Уровень проверки подлинности NIST 1 с идентификатором Microsoft Entra
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации должны соответствовать этим требованиям при работе с федеральными учреждениями.
Перед началом проверки подлинности уровня 1 (AAL1) можно просмотреть следующие ресурсы:
- Обзор NIST. Общие сведения об уровнях AAL
- Основы проверки подлинности: терминология и типы проверки подлинности
- Типы NIST Authenticator: типы Authenticator
- NIST AALs: компоненты AAL, методы проверки подлинности Microsoft Entra и доверенные платформенные модули (TPMs).
Разрешенные типы проверки подлинности
Для достижения уровня AAL1 можно использовать любую однофакторную или многофакторную разрешенную структуру проверки подлинности.
| Метод проверки подлинности Microsoft Entra | Тип структуры проверки подлинности NIST |
|---|---|
| Password | Запоминаемый секрет |
| Телефон (SMS): не рекомендуется | Однофакторная внеполосная |
| Приложение Microsoft Authenticator (без пароля) | Мультифактор вне полосы |
| Однофакторный сертификат программного обеспечения | ПО для однофакторной проверки подлинности с шифрованием |
| Многофакторный сертификат программного обеспечения (защищенный ПИН-код) Windows Hello для бизнеса с программным TPM |
Многофакторное программное обеспечение для шифрования |
| Защищенный оборудованием сертификат (smart карта/security key/TPM) Ключ безопасности FIDO 2 Windows Hello для бизнеса с аппаратным TPM |
Многофакторное оборудование шифрования |
Совет
Мы рекомендуем выбрать по крайней мере фишинговые средства AAL2 authneticator. Выберите средства проверки подлинности AAL3 по бизнес-причинам, отраслевым стандартам или требованиям к соответствию требованиям.
Проверка на соответствие стандарту FIPS 140
Требования к средству проверки
Идентификатор Microsoft Entra использует модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.
Защита от атак "злоумышленник в середине"
Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал, чтобы противостоять атакам человека в середине (MitM). Эта конфигурация удовлетворяет требованиям к устойчивости MitM для AAL1, AAL2 и AAL3.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra