Livello di garanzia dell'autenticatore NIST 2 con Microsoft Entra ID
Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. Le organizzazioni che lavorano con le agenzie federali devono soddisfare questi requisiti.
Prima di avviare il livello di garanzia dell'autenticatore 2 (AAL2), è possibile visualizzare le risorse seguenti:
- Panoramica di NIST: Informazioni sui livelli AAL
- Nozioni di base per l'autenticazione: terminologia e tipi di autenticazione
- Tipi di autenticatore NIST: tipi authenticator
- AALs NIST: componenti AAL e metodi di autenticazione di Microsoft Entra
Tipi di autenticatori AAL2 consentiti
La tabella seguente include tipi di autenticatore consentiti per AAL2:
| Metodo di autenticazione Microsoft Entra | Tipo di autenticatore NIST |
|---|---|
| Metodi consigliati | |
| Certificato software a più fattori (pin protetto) Windows Hello for Business con software Trusted Platform Module (TPM) |
Software di crittografia a più fattori |
| Certificato protetto dall'hardware (smart card/chiave di sicurezza/TPM) Chiavi di sicurezza FIDO 2 Windows Hello for Business con TPM hardware |
Hardware di crittografia a più fattori |
| App Microsoft Authenticator (senza password) | Multi-factor out-of-band |
| Metodi aggiuntivi | |
| Password AND - App Microsoft Authenticator (notifica push) - OPPURE - Microsoft Authenticator Lite (notifica push) - OPPURE - Telefono (SMS) |
Segreto memorizzato AND Fuori banda a fattore singolo |
| Password AND - Token hardware OATH (anteprima) - OPPURE - App Microsoft Authenticator (OTP) - OPPURE - Microsoft Authenticator Lite (OTP) - OPPURE - Token software OATH |
Segreto memorizzato AND OTP a singolo fattore |
| Password AND - Certificato software a fattore singolo - OPPURE - Microsoft Entra unito al software TPM - OPPURE - Microsoft Entra ibrido aggiunto al software TPM - OPPURE - Dispositivo mobile conforme |
Segreto memorizzato AND Software di crittografia a singolo fattore |
| Password AND - Microsoft Entra è stato aggiunto con il TPM hardware - OPPURE - Microsoft Entra ibrido aggiunto a TPM hardware |
Segreto memorizzato AND Hardware di crittografia a singolo fattore |
Nota
Attualmente Microsoft Authenticator non è resistente al phishing. Per ottenere protezione dalle minacce di phishing esterno quando si usa Microsoft Authenticator, è necessario configurare anche i criteri di accesso condizionale che richiedono un dispositivo gestito.
Raccomandazioni di AAL2
Per AAL2, usare hardware crittografico a più fattori o autenticatori software. L'autenticazione senza password elimina la superficie di attacco più grande (la password) e offre agli utenti un metodo semplificato per l'autenticazione.
Per indicazioni sulla selezione di un metodo di autenticazione senza password, vedere Pianificare una distribuzione di autenticazione senza password in Microsoft Entra ID. Vedi anche la guida alla distribuzione di Windows Hello for Business
Convalida FIPS 140
Usare le sezioni seguenti per informazioni sulla convalida FIPS 140.
Requisiti di verifica
Microsoft Entra ID usa il modulo di crittografia di Windows FIPS 140 Livello 1 complessivamente convalidato per le operazioni di crittografia di autenticazione. È quindi un verificatore conforme a FIPS 140 richiesto dalle agenzie governative.
Requisiti dell'autenticatore
Gli autenticatori crittografici dell'agenzia governativa vengono convalidati per fips 140 livello 1 complessivamente. Questo requisito non è per le agenzie non governative. Gli autenticatori Microsoft Entra seguenti soddisfano i requisiti per l'esecuzione in Windows in una modalità approvata da FIPS 140:
Password
Microsoft Entra è stato aggiunto al software o al TPM hardware
Microsoft Entra ibrido aggiunto con software o con TPM hardware
Windows Hello for Business con software o con TPM hardware
Certificato archiviato in software o hardware (smart card/chiave di sicurezza/TPM)
L'app Microsoft Authenticator è conforme a FIPS 140 in iOS. La conformità di Android FIPS 140 è in corso. Per altre informazioni sui moduli di crittografia convalidati FIPS usati da Microsoft Authenticator, vedere l'app Microsoft Authenticator
Per i token hardware OATH e le smart card, è consigliabile consultare il provider per lo stato di convalida FIPS corrente.
I provider di chiavi di sicurezza FIDO 2 sono in varie fasi della certificazione FIPS. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO 2 supportati. Consultare il provider per ottenere lo stato di convalida FIPS corrente.
Riautenticazione
Per AAL2, il requisito NIST viene riautenticato ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è necessaria dopo un periodo di inattività di 30 minuti o più. Poiché il segreto della sessione è qualcosa che hai, presenta qualcosa che sai o sono, è obbligatorio.
Per soddisfare i requisiti di riautenticazione, indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso utente a 12 ore.
Con NIST è possibile usare controlli di compensazione per confermare la presenza del sottoscrittore:
Impostare il timeout di inattività della sessione su 30 minuti: bloccare il dispositivo a livello di sistema operativo con Microsoft System Center Configuration Manager, oggetti Criteri di gruppo o Intune. Affinché il sottoscrittore lo sblocchi, richiedere l'autenticazione locale.
Timeout indipendentemente dall'attività: eseguire un'attività pianificata (Configuration Manager, Oggetto Criteri di gruppo o Intune) per bloccare il computer dopo 12 ore, indipendentemente dall'attività.
Resistenza man-in-the-middle
Le comunicazioni tra l'attestazione e l'ID Microsoft Entra si trovano su un canale autenticato e protetto. Questa configurazione offre resistenza agli attacchi man-in-the-middle (MitM) e soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.
Resistenza alla riproduzione
I metodi di autenticazione di Microsoft Entra in AAL2 usano problemi o nonce. I metodi resistono agli attacchi di riproduzione perché il verificatore rileva le transazioni di autenticazione riprodotte. Tali transazioni non contengono dati di nonce o di tempestività necessari.
Passaggi successivi
Nozioni di base sull'autenticazione
Ottenere NIST AAL1 con Microsoft Entra ID