Jaminan pengautentikasi NIST tingkat 2 dengan ID Microsoft Entra

2025-05-06

National Institute of Standards and Technology (NIST) mengembangkan persyaratan teknis untuk lembaga federal AS yang menerapkan solusi identitas. Organisasi yang bekerja dengan lembaga federal harus memenuhi persyaratan ini.

Sebelum memulai jaminan pengautentikasi tingkat 2 (AAL2), Anda dapat melihat sumber daya berikut:

Gambaran umum NIST: Memahami tingkat AAL
Dasar-dasar autentikasi: Jenis terminologi dan autentikasi
Jenis pengautentikasi NIST: Jenis authenticator
AAL NIST: Komponen AAL dan metode autentikasi Microsoft Entra

Jenis pengautentikasi AAL2 yang diizinkan

Tabel berikut ini memiliki jenis pengautentikasi yang diizinkan untuk AAL2:

Metode autentikasi Microsoft Entra	Tahan Pengelabuan	Jenis pengautentikasi NIST
Metode yang direkomendasikan
Sertifikat perangkat lunak multifaktor Windows Hello untuk Bisnis dengan Modul Platform Tepercaya (TPM) perangkat lunak	Ya	Perangkat lunak kripto multifaktor
Sertifikat yang dilindungi perangkat keras multifaktor Kunci keamanan FIDO 2 Platform SSO untuk macOS (Secure Enclave) Windows Hello untuk Bisnis dengan TPM perangkat keras Kode akses di Microsoft Authenticator	Ya	Perangkat keras kripto multifaktor
Metode tambahan
Aplikasi Microsoft Authenticator (Masuk Melalui Telepon)	Tidak.	Out-of-band multifaktor
Kata Sandi ATAU Kode QR (PIN) DAN - Aplikasi Microsoft Authenticator (Pemberitahuan Push) - ATAU - Microsoft Authenticator Lite (Pemberitahuan Push) - ATAU - Telepon (SMS)	Tidak.	Rahasia yang dihafal DAN Faktor tunggal di luar band
Kata Sandi ATAU Kode QR (PIN) DAN - Token perangkat keras OATH (pratinjau) - ATAU - Aplikasi Microsoft Authenticator (OTP) - ATAU - Microsoft Authenticator Lite (OTP) - ATAU - Token perangkat lunak OATH	Tidak.	Rahasia yang dihafal DAN OTP faktor tunggal
Kata Sandi ATAU Kode QR (PIN) DAN - Sertifikat perangkat lunak faktor tunggal - ATAU - Microsoft Entra bergabung dengan TPM perangkat lunak - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat lunak - ATAU - Perangkat seluler yang sesuai	Ya¹	Rahasia yang dihafal DAN Perangkat lunak kripto faktor tunggal
Kata Sandi ATAU Kode QR (PIN) DAN - Microsoft Entra bergabung dengan TPM perangkat keras - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat keras	Ya¹	Rahasia yang dihafal DAN Perangkat keras kripto faktor tunggal

¹Perlindungan dari pengelabuan eksternal

Rekomendasi AAL2

Untuk AAL2, gunakan pengautentikasi kriptografi multifaktor. Ini tahan pengelabuan, menghilangkan permukaan serangan terbesar (kata sandi), dan menawarkan kepada pengguna metode yang disederhanakan untuk mengautentikasi.

Untuk panduan tentang memilih metode autentikasi tanpa kata sandi, lihat Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra. Lihat juga, panduan penyebaran Windows Hello untuk Bisnis

Validasi FIPS 140

Gunakan bagian berikut untuk mempelajari tentang validasi FIPS 140.

Persyaratan pemverifikasi

MICROSOFT Entra ID menggunakan modul kriptografi tervalidasi Keseluruhan Windows FIPS 140 Level 1 untuk operasi kriptografi autentikasi. Oleh karena itu, ini adalah pemverifikasi yang mematuhi FIPS 140 yang diperlukan oleh lembaga pemerintah.

Persyaratan authenticator

Pengautentikasi kriptografi lembaga pemerintah divalidasi untuk FIPS 140 Level 1 secara keseluruhan. Persyaratan ini bukan untuk lembaga non-pemerintah. Pengautentikasi Microsoft Entra berikut memenuhi persyaratan saat berjalan di Windows dalam mode yang disetujui FIPS 140:

Kata sandi
Microsoft Entra bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Microsoft Entra hybrid bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Windows Hello untuk Bisnis dengan TPM perangkat lunak atau perangkat keras
Sertifikat yang disimpan dalam perangkat lunak atau perangkat keras (smartcard/kunci keamanan/TPM)

Untuk informasi kepatuhan FIPS 140 aplikasi Microsoft Authenticator (iOS/Android), Lihat KEPATUHAN FIPS 140 untuk autentikasi Microsoft Entra

Untuk token perangkat keras OATH dan kartu pintar, kami sarankan Anda berkonsultasi dengan penyedia Anda untuk status validasi FIPS saat ini.

Penyedia kunci keamanan FIDO 2 berada dalam berbagai tahap sertifikasi FIPS. Sebaiknya tinjau daftar vendor kunci FIDO 2 yang didukung. Konsultasikan dengan penyedia Anda untuk status validasi FIPS saat ini.

SSO platform untuk macOS sesuai dengan FIPS 140. Sebaiknya lihat Sertifikasi Platform Apple.

Autentikasi ulang

Untuk AAL2, persyaratan NIST adalah autentikasi ulang setiap 12 jam, terlepas dari aktivitas pengguna. Autentikasi ulang diperlukan setelah periode tidak aktif 30 menit atau lebih. Karena rahasia sesi adalah sesuatu yang Anda miliki, menyajikan sesuatu yang Anda ketahui, atau, diperlukan.

Untuk memenuhi persyaratan autentikasi ulang, terlepas dari aktivitas pengguna, Microsoft merekomendasikan untuk mengonfigurasi frekuensi masuk pengguna hingga 12 jam.

Dengan NIST, Anda dapat menggunakan kontrol kompensasi untuk mengonfirmasi kehadiran pelanggan:

Atur waktu tidak aktif sesi hingga 30 menit: Kunci perangkat di tingkat sistem operasi dengan Microsoft System Center Configuration Manager, objek kebijakan grup (GPO), atau Intune. Agar pelanggan membuka kuncinya, perlu autentikasi lokal.
Waktu habis terlepas dari aktivitas: Jalankan tugas terjadwal (Configuration Manager, GPO, atau Intune) untuk mengunci komputer setelah 12 jam, terlepas dari aktivitas.

Ketahanan terhadap man-in-the-middle

Komunikasi antara penuntut dan ID Microsoft Entra melalui saluran yang diautentikasi dan dilindungi. Konfigurasi ini memberikan ketahanan terhadap serangan man-in-the-middle (MitM) dan memenuhi persyaratan resistensi MitM untuk AAL1, AAL2, dan AAL3.

Ketahanan terhadap replay

Metode autentikasi Microsoft Entra di AAL2 menggunakan nonce atau tantangan. Metode ini menolak serangan pemutaran ulang karena pemverifikasi mendeteksi transaksi autentikasi yang diputar ulang. Transaksi tersebut tidak akan berisi data nonce atau timeliness yang diperlukan.