NIST-autentiseringsnivå 2 med Microsoft Entra-ID
National Institute of Standards and Technology (NIST) utvecklar tekniska krav för amerikanska federala myndigheter som implementerar identitetslösningar. Organisationer som arbetar med federala myndigheter måste uppfylla dessa krav.
Innan du startar authenticator assurance level 2 (AAL2) kan du se följande resurser:
- NIST-översikt: Förstå AAL-nivåer
- Grundläggande autentisering: Terminologi- och autentiseringstyper
- NIST-autentiseringstyper: Autentiseringstyper
- NIST AALs: AAL-komponenter och Microsoft Entra-autentiseringsmetoder
Tillåtna AAL2-autentiseringstyper
Följande tabell har autentiseringstyper som är tillåtna för AAL2:
| Microsoft Entra-autentiseringsmetod | NIST-autentiseringstyp |
|---|---|
| Rekommenderade metoder | |
| Certifikat för multifaktorprogramvara (PIN-kodsskyddad) Windows Hello för företag med TPM (Trusted Platform Module) |
Programvara för multifaktorkryptering |
| Maskinvaruskyddat certifikat (smartkort/säkerhetsnyckel/TPM) SÄKERHETSNYCKEL FÖR FIDO 2 Windows Hello för företag med maskinvaru-TPM |
Maskinvara för multifaktorkryptering |
| Microsoft Authenticator-appen (lösenordslös) | Multifaktor out-of-band |
| Ytterligare metoder | |
| Lösenord OCH – Microsoft Authenticator-appen (push-meddelande) - OR – Microsoft Authenticator Lite (push-meddelande) - OR - Telefon (SMS) |
Memorerad hemlighet OCH Enfaktors out-of-band |
| Lösenord OCH – OATH-maskinvarutoken (förhandsversion) - OR – Microsoft Authenticator-appen (OTP) - OR – Microsoft Authenticator Lite (OTP) - OR – OATH-programvarutoken |
Memorerad hemlighet OCH OtP med en faktor |
| Lösenord OCH – Certifikat för enfaktorsprogramvara - OR – Microsoft Entra är anslutet till programvaran TPM - OR - Microsoft Entra hybrid ansluten med programvara TPM - OR – Kompatibel mobil enhet |
Memorerad hemlighet OCH Programvara med en faktorkryptering |
| Lösenord OCH – Microsoft Entra har anslutits till TPM för maskinvara - OR – Microsoft Entra-hybrid ansluten med maskinvaru-TPM |
Memorerad hemlighet OCH Maskinvara för enfaktorkryptering |
Kommentar
I dag är Microsoft Authenticator i sig inte nätfiskebeständigt. För att få skydd mot externa nätfiskehot när du använder Microsoft Authenticator måste du dessutom konfigurera principen för villkorsstyrd åtkomst som kräver en hanterad enhet.
AAL2-rekommendationer
För AAL2 använder du krypteringsmaskinvara eller programvaruautentisering med flera faktorer. Lösenordslös autentisering eliminerar den största attackytan (lösenordet) och ger användarna en effektiv metod för att autentisera.
Vägledning om hur du väljer en lösenordslös autentiseringsmetod finns i Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID. Se även distributionsguide för Windows Hello för företag
FIPS 140-validering
Använd följande avsnitt för att lära dig mer om FIPS 140-validering.
Kontrollantkrav
Microsoft Entra ID använder den övergripande verifierade kryptografiska modulen för Windows FIPS 140 Level 1 för kryptografiska autentiseringsåtgärder. Det är därför en FIPS 140-kompatibel kontrollant som krävs av myndigheter.
Autentiserarkrav
Kryptografiska autentiserare för myndigheter verifieras för FIPS 140 Nivå 1 totalt. Detta krav gäller inte för icke-statliga myndigheter. Följande Microsoft Entra-autentiserare uppfyller kravet när de körs i Windows i ett FIPS 140-godkänt läge:
Lösenord
Microsoft Entra är anslutet till programvara eller med TPM för maskinvara
Microsoft Entra-hybrid som är ansluten till programvara eller med TPM för maskinvara
Windows Hello för företag med programvara eller med TPM för maskinvara
Certifikat som lagras i programvara eller maskinvara (smartkort/säkerhetsnyckel/TPM)
Microsoft Authenticator-appen är FIPS 140-kompatibel i iOS. Android FIPS 140-efterlevnad pågår. Mer information om FIPS-verifierade kryptografiska moduler som används av Microsoft Authenticator finns i Microsoft Authenticator-appen
För OATH-maskinvarutoken och smartkort rekommenderar vi att du kontaktar din leverantör för aktuell FIPS-valideringsstatus.
FIDO 2-säkerhetsnyckelprovidrar är i olika skeden av FIPS-certifieringen. Vi rekommenderar att du granskar listan över FIDO 2-nyckelleverantörer som stöds. Kontakta leverantören för aktuell FIPS-valideringsstatus.
Autentisering igen
För AAL2 är NIST-kravet omautentisering var 12:e timme, oavsett användaraktivitet. Autentisering krävs efter en period av inaktivitet på 30 minuter eller längre. Eftersom sessionshemligheten är något du har, krävs att du presenterar något du känner till eller är.
För att uppfylla kravet på omautentisering, oavsett användaraktivitet, rekommenderar Microsoft att du konfigurerar användarinloggningsfrekvens till 12 timmar.
Med NIST kan du använda kompenserande kontroller för att bekräfta prenumerantnärvaro:
Ange tidsgränsen för sessionsinaktivitet till 30 minuter: Lås enheten på operativsystemnivå med Microsoft System Center Configuration Manager, grupprincipobjekt eller Intune. För att prenumeranten ska kunna låsa upp den behöver du lokal autentisering.
Tidsgräns oavsett aktivitet: Kör en schemalagd aktivitet (Configuration Manager, GPO eller Intune) för att låsa datorn efter 12 timmar, oavsett aktivitet.
Man-in-the-middle motstånd
Kommunikationen mellan den sökande och Microsoft Entra-ID:t sker via en autentiserad, skyddad kanal. Den här konfigurationen ger motstånd mot man-in-the-middle-attacker (MitM) och uppfyller mitm-motståndskraven för AAL1, AAL2 och AAL3.
Återuppspelningsmotstånd
Microsoft Entra-autentiseringsmetoder på AAL2 använder nonce eller utmaningar. Metoderna motstår reprisattacker eftersom kontrollanten identifierar omspelade autentiseringstransaktioner. Sådana transaktioner innehåller inte nödvändiga nonce- eller timeliness-data.
Nästa steg
Grundläggande om autentisering
Uppnå NIST AAL1 med Microsoft Entra ID