NIST Authenticator の種類と連携された Azure Active Directory の方法

請求者がサブスクライバーに関連付けられている複数の Authenticator のいずれかのコントロールをアサートすると、認証プロセスが開始されます。 サブスクライバーは、個人または別のエンティティである場合があります。

National Institute of Standards and Technology (NIST) Authenticator の種類 Azure Active Directory (Azure AD) 認証方法
記憶シークレット
(自分が知っているもの)
パスワード (クラウド アカウント)
パスワード (フェデレーション)
パスワード (パスワード ハッシュ同期)
パスワード (パススルー認証)
ルックアップ シークレット
(自分が持っているもの)
なし。 ルックアップ シークレットは、システムに保持されていない定義データによるものです。
帯域外
(自分が持っているもの)
電話 (SMS) - 推奨されません
単一要素ワンタイム パスワード
‎(自分が持っているもの)
Microsoft Authenticator アプリ (ワンタイム パスワード)
単一要素ワンタイム パスワード ‎(OTP 製造元経由)1
多要素ワンタイム パスワード
(自分が持っているもの + 自分が知っているものまたは自分自身)
多要素ワンタイム パスワード ‎(OTP 製造元経由) 1
単一要素暗号化ソフトウェア
(自分が持っているもの)
準拠モバイル デバイス
Microsoft Authenticator アプリ (通知)
Hybrid Azure AD 参加済み2 (ソフトウェア TPM を使用)
Azure AD 参加済み 2 (ソフトウェア TPM を使用)
単一要素暗号化ハードウェア
(自分が持っているもの)
Azure AD 参加済み 2 (ハードウェア TPM を使用)
Hybrid Azure AD 参加済み 2 (ハードウェア TPM を使用)
多要素の暗号化ソフトウェア
(自分が持っているもの + 自分が知っているものまたは自分自身)
iOS 用の Microsoft Authenticator アプリ (パスワードレス)
ソフトウェア TPM と Windows Hello for Business
多要素の暗号化ハードウェア
(自分が持っているもの + 自分が知っているものまたは自分自身)
Android 用の Microsoft Authenticator アプリ (パスワードレス)
Windows Hello for Business (ハードウェア TPM を使用)
スマートカード (フェデレーション ID プロバイダー)
FIDO 2 セキュリティ キー

1 30 秒または 60 秒の種類がある OATH-TOTP SHA-1 トークン。

2 デバイスの参加状態の詳細については、Azure AD デバイス ID のドキュメントを参照してください。

SMS テキスト メッセージは NIST 標準を満たしていますが、NIST では推奨されません。 デバイス スワップ、SIM の変更、電話番号のポーティング、およびその他の動作のリスクによって、問題が発生する可能性があります。 これらのアクションが悪意を持って行われると、安全でないエクスペリエンスになる可能性があります。 SMS テキスト メッセージは推奨されていませんが、ハッカーにとってより多くの労力が必要になるため、パスワードのみを使用するよりは悪くありません。

次のステップ

NIST の概要

AAL について確認する

認証の基本

NIST 認証システムの種類

Azure AD を使用して NIST AAL1 を達成する

Azure AD を使用して NIST AAL2 を達成する

Azure AD を使用して NIST AAL3 を達成する