Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kimlik doğrulayıcı güvence düzeyi 3 (AAL3) için bu makaledeki bilgileri kullanın.
AAL2'yi edinmeden önce aşağıdaki kaynakları gözden geçirebilirsiniz:
- NIST'ye genel bakış: AAL düzeylerini anlama
- Kimlik doğrulamasıyla ilgili temel bilgiler: Terminoloji ve kimlik doğrulama türleri
- NIST kimlik doğrulayıcı türleri: Doğrulayıcı türleri
- NIC ACL'ler: AAL bileşenleri ve Microsoft Entra kimlik doğrulama yöntemleri
İzin verilen kimlik doğrulayıcı türleri
Gerekli NIST kimlik doğrulayıcı türlerini karşılamak için Microsoft kimlik doğrulama yöntemlerini kullanın.
| Microsoft Entra kimlik doğrulama yöntemleri | NIST kimlik doğrulayıcı türü |
|---|---|
| Önerilen yöntemler | |
| Çok faktörlü donanım korumalı sertifika FIDO 2 güvenlik anahtarı macOS için Platform SSO (Güvenli Kapanım) Donanım TPM ile İş İçin Windows Hello Microsoft Authenticator1'de Anahtar Şifre |
Çok faktörlü şifreleme donanımı |
| Ek yöntemler | |
| Parola VEYA QR Kodu (PIN) VE Tek faktörlü donanım korumalı sertifika |
Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme donanımı |
Microsoft Authenticator'da 1 Passkey, genel olarak kısmi AAL3 olarak kabul edilir ve FIPS 140 Düzey 2 Genel (veya üzeri) ve FIPS 140 düzey 3 fiziksel güvenliği (veya üzeri) olan platformlarda AAL3 olarak nitelenebilir. Microsoft Authenticator (iOS/Android) için FIPS 140 uyumluluğu hakkında ek bilgi için bkz. Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu
Öneriler
AAL3 için, en büyük saldırı yüzeyi olan parolayı ortadan kaldırarak parolasız kimlik doğrulaması sağlayan çok faktörlü şifreleme donanım doğrulayıcısını kullanmanızı öneririz.
Yönergeler için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu.
FIPS 140 doğrulaması
Doğrulayıcı gereksinimleri
Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanarak Microsoft Entra ID'yi uyumlu bir doğrulayıcı haline getirir.
Doğrulayıcı gereksinimleri
Tek faktörlü ve çok faktörlü şifreleme donanım kimlik doğrulayıcı gereksinimleri.
Tek faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 1 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
Windows cihazıyla kullanılan tek faktörlü donanım korumalı sertifika aşağıdaki durumlarda bu gereksinimi karşılar:
FIPS 140 Düzey 1 Genel veya üzeri, FIPS 140 Düzey 3 Fiziksel Güvenlikli TPM'ye sahip bir makinede
FIPS 140'a bağlılığı hakkında bilgi edinmek için mobil cihaz satıcınıza başvurun.
Çok faktörlü şifreleme donanımı
Doğrulayıcıların şunlar olması gerekir:
FIPS 140 Düzey 2 Genel veya üzeri
FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri
FIDO 2 güvenlik anahtarları, akıllı kartlar ve İş İçin Windows Hello bu gereksinimleri karşılamanıza yardımcı olabilir.
Birden çok FIDO2 güvenlik anahtarı sağlayıcısı FIPS gereksinimlerini karşılar. Desteklenen FIDO2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.
Akıllı kartlar kanıtlanmış bir teknolojidir. Birden çok satıcı ürünü FIPS gereksinimlerini karşılar.
- Şifreleme Modülü Doğrulama Programı hakkında daha fazla bilgi edinin
İş İçin Windows Hello
FIPS 140, yazılım, üretici yazılımı ve donanım dahil olmak üzere şifreleme sınırının değerlendirme kapsamında olmasını gerektirir. Windows işletim sistemleri bu kombinasyonlardan binlercesiyle eşleştirilebilir. Bu nedenle, Microsoft'un FIPS 140 Güvenlik Düzeyi 2'de İş İçin Windows Hello doğrulanması uygun değildir. Federal müşteriler, bu hizmeti AAL3 olarak kabul etmeden önce risk değerlendirmeleri yapmalı ve aşağıdaki bileşen sertifikalarının her birini risk kabullerinin bir parçası olarak değerlendirmelidir:
Windows 10 ve Windows Server, Ulusal Bilgi Güvencesi Ortaklığı'ndan (NIAP) Genel Amaçlı İşletim Sistemleri sürüm 4.2.1 için ABD Kamu Onaylı Koruma Profili'ni kullanır. Bu kuruluş, ticari kullanıma hazır (COTS) bilgi teknolojisi ürünlerini uluslararası Ortak Kriterlere uygun olarak değerlendirmek için ulusal bir programı denetler.
Windows Şifreleme Kitaplığı, NIST ile Kanada Siber Güvenlik Merkezi arasında ortak bir çalışma olan NIST Şifreleme Modülü Doğrulama Programı'nda (CMVP) FIPS Düzey 1'e sahiptir. Bu kuruluş şifreleme modüllerini FIPS standartlarına göre doğrular.
FIPS 140 Düzey 2 Genel ve FIPS 140 Düzey 3 Fiziksel Güvenlik olan bir Güvenilir Platform Modülü (TPM) seçin. Kuruluşunuz, donanım TPM'sinin istediğiniz AAL düzeyi gereksinimlerini karşıladığından emin olur.
Geçerli standartlara uyan TPM'leri belirlemek için NIST Bilgisayar Güvenliği Kaynak Merkezi Şifreleme Modülü Doğrulama Programı'na gidin. Modül Adı kutusuna standartları karşılayan donanım TPM'lerinin listesi için Güvenilir Platform Modülü girin.
MacOS Platform SSO
Apple macOS 13 (ve üzeri) FIPS 140 Düzey 2 Geneldir ve çoğu cihaz da FIPS 140 Düzey 3 Fiziksel Güvenlik'tır. Apple Platform Sertifikaları'na başvurmanızı öneririz.
Microsoft Authenticator'da Passkey
Microsoft Authenticator (iOS/Android) için FIPS 140 uyumluluğu hakkında ek bilgi için bkz. Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu
Yeniden kimlik doğrulama
AAL3 için NIST gereksinimleri, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 15 dakika veya daha uzun bir süre etkinlik yapılmadığında önerilir. Her iki faktörün de sunulması gerekir.
Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.
NIST, abone varlığını onaylamak için telafi denetimleri sağlar:
Configuration Manager, GPO veya Intune kullanarak zamanlanmış bir görev çalıştırarak etkinlik ne olursa olsun zaman aşımını ayarlayın. Etkinlik ne olursa olsun makineyi 12 saat sonra kilitleyin.
Önerilen etkinlik dışı kalma süresi zaman aşımı için, 15 dakika süreyle bir oturum etkinlik dışı kalma süresi ayarlayabilirsiniz: Microsoft Configuration Manager, Grup İlkesi Nesnesi (GPO) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.
Ortadaki adam direnci
Talep sahibi ile Microsoft Entra ID arasındaki iletişimler, ortadaki adam (MitM) saldırılarına karşı direnç için kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.
Doğrulayıcı kimliğe bürünme direnci
AAL3'e uyan Microsoft Entra kimlik doğrulama yöntemleri, kimlik doğrulayıcı çıkışını kimliği doğrulanan oturuma bağlayan şifreleme kimlik doğrulayıcıları kullanır. Yöntemler, talep eden tarafından denetlenen bir özel anahtar kullanır. Ortak anahtar, doğrulayıcı tarafından bilinir. Bu yapılandırma, AAL3 için doğrulayıcı kimliğe bürünme direnci gereksinimlerini karşılar.
Doğrulayıcı güvenliğin aşılmasına karşı dayanıklılık
AAL3'e uyan tüm Microsoft Entra kimlik doğrulama yöntemleri:
- Doğrulayıcının kimlik doğrulayıcı tarafından tutulan özel anahtara karşılık gelen bir ortak anahtarı depolamasını gerektiren bir şifreleme kimlik doğrulayıcısı kullanın
- FIPS-140 doğrulanmış karma algoritmalarını kullanarak beklenen kimlik doğrulayıcı çıkışını depolama
Daha fazla bilgi için bkz . Microsoft Entra Veri Güvenliği Konuları.
Yeniden yürütme direnci
AAL3'ü karşılayan Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algılayabildiğinden bu yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.
Kimlik doğrulama amacı
Kimlik doğrulama amacının zorunlu olması, çok faktörlü şifreleme donanımı gibi doğrudan bağlı fiziksel kimlik doğrulayıcıların konunun bilgisi olmadan kullanılmasını (örneğin, uç noktadaki kötü amaçlı yazılım tarafından) daha zor hale getirir. AAL3'e uyan Microsoft Entra yöntemleri, kimlik doğrulama amacını gösteren pin veya biyometrik kullanıcı girişini gerektirir.
Sonraki adımlar
Kimlik doğrulaması temel bilgileri
NIST kimlik doğrulayıcı türleri