Partager via


Niveau 2 d’assurance de l’authentificateur NIST avec Microsoft Entra ID

L’institut NIST (National Institute of Standards and Technology) développe les exigences techniques pour les agences fédérales américaines qui implémentent des solutions d’identité. Les organisations travaillant avec les agences fédérales doivent répondre à ces exigences.

Avant de commencer l’authentification d’assurance de niveau 2 (AAL2), vous pouvez consulter les ressources suivantes :

Types d’authentificateurs AAL2 autorisés

Le tableau suivant détaille les types d’authentificateurs autorisés pour le niveau AAL2 :

Méthode d’authentification Microsoft Entra Type d’authentificateur NIST
Méthodes recommandées
Certificat logiciel multifacteur (protégé par PIN)
Windows Hello Entreprise avec le module TPM (Trusted Platform Module) logiciel
Logiciel de chiffrement multifacteur
Certificat matériel protégé (carte à puce/clé de sécurité/TPM)
Clés de sécurité FIDO 2
Windows Hello Entreprise avec module TPM matériel
Matériel de chiffrement multifacteur
Application Microsoft Authenticator (sans mot de passe) Multifacteur hors bande
Autres méthodes
Mot de passe
ET
- Application Microsoft Authenticator (notification Push)
- OU
- Microsoft Authenticator Lite (notification Push)
- OU
- Téléphone (SMS)
Secret mémorisé
ET
Facteur unique hors bande
Mot de passe
ET
- Jetons matériels OATH (préversion)
- OU
- Application Microsoft Authenticator (OTP)
- OU
- Microsoft Authenticator Lite (OTP)
- OU
- Jetons logiciels OATH
Secret mémorisé
ET
OTP à facteur unique
Mot de passe
ET
- Certificat logiciel à facteur unique
- OU
- Microsoft Entra associé au TPM logiciel
- OU
- Microsoft Entra hybride associé au TPM logiciel
- OU
- Appareil mobile conforme
Secret mémorisé
ET
Logiciel de chiffrement à facteur unique
Mot de passe
ET
- Microsoft Entra associé au TPM matériel
- OU
- Microsoft Entra hybride associé au TPM matériel
Secret mémorisé
ET
Matériel de chiffrement à facteur unique

Remarque

Aujourd’hui, Microsoft Authenticator en soi n’est pas résistant au hameçonnage. Pour bénéficier d’une protection contre les menaces de hameçonnage externe lors de l’utilisation de Microsoft Authenticator, vous devez également configurer une stratégie d’accès conditionnel nécessitant un appareil géré.

Suggestions AAL2

Pour le niveau AAL2, utilisez des authentificateurs matériels ou logiciels de chiffrement multifacteur. L’authentification sans mot de passe élimine la plus grande surface d’attaque (à savoir le mot de passe) et offre aux utilisateurs une méthode d’authentification simplifiée.

Pour obtenir des instructions sur la sélection d’une méthode d’authentification sans mot de passe, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID. Consultez aussi Guide de déploiement de Windows Hello Entreprise

Validation FIPS 140

Utilisez les sections suivantes pour en savoir plus sur la validation FIPS 140.

Exigences liées au vérificateur

Microsoft Entra ID utilise le module de chiffrement validé global FIPS 140 Windows de niveau 1 pour des opérations de chiffrement liées à l’authentification. Il s’agit donc d’un vérificateur conforme à la norme FIPS 140, comme l’exigent les agences gouvernementales.

Exigences liées à l’authentificateur

Les authentificateurs de chiffrement des agences gouvernementales sont validés pour FIPS 140, niveau 1 global. Cette exigence n’est pas requise pour les autres types d’organisations. Les authentificateurs Microsoft Entra suivants répondent aux exigences lorsqu’ils sont exécutés sur Windows en mode de fonctionnement approuvé FIPS 140 :

  • Mot de passe

  • Microsoft Entra associé au module TPM logiciel ou matériel

  • Microsoft Entra hybride associé au module TPM logiciel ou matériel

  • Windows Hello Entreprise avec module TPM logiciel ou matériel

  • Certificat stocké dans un logiciel ou un matériel (carte à puce/clé de sécurité/TPM)

L’application Microsoft Authenticator sur iOS et Android est conforme à FIPS 140. Pour plus d’informations sur les modules de chiffrement validés FIPS utilisés par Microsoft Authenticator, consultez Application Microsoft Authenticator

Pour les jetons matériels OATH et les cartes à puce, nous vous recommandons de consulter votre fournisseur pour connaître les états de validation FIPS actuels.

Les fournisseurs de clés de sécurité FIDO 2 sont à différentes étapes de la certification FIPS. Nous vous recommandons de consulter la liste des fournisseurs de clés FIDO 2 pris en charge. Consultez votre fournisseur pour connaître l’état de validation FIPS actuel.

Réauthentification

Pour AAL2, NIST requiert une réauthentification toutes les 12 heures, quelle que soit l’activité de l’utilisateur. La réauthentification est également requise après une période d’inactivité de 30 minutes ou plus. Étant donné que le secret de session est quelque chose que vous possédez, il est nécessaire de présenter quelque chose que vous connaissez ou que vous êtes.

Pour répondre à la configuration requise à des fins de réauthentification, quelle que soit l’activité de l’utilisateur, Microsoft recommande de configurer la fréquence de connexion de l’utilisateur sur 12 heures.

Utilisez le NIST pour compenser les contrôles afin de confirmer la présence de l’abonné :

  • Définir un délai d’inactivité de session de 30 minutes : verrouillez l’appareil au niveau du système d’exploitation à l’aide de Microsoft System Center Configuration Manager, d’objets de stratégie de groupe (GPO) ou d’Intune. Pour que l’abonné le déverrouille, exigez une authentification locale.

  • Expiration du délai d’attente, quelle que soit l’activité : exécutez une tâche planifiée (Configuration Manager, objet de stratégie de groupe ou Intune) pour verrouiller la machine après 12 heures, quelle que soit l’activité.

Résistance aux attaques de l’intercepteur

Les communications entre le demandeur et Microsoft Entra ID se font sur un canal protégé authentifié. Cette configuration fournit une résistance aux attaques de l’intercepteur (MitM) et répond aux exigences de résistance MitM pour AAL1, AAL2 et AAL3.

Résistance à la relecture

Toutes les méthodes d’authentification Microsoft Entra du niveau AAL2 utilisent des nonces ou des défis. Les méthodes offrent une bonne résistance aux attaques par relecture, car le vérificateur détecte facilement les transactions d’authentification relues. En effet, ces transactions ne contiennent pas le nonce ni les données d’actualité nécessaires.

Étapes suivantes

Présentation du NIST

En savoir plus sur les niveaux AAL

Principes fondamentaux de l’authentification

Types d’authentificateurs NIST

Atteindre NIST AAL1 avec Microsoft Entra ID

Atteindre NIST AAL2 avec Microsoft Entra ID

Atteindre NIST AAL3 avec Microsoft Entra ID