請求者が、サブスクライバーに関連付けられている複数の認証子のいずれかの制御をアサートすると、認証プロセスが開始されます。 サブスクライバーは、個人または別のエンティティです。 次の表を使用して、米国標準技術局 (NIST) の認証子の種類と、関連する Microsoft Entra の認証方法について説明します。
| NIST 認証システムの種類 | Microsoft Entra の認証方法 |
|---|---|
| 記憶シークレット (自分が知っているもの) |
Password QR コード (PIN) |
| ルックアップ シークレット (自分が持っているもの) |
なし |
| 単一要素帯域外 (自分が持っているもの) |
Microsoft Authenticator アプリ (プッシュ通知) Microsoft Authenticator Lite (プッシュ通知) 電話 (SMS): 推奨されません |
| 多要素帯域外 (自分が持っているもの + 自分が知っているもの/自分自身) |
Microsoft Authenticator アプリ (電話でのサインイン) |
| 単一要素ワンタイム パスワード (OTP) (自分が持っているもの) |
Microsoft Authenticator アプリ (OTP) Microsoft Authenticator Lite (OTP) 単一要素ハードウェア/ソフトウェア OTP1 |
| 多要素 OTP (自分が持っているもの + 自分が知っているもの/自分自身) |
単一要素 OTP として扱われる |
| 単一要素暗号化ソフトウェア (自分が持っているもの) |
単一要素ソフトウェア証明書 ソフトウェア TPM を使用して参加した Microsoft Entra 2 ソフトウェア TPM を使用して参加した Microsoft Entra ハイブリッド 2 準拠しているモバイル デバイス2 |
| 単一要素暗号化ハードウェア (自分が持っているもの) |
単一要素ハードウェア保護証明書 ハードウェア TPM を使用して参加した Microsoft Entra 2 ハードウェア TPM を使用して参加した Microsoft Entra ハイブリッド 2 |
| 多要素の暗号化ソフトウェア (自分が持っているもの + 自分が知っているもの/自分自身) |
多要素ソフトウェア証明書 ソフトウェア TPM と Windows Hello for Business |
| 多要素の暗号化ハードウェア (自分が持っているもの + 自分が知っているもの/自分自身) |
多要素ハードウェア保護証明書 FIDO 2 セキュリティ キー macOS 用プラットフォーム SSO (Secure Enclave) Windows Hello for Business (ハードウェア TPM を使用) Microsoft Authenticator でのパスキー |
1 30 秒または 60 秒の OATH-TOTP SHA-1 トークン
2 デバイスの参加状態の詳細については、Microsoft Entra デバイス ID に関するページを参照してください
公衆交換電話網 (PSTN) の SMS/音声は推奨されません
NIST では、SMS や音声は推奨されていません。 デバイス スワップ、SIM の変更、数値の移植、およびその他の動作のリスクによって、問題が発生する可能性があります。 これらのアクションに悪意があると、安全でないエクスペリエンスになる可能性があります。 SMS/音声 は推奨されていませんが、ハッカーに必要な労力が増えるため、パスワードのみを使用するよりは悪くありません。
次のステップ
Microsoft Entra ID を使用して NIST AAL1 を実現する