Livello di garanzia dell'autenticatore NIST 1 con Microsoft Entra ID
Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. Le organizzazioni devono soddisfare questi requisiti quando si lavora con le agenzie federali.
Prima di iniziare il livello di garanzia dell'autenticatore 1 (AAL1), è possibile esaminare le risorse seguenti:
- Panoramica di NIST: Informazioni sui livelli AAL
- Nozioni di base per l'autenticazione: terminologia e tipi di autenticazione
- Tipi di autenticatore NIST: tipi authenticator
- AALs NIST: componenti AAL, metodi di autenticazione di Microsoft Entra e TPM (Trusted Platform Modules).
Tipi di autenticatori consentiti
Per ottenere AAL1, è possibile usare qualsiasi autenticatore consentito a singolo fattore o a più fattori NIST.
| Metodo di autenticazione Microsoft Entra | Tipo di autenticatore NIST |
|---|---|
| Password | Segreto memorizzato |
| Telefono (SMS): non consigliato | Fuori banda a fattore singolo |
| App Microsoft Authenticator (senza password) | Multi-factor out-of-band |
| Certificato software a fattore singolo | Software di crittografia a singolo fattore |
| Certificato software a più fattori (pin protetto) Windows Hello for Business con TPM software |
Software di crittografia a più fattori |
| Certificato protetto dall'hardware (smart card/chiave di sicurezza/TPM) Chiavi di sicurezza FIDO 2 Windows Hello for Business con TPM hardware |
Hardware di crittografia a più fattori |
Suggerimento
È consigliabile selezionare almeno gli autenticatori AAL2 resistenti al phishing. Selezionare autenticatori AAL3 in base alle esigenze aziendali, standard del settore o requisiti di conformità.
Convalida FIPS 140
Requisiti di verifica
Microsoft Entra ID usa il modulo di crittografia Windows FIPS 140 Level 1 per le operazioni di crittografia di autenticazione. È quindi un verificatore conforme a FIPS 140 richiesto dalle agenzie governative.
Resistenza man-in-the-middle
Le comunicazioni tra il richiedente e l'ID Microsoft Entra si trovano su un canale autenticato, protetto, per resistere agli attacchi man-in-the-middle (MitM). Questa configurazione soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.
Passaggi successivi
Nozioni di base sull'autenticazione
Ottenere NIST AAL1 con Microsoft Entra ID