Типы проверки подлинности NIST и выровненные методы Microsoft Entra
Процесс проверки подлинности начинается, когда заявитель утверждает свой контроль над одним из нескольких аутентификаторов, связанных с подписчиком. Подписчик является человеком или другой сущностью. Используйте следующую таблицу, чтобы узнать о типах проверки подлинности Национального института стандартов и технологий (NIST) и связанных методах проверки подлинности Microsoft Entra.
| Тип структуры проверки подлинности NIST | Метод проверки подлинности Microsoft Entra |
|---|---|
| Замеченный секрет (нечто, известное пользователю) |
Пароль: облачные учетные записи, федеративная синхронизация, синхронизация хэша паролей, сквозная проверка подлинности |
| Секрет поиска (нечто, имеющееся у пользователя) |
нет |
| Однофакторная внеполосная (нечто, имеющееся у пользователя) |
Приложение Microsoft Authenticator (push-уведомление) Телефон (SMS): не рекомендуется |
| Многофакторная внеполосная полоса (то, что у вас есть + то, что вы знаете/есть) |
Приложение Microsoft Authenticator (без пароля) |
| Однофакторный одноразовый пароль (OTP) (нечто, имеющееся у пользователя) |
Приложение Microsoft Authenticator (OTP) Однофакторное оборудование и программное обеспечение OTP1 |
| Многофакторный OTP (то, что у вас есть + то, что вы знаете/есть) |
Рассматривается как однофакторный OTP |
| Однофакторное программное обеспечение для шифрования (нечто, имеющееся у пользователя) |
Однофакторный сертификат программного обеспечения Microsoft Entra присоединился к 2 с программным TPM Гибридное присоединение Microsoft Entra к 2 с программным TPM Совместимое мобильное устройство |
| Однофакторное оборудование шифрования (нечто, имеющееся у пользователя) |
Microsoft Entra присоединился к 2 с аппаратным TPM Гибридное присоединение Microsoft Entra к 2 с аппаратным TPM |
| Многофакторное программное обеспечение для шифрования (то, что у вас есть + то, что вы знаете/есть) |
Многофакторный сертификат программного обеспечения (защищенный ПИН-код) Windows Hello для бизнеса с программным доверенным платформенным модулем |
| Многофакторное оборудование шифрования (то, что у вас есть + то, что вы знаете/есть) |
Защищенный оборудованием сертификат (smart карта/security key/TPM) Windows Hello для бизнеса с аппаратным TPM Ключ безопасности FIDO 2 Учетные данные платформы для macOS |
1 30-секундный или 60-секундный токен OATH-TOTP SHA-1
2 Дополнительные сведения о состояниях присоединения устройств см. в разделе "Удостоверение устройства Microsoft Entra"
Телефонная сеть общего коммутатора (ТСОП) SMS/голос не рекомендуется
NIST не рекомендует SMS или голосовой связи. Риски переключения устройств, изменения SIM-карты, перенос номеров и других действий могут вызвать проблемы. Если эти действия являются вредоносными, они могут привести к небезопасной среде. Хотя SMS/Voice не рекомендуется, они лучше, чем использовать только пароль, потому что им требуется больше усилий для хакеров.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra