Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kimlik çözümleri uygulayan ABD federal kurumları için teknik gereksinimler geliştirmektedir. Federal kurumlarla çalışan kuruluşların bu gereksinimleri karşılaması gerekir.
Kimlik doğrulayıcı güvence düzeyi 2'yi (AAL2) başlatmadan önce aşağıdaki kaynakları görebilirsiniz:
- NIST'ye genel bakış: AAL düzeylerini anlama
- Kimlik doğrulamasıyla ilgili temel bilgiler: Terminoloji ve kimlik doğrulama türleri
- NIST kimlik doğrulayıcı türleri: Doğrulayıcı türleri
- NIC ACL'ler: AAL bileşenleri ve Microsoft Entra kimlik doğrulama yöntemleri
İzin verilen AAL2 kimlik doğrulayıcı türleri
Aşağıdaki tabloda AAL2 için izin verilen kimlik doğrulayıcı türleri vardır:
| Microsoft Entra kimlik doğrulama yöntemi | Kimlik Avına Dayanıklı | NIST kimlik doğrulayıcı türü |
|---|---|---|
| Önerilen yöntemler | ||
| Çok faktörlü yazılım sertifikası Yazılım Güvenilen Platform Modülü (TPM) ile İş İçin Windows Hello |
Evet | Çok faktörlü şifreleme yazılımı |
| Çok faktörlü donanım korumalı sertifika FIDO 2 güvenlik anahtarı macOS için Platform SSO (Güvenli Kapanım) Donanım TPM ile İş İçin Windows Hello Microsoft Authenticator'da Passkey |
Evet | Çok faktörlü şifreleme donanımı |
| Ek yöntemler | ||
| Microsoft Authenticator uygulaması (Telefonda Oturum Açma) | Hayır | Çok faktörlü bant dışı |
| Parola VEYA QR Kodu (PIN) VE - Microsoft Authenticator uygulaması (Anında İletme Bildirimi) - VEYA - Microsoft Authenticator Lite (Anında İletme Bildirimi) - VEYA - Telefon (SMS) |
Hayır | Ezberlenmiş gizli dizi VE Tek faktörlü bant dışı |
| Parola VEYA QR Kodu (PIN) VE - OATH donanım belirteçleri (önizleme) - VEYA - Microsoft Authenticator uygulaması (OTP) - VEYA - Microsoft Authenticator Lite (OTP) - VEYA - OATH yazılım belirteçleri |
Hayır | Ezberlenmiş gizli dizi VE Tek faktörlü OTP |
| Parola VEYA QR Kodu (PIN) VE - Tek faktörlü yazılım sertifikası - VEYA - Microsoft Entra yazılım TPM ile katıldı - VEYA - Microsoft Entra hibrit yazılım TPM ile katıldı - VEYA - Uyumlu mobil cihaz |
Evet1 | Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme yazılımı |
| Parola VEYA QR Kodu (PIN) VE - Donanım TPM'siyle birleştirilen Microsoft Entra - VEYA - Donanım TPM'siyle birleştirilen Microsoft Entra karma |
Evet1 | Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme donanımı |
1Dış kimlik avına karşı koruma
AAL2 önerileri
AAL2 için çok faktörlü şifreleme doğrulayıcısını kullanın. Bu kimlik avına dayanıklıdır, en büyük saldırı yüzeyini (parola) ortadan kaldırır ve kullanıcılara kimlik doğrulaması için kolaylaştırılmış bir yöntem sunar.
Parolasız kimlik doğrulama yöntemi seçme konusunda rehberlik için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu
FIPS 140 doğrulaması
FIPS 140 doğrulaması hakkında bilgi edinmek için aşağıdaki bölümleri kullanın.
Doğrulayıcı gereksinimleri
Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanır. Bu nedenle, kamu kurumları tarafından gereken FIPS 140 uyumlu bir doğrulayıcıdır.
Doğrulayıcı gereksinimleri
Kamu kurumu şifreleme kimlik doğrulayıcıları genel olarak FIPS 140 Düzey 1 için doğrulanır. Bu gereksinim, sivil toplum kuruluşları için değildir. Aşağıdaki Microsoft Entra kimlik doğrulayıcıları, Windows üzerinde FIPS 140 onaylı modda çalışırken gereksinimi karşılar:
Parola
Microsoft Entra yazılım veya donanım TPM ile katıldı
Yazılımla veya donanım TPM'siyle birleştirilen Microsoft Entra karma
Yazılım veya donanım TPM ile İş İçin Windows Hello
Yazılım veya donanımda depolanan sertifika (akıllı kart/güvenlik anahtarı/TPM)
Microsoft Authenticator uygulaması (iOS/Android) FIPS 140 uyumluluk bilgileri için bkz . Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu
OATH donanım belirteçleri ve akıllı kartlarda geçerli FIPS doğrulama durumu için sağlayıcınıza danışmanızı öneririz.
FIDO 2 güvenlik anahtarı sağlayıcıları, FIPS sertifikasının çeşitli aşamalarındadır. Desteklenen FIDO 2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.
macOS için platform SSO,FIPS 140 ile uyumludur. Apple Platform Sertifikaları'na başvurmanızı öneririz.
Yeniden kimlik doğrulama
AAL2 için NIST gereksinimi, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 30 dakika veya daha uzun bir süre etkinlik dışı kalındıktan sonra gereklidir. Oturum gizli dizisi sahip olduğunuz bir şey olduğundan, bildiğiniz veya bildiğiniz bir şeyi sunmanız gerekir.
Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.
NIST ile abone varlığını onaylamak için telafi denetimlerini kullanabilirsiniz:
Oturum etkinlik dışı kalma süresini 30 dakika olarak ayarlayın: Microsoft System Center Configuration Manager, grup ilkesi nesneleri (GPO'lar) veya Intune ile cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.
Etkinlikten bağımsız olarak zaman aşımı: Etkinlikten bağımsız olarak makineyi 12 saat sonra kilitlemek için zamanlanmış bir görev (Configuration Manager, GPO veya Intune) çalıştırın.
Ortadaki adam direnci
Talep sahibi ile Microsoft Entra Kimliği arasındaki iletişimler kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma, ortadaki adam (MitM) saldırılarına karşı direnç sağlar ve AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.
Yeniden yürütme direnci
AAL2'deki Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algıladığı için yöntemler yeniden yürütme saldırılarına karşı koyar. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.
Sonraki adımlar
Kimlik doğrulaması temel bilgileri
NIST kimlik doğrulayıcı türleri
Microsoft Entra Id ile NIST AAL1 elde edin