Уровень проверки подлинности NIST 1 с идентификатором Microsoft Entra
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации должны соответствовать этим требованиям при работе с федеральными учреждениями.
Перед началом проверки подлинности уровня 1 (AAL1) можно просмотреть следующие ресурсы:
- Обзор NIST. Общие сведения об уровнях AAL
- Основы проверки подлинности: терминология и типы проверки подлинности
- Типы NIST Authenticator: типы Authenticator
- NIST AALs: компоненты AAL, методы проверки подлинности Microsoft Entra и доверенные платформенные модули (TPMs).
Разрешенные типы аутентификатора
Для достижения AAL1 можно использовать любой однофакторный или многофакторный разрешенный аутентификатор NIST.
| Метод проверки подлинности Microsoft Entra | Тип аутентификатора NIST |
|---|---|
| Пароль | Замеченный секрет |
| Телефон (SMS): не рекомендуется | Однофакторная внеполосная |
| Приложение Microsoft Authenticator (без пароля) | Мультифактор вне полосы |
| Однофакторный сертификат программного обеспечения | Однофакторное программное обеспечение для шифрования |
| Многофакторный сертификат программного обеспечения (защищенный ПИН-код) Windows Hello для бизнеса с программным TPM |
Многофакторное программное обеспечение для шифрования |
| Защищенный оборудованием сертификат (смарт-карта, ключ безопасности/TPM) Ключ безопасности FIDO 2 Windows Hello для бизнеса с аппаратным TPM |
Многофакторное оборудование шифрования |
Кончик
Рекомендуется выбрать по крайней мере фишинговые средства проверки подлинности AAL2. Выберите средства проверки подлинности AAL3 по бизнес-причинам, отраслевым стандартам или требованиям к соответствию требованиям.
Проверка FIPS 140
Требования проверяющего средства
Идентификатор Microsoft Entra использует модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющий средство, соответствующее FIPS 140, требуемое государственными учреждениями.
Сопротивление "человек в середине"
Обмен данными между заявителем и идентификатором Microsoft Entra проходит проверку подлинности, защищенный канал, чтобы противостоять атакам человека в середине (MitM). Эта конфигурация удовлетворяет требованиям к устойчивости MitM для AAL1, AAL2 и AAL3.
Дальнейшие действия
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra