Ottenere il livello di garanzia dell'autenticatore NIST 2 con Azure Active Directory

Il National Institute of Standards and Technology (NIST) sviluppa i requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. È necessario soddisfare questi requisiti anche per le organizzazioni che lavorano con le agenzie federali.

Prima di tentare di ottenere il livello di garanzia dell'autenticatore 2 (AAL2), è possibile visualizzare le risorse seguenti:

Tipi di autenticatori consentiti

La tabella seguente fornisce informazioni dettagliate sui tipi di autenticatore consentiti per AAL2:

Azure AD metodo di autenticazione Tipo di autenticatore NIST
Metodi consigliati
Microsoft Authenticator'app per iOS (senza password)
Windows Hello for Business con il modulo TPM (Software Trusted Platform Module)
Software di crittografia a più fattori
Chiave di sicurezza FIDO 2
Microsoft Authenticator'app per Android (senza password)
Windows Hello for Business con TPM hardware
Smart card (Active Directory Federation Services)
Hardware di crittografia a più fattori
Metodi aggiuntivi
Password + Telefono (SMS) Segreto memorizzato + fuori banda
Password e app Microsoft Authenticator (OTP)
Password + SF OTP
Segreto memorizzato + Password monouso a fattore singolo
Password e Azure AD aggiunti al TPM software
Password e dispositivo mobile conforme
Password e Azure AD ibrido aggiunti a TPM software
Password e app Microsoft Authenticator (notifica)
Secretized Secret + Single-Factor Crypto SW
Password e Azure AD aggiunti a TPM hardware
Password e Azure AD ibrido aggiunti a TPM hardware
Segreto memorizzato + hardware di crittografia a fattore singolo

Nota

In un criterio di accesso condizionale, se è necessario che un dispositivo sia contrassegnato come conforme o aggiunto a un Azure AD ibrido, Authenticator funge da resistenza alla rappresentazione del classificatore.

I nostri consigli

Per ottenere AAL2, usare l'hardware crittografico a più fattori o gli autenticatori software. L'autenticazione senza password elimina la superficie di attacco più grande (la password) e offre agli utenti un metodo semplificato per l'autenticazione.

Per indicazioni dettagliate sulla selezione di un metodo di autenticazione senza password, vedere Pianificare una distribuzione di autenticazione senza password in Azure Active Directory.

Per altre informazioni sull'implementazione di Windows Hello for Business, vedere la guida alla distribuzione di Windows Hello for Business.

Convalida FIPS 140

Le sezioni seguenti illustrano come ottenere la convalida FIPS 140.

Requisiti di verifica

Azure AD usa il modulo crittografico convalidato complessivo fips 140 livello 1 Windows per tutte le operazioni di crittografia correlate all'autenticazione. È quindi un verificatore conforme a FIPS 140 come richiesto dalle agenzie governative.

requisiti di Authenticator

Gli autenticatori crittografici delle agenzie governative devono essere convalidati per fips 140 livello 1 complessivamente. Questo non è un requisito per le agenzie non governative. I seguenti Azure AD autenticatori soddisfano i requisiti quando sono in esecuzione su Windows in una modalità operativa approvata FIPS 140:

  • Password

  • Azure AD aggiunto al software o al TPM hardware

  • Azure AD ibrido aggiunto al software o al TPM hardware

  • Windows Hello for Business con software o con TPM hardware

  • Smart card (Active Directory Federation Services)

Anche se l'app Microsoft Authenticator in tutte le modalità (notifica, OTP e senza password) usa la crittografia approvata FIPS 140, non viene convalidata fips 140 livello 1.

I provider di chiavi di sicurezza FIDO2 sono in varie fasi della certificazione FIPS, tra cui alcuni che hanno completato la convalida. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO2 supportati e verificare con il provider lo stato di convalida FIPS corrente.

Riautenticazione

A livello di AAL2, NIST richiede la riautenticazione ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è necessaria anche dopo un periodo di inattività di 30 minuti o più. Presentazione di qualcosa che si conosce o qualcosa di necessario, perché il segreto della sessione è qualcosa che si ha.

Per soddisfare i requisiti di riautenticazione indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso dell'utente a 12 ore.

NIST consente anche l'uso di controlli di compensazione per confermare la presenza del sottoscrittore:

  • È possibile impostare il timeout di inattività della sessione su 30 minuti bloccando il dispositivo a livello di sistema operativo usando Microsoft System Center Configuration Manager, oggetti Criteri di gruppo o Intune. È inoltre necessario richiedere l'autenticazione locale affinché il sottoscrittore lo sblocchi.

  • Il timeout indipendentemente dall'attività può essere ottenuto eseguendo un'attività pianificata (usando Configuration Manager, oggetto Criteri di gruppo o Intune) che blocca il computer dopo 12 ore, indipendentemente dall'attività.

Resistenza man-in-the-middle

Tutte le comunicazioni tra l'attestazione e la Azure AD vengono eseguite su un canale autenticato e protetto, per fornire resistenza agli attacchi man-in-the-middle (MitM). Questo soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.

Resistenza alla riproduzione

Tutti i metodi di autenticazione Azure AD in AAL2 usano problemi o nonce. I metodi sono resistenti agli attacchi di riproduzione perché il verificatore rileva facilmente le transazioni di autenticazione riprodotte. Tali transazioni non conterranno i dati di nonce o tempestività appropriati.

Passaggi successivi

Panoramica del NIST

Informazioni sugli elenchi di controllo di accesso

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Ottenere NIST AAL1 con Azure AD

Ottenere NIST AAL2 con Azure AD

Ottenere NIST AAL3 con Azure AD