Jaminan pengautentikasi NIST tingkat 2 dengan ID Microsoft Entra
National Institute of Standards and Technology (NIST) mengembangkan persyaratan teknis untuk lembaga federal AS yang menerapkan solusi identitas. Organisasi yang bekerja dengan lembaga federal harus memenuhi persyaratan ini.
Sebelum memulai jaminan pengautentikasi tingkat 2 (AAL2), Anda dapat melihat sumber daya berikut:
- Gambaran umum NIST: Memahami tingkat AAL
- Dasar-dasar autentikasi: Jenis terminologi dan autentikasi
- Jenis pengautentikasi NIST: Jenis authenticator
- AAL NIST: Komponen AAL dan metode autentikasi Microsoft Entra
Jenis pengautentikasi AAL2 yang diizinkan
Tabel berikut ini memiliki jenis pengautentikasi yang diizinkan untuk AAL2:
| Metode autentikasi Microsoft Entra | Jenis pengautentikasi NIST |
|---|---|
| Metode yang direkomendasikan | |
| Sertifikat Perangkat Lunak Multifaktor (Dilindungi PIN) Windows Hello untuk Bisnis dengan Modul Platform Tepercaya (TPM) perangkat lunak |
Perangkat lunak kripto multifaktor |
| Sertifikat yang dilindungi perangkat keras (smartcard/kunci keamanan/TPM) Kunci keamanan FIDO 2 Windows Hello untuk Bisnis dengan TPM perangkat keras |
Perangkat keras kripto multifaktor |
| Aplikasi Microsoft Authenticator (Tanpa Kata Sandi) | Out-of-band multifaktor |
| Metode tambahan | |
| Kata sandi DAN - Aplikasi Microsoft Authenticator (Pemberitahuan Push) - ATAU - Microsoft Authenticator Lite (Pemberitahuan Push) - ATAU - Telepon (SMS) |
Rahasia yang dihafal DAN Faktor tunggal di luar band |
| Kata sandi DAN - Token perangkat keras OATH (pratinjau) - ATAU - Aplikasi Microsoft Authenticator (OTP) - ATAU - Microsoft Authenticator Lite (OTP) - ATAU - Token perangkat lunak OATH |
Rahasia yang dihafal DAN OTP faktor tunggal |
| Kata sandi DAN - Sertifikat perangkat lunak faktor tunggal - ATAU - Microsoft Entra bergabung dengan TPM perangkat lunak - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat lunak - ATAU - Perangkat seluler yang sesuai |
Rahasia yang dihafal DAN Perangkat lunak kripto faktor tunggal |
| Kata sandi DAN - Microsoft Entra bergabung dengan TPM perangkat keras - ATAU - Microsoft Entra hybrid bergabung dengan TPM perangkat keras |
Rahasia yang dihafal DAN Perangkat keras kripto faktor tunggal |
Nota
Saat ini, Microsoft Authenticator dengan sendirinya tidak tahan phishing. Untuk mendapatkan perlindungan dari ancaman pengelabuan eksternal saat menggunakan Microsoft Authenticator, Anda juga harus mengonfigurasi kebijakan Akses Bersyarat yang memerlukan perangkat terkelola.
Rekomendasi AAL2
Untuk AAL2, gunakan pengautentikasi perangkat keras atau perangkat lunak kriptografi multifaktor. Autentikasi tanpa kata sandi menghilangkan permukaan serangan terbesar (kata sandi), dan menawarkan kepada pengguna metode yang disederhanakan untuk mengautentikasi.
Untuk panduan tentang memilih metode autentikasi tanpa kata sandi, lihat Merencanakan penyebaran autentikasi tanpa kata sandi di ID Microsoft Entra. Lihat juga, panduan penyebaran Windows Hello untuk Bisnis
Validasi FIPS 140
Gunakan bagian berikut untuk mempelajari tentang validasi FIPS 140.
Persyaratan pemverifikasi
MICROSOFT Entra ID menggunakan modul kriptografi tervalidasi Keseluruhan Windows FIPS 140 Level 1 untuk operasi kriptografi autentikasi. Oleh karena itu, ini adalah pemverifikasi yang mematuhi FIPS 140 yang diperlukan oleh lembaga pemerintah.
Persyaratan pengautentikasi
Pengautentikasi kriptografi lembaga pemerintah divalidasi untuk FIPS 140 Level 1 secara keseluruhan. Persyaratan ini bukan untuk lembaga non-pemerintah. Pengautentikasi Microsoft Entra berikut memenuhi persyaratan saat berjalan di Windows dalam mode yang disetujui FIPS 140:
Kata sandi
Microsoft Entra bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Microsoft Entra hybrid bergabung dengan perangkat lunak atau dengan TPM perangkat keras
Windows Hello untuk Bisnis dengan perangkat lunak atau dengan TPM perangkat keras
Sertifikat yang disimpan dalam perangkat lunak atau perangkat keras (smartcard/kunci keamanan/TPM)
Aplikasi Microsoft Authenticator mematuhi FIPS 140 di iOS dan Android. Untuk informasi selengkapnya tentang modul kriptografi tervalidasi FIPS yang digunakan oleh Microsoft Authenticator. Lihat aplikasi Microsoft Authenticator
Untuk token perangkat keras OATH dan kartu pintar, kami sarankan Anda berkonsultasi dengan penyedia Anda untuk status validasi FIPS saat ini.
Penyedia kunci keamanan FIDO 2 berada dalam berbagai tahap sertifikasi FIPS. Sebaiknya tinjau daftar vendor kunci FIDO 2 yang didukung. Konsultasikan dengan penyedia Anda untuk status validasi FIPS saat ini.
Aauthentikasi ulang
Untuk AAL2, persyaratan NIST adalah autentikasi ulang setiap 12 jam, terlepas dari aktivitas pengguna. Autentikasi ulang diperlukan setelah periode tidak aktif 30 menit atau lebih. Karena rahasia sesi adalah sesuatu yang Anda miliki, menyajikan sesuatu yang Anda ketahui, atau, diperlukan.
Untuk memenuhi persyaratan autentikasi ulang, terlepas dari aktivitas pengguna, Microsoft merekomendasikan untuk mengonfigurasi frekuensi masuk pengguna hingga 12 jam.
Dengan NIST, Anda dapat menggunakan kontrol kompensasi untuk mengonfirmasi kehadiran pelanggan:
Atur waktu tidak aktif sesi hingga 30 menit: Kunci perangkat di tingkat sistem operasi dengan Microsoft System Center Configuration Manager, objek kebijakan grup (GPO), atau Intune. Agar pelanggan membuka kuncinya, perlu autentikasi lokal.
Waktu habis terlepas dari aktivitas: Jalankan tugas terjadwal (Configuration Manager, GPO, atau Intune) untuk mengunci komputer setelah 12 jam, terlepas dari aktivitas.
Ketahanan man-in-the-middle
Komunikasi antara penuntut dan ID Microsoft Entra melalui saluran yang diautentikasi dan dilindungi. Konfigurasi ini memberikan ketahanan terhadap serangan man-in-the-middle (MitM) dan memenuhi persyaratan resistensi MitM untuk AAL1, AAL2, dan AAL3.
Ketahanan pemutaran ulang
Metode autentikasi Microsoft Entra di AAL2 menggunakan nonce atau tantangan. Metode ini menolak serangan pemutaran ulang karena pemverifikasi mendeteksi transaksi autentikasi yang diputar ulang. Transaksi tersebut tidak akan berisi data nonce atau timeliness yang diperlukan.
Langkah berikutnya
Mencapai NIST AAL1 dengan ID Microsoft Entra