour résister aux attaques de l'homme du milieu (MitM). Cette configuration répond aux exigences de résistance aux attaques de l’intercepteur des niveaux AAL1, AAL2 et AAL3.
Résistance à l’emprunt d’identité du vérificateur
Les méthodes d'authentification Microsoft Entra qui répondent à AAL3 utilisent des authentificateurs cryptographiques qui lient la sortie de l'authentificateur à la session en cours d'authentification. Les méthodes utilisent une clé privée contrôlée par le demandeur. La clé publique est connue du vérificateur. Cette configuration satisfait les exigences du niveau AAL3 en matière de résistance à l’emprunt d’identité du vérificateur.
Résistance aux compromissions du vérificateur
Toutes les méthodes d'authentification Microsoft Entra qui répondent à AAL3 :
- Utiliser un authentificateur de chiffrement qui requiert que le vérificateur stocke une clé publique correspondant à une clé privée détenue par l’authentificateur
- Stocker la sortie prévue de l’authentificateur à l’aide d’algorithmes de hachage validés par la norme FIPS-140
Pour plus d’informations, consultez Considérations sur la sécurité des données Microsoft Entra.
Résistance à la réexécution
Les méthodes d'authentification Microsoft Entra qui répondent à AAL3 utilisent des noms occasionnels ou des défis. Ces méthodes offrent une bonne résistance aux attaques par réexécution, car le vérificateur peut détecter facilement les transactions d’authentification réexécutées. En effet, ces transactions ne contiennent pas le nonce ni les données d’actualité nécessaires.
Intention d’authentification
Exiger une intention d’authentification rend plus difficile l’utilisation d’authentificateurs physiques directement connectés, tels que du matériel de chiffrement multifacteur, à l’insu du sujet (par exemple, par des programmes malveillants sur le point de terminaison). Les méthodes Microsoft Entra qui répondent à AAL3 nécessitent la saisie par l'utilisateur d'un code PIN ou d'un code biométrique, démontrant l'intention d'authentification.
Étapes suivantes
En savoir plus sur les niveaux AAL
Principes fondamentaux de l’authentification
Types d'authentificateurs NIST