İngilizce dilinde oku

Aracılığıyla paylaş


Microsoft Entra Id kullanarak NIST kimlik doğrulayıcı güvence düzeyi 3

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kimlik doğrulayıcı güvence düzeyi 3 (AAL3) için bu makaledeki bilgileri kullanın.

AAL2'yi edinmeden önce aşağıdaki kaynakları gözden geçirebilirsiniz:

İzin verilen kimlik doğrulayıcı türleri

Gerekli NIST kimlik doğrulayıcı türlerini karşılamak için Microsoft kimlik doğrulama yöntemlerini kullanın.

Microsoft Entra kimlik doğrulama yöntemleri NIST kimlik doğrulayıcı türü
Önerilen yöntemler
Çok faktörlü donanım korumalı sertifika
FIDO 2 güvenlik anahtarı
macOS için Platform SSO (Güvenli Kapanım)
Donanım TPM ile İş İçin Windows Hello
Microsoft Authenticator1'de Passkey
Çok faktörlü şifreleme donanımı
Ek yöntemler
Parola
VE
Tek faktörlü donanım korumalı sertifika
Ezberlenmiş gizli dizi
VE
Tek faktörlü şifreleme donanımı

Microsoft Authenticator'da 1 Passkey, genel olarak kısmi AAL3 olarak kabul edilir ve FIPS 140 Düzey 2 Genel (veya üzeri) ve FIPS 140 düzey 3 fiziksel güvenliği (veya üzeri) olan platformlarda AAL3 olarak nitelenebilir. Microsoft Authenticator (iOS/Android) için FIPS 140 uyumluluğu hakkında ek bilgi için bkz. Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu

Öneriler

AAL3 için, en büyük saldırı yüzeyi olan parolayı ortadan kaldırarak parolasız kimlik doğrulaması sağlayan çok faktörlü şifreleme donanım doğrulayıcısını kullanmanızı öneririz.

Yönergeler için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu.

FIPS 140 doğrulaması

Doğrulayıcı gereksinimleri

Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanarak Microsoft Entra ID'yi uyumlu bir doğrulayıcı haline getirir.

Doğrulayıcı gereksinimleri

Tek faktörlü ve çok faktörlü şifreleme donanım kimlik doğrulayıcı gereksinimleri.

Tek faktörlü şifreleme donanımı

Doğrulayıcıların şunlar olması gerekir:

  • FIPS 140 Düzey 1 Genel veya üzeri

  • FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri

Windows cihazıyla kullanılan tek faktörlü donanım korumalı sertifika aşağıdaki durumlarda bu gereksinimi karşılar:

  • Windows'u FIPS-140 onaylı modda çalıştırabilirsiniz

  • FIPS 140 Düzey 1 Genel veya üzeri, FIPS 140 Düzey 3 Fiziksel Güvenlikli TPM'ye sahip bir makinede

    • Uyumlu TPM'leri bulun: Şifreleme Modülü Doğrulama Programı'nda Güvenilir Platform Modülü ve TPM araması yapın.

FIPS 140'a bağlılığı hakkında bilgi edinmek için mobil cihaz satıcınıza başvurun.

Çok faktörlü şifreleme donanımı

Doğrulayıcıların şunlar olması gerekir:

  • FIPS 140 Düzey 2 Genel veya üzeri

  • FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri

FIDO 2 güvenlik anahtarları, akıllı kartlar ve İş İçin Windows Hello bu gereksinimleri karşılamanıza yardımcı olabilir.

  • Birden çok FIDO2 güvenlik anahtarı sağlayıcısı FIPS gereksinimlerini karşılar. Desteklenen FIDO2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.

  • Akıllı kartlar kanıtlanmış bir teknolojidir. Birden çok satıcı ürünü FIPS gereksinimlerini karşılar.

İş İçin Windows Hello

FIPS 140, yazılım, üretici yazılımı ve donanım dahil olmak üzere şifreleme sınırının değerlendirme kapsamında olmasını gerektirir. Windows işletim sistemleri bu kombinasyonlardan binlercesiyle eşleştirilebilir. Bu nedenle, Microsoft'un FIPS 140 Güvenlik Düzeyi 2'de İş İçin Windows Hello doğrulanması uygun değildir. Federal müşteriler, bu hizmeti AAL3 olarak kabul etmeden önce risk değerlendirmeleri yapmalı ve aşağıdaki bileşen sertifikalarının her birini risk kabullerinin bir parçası olarak değerlendirmelidir:

Geçerli standartlara uyan TPM'leri belirlemek için NIST Bilgisayar Güvenliği Kaynak Merkezi Şifreleme Modülü Doğrulama Programı'na gidin. Modül Adı kutusuna standartları karşılayan donanım TPM'lerinin listesi için Güvenilir Platform Modülü girin.

MacOS Platform SSO

Apple macOS 13 (ve üzeri) FIPS 140 Düzey 2 Geneldir ve çoğu cihaz da FIPS 140 Düzey 3 Fiziksel Güvenlik'tır. Apple Platform Sertifikaları'na başvurmanızı öneririz.

Microsoft Authenticator'da Passkey

Microsoft Authenticator (iOS/Android) için FIPS 140 uyumluluğu hakkında ek bilgi için bkz. Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu

Yeniden kimlik doğrulama

AAL3 için NIST gereksinimleri, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 15 dakika veya daha uzun bir süre etkinlik yapılmadığında önerilir. Her iki faktörün de sunulması gerekir.

Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.

NIST, abone varlığını onaylamak için telafi denetimleri sağlar:

  • Configuration Manager, GPO veya Intune kullanarak zamanlanmış bir görev çalıştırarak etkinlik ne olursa olsun zaman aşımını ayarlayın. Etkinlik ne olursa olsun makineyi 12 saat sonra kilitleyin.

  • Önerilen etkinlik dışı kalma süresi zaman aşımı için, 15 dakika süreyle bir oturum etkinlik dışı kalma süresi ayarlayabilirsiniz: Microsoft Configuration Manager, Grup İlkesi Nesnesi (GPO) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.

Ortadaki adam direnci

Talep sahibi ile Microsoft Entra ID arasındaki iletişimler, ortadaki adam (MitM) saldırılarına karşı direnç için kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.

Doğrulayıcı kimliğe bürünme direnci

AAL3'e uyan Microsoft Entra kimlik doğrulama yöntemleri, kimlik doğrulayıcı çıkışını kimliği doğrulanan oturuma bağlayan şifreleme kimlik doğrulayıcıları kullanır. Yöntemler, talep eden tarafından denetlenen bir özel anahtar kullanır. Ortak anahtar, doğrulayıcı tarafından bilinir. Bu yapılandırma, AAL3 için doğrulayıcı kimliğe bürünme direnci gereksinimlerini karşılar.

Doğrulayıcı güvenliğin aşılmasına karşı dayanıklılık

AAL3'e uyan tüm Microsoft Entra kimlik doğrulama yöntemleri:

  • Doğrulayıcının kimlik doğrulayıcı tarafından tutulan özel anahtara karşılık gelen bir ortak anahtarı depolamasını gerektiren bir şifreleme kimlik doğrulayıcısı kullanın
  • FIPS-140 doğrulanmış karma algoritmalarını kullanarak beklenen kimlik doğrulayıcı çıkışını depolama

Daha fazla bilgi için bkz . Microsoft Entra Veri Güvenliği Konuları.

Yeniden yürütme direnci

AAL3'ü karşılayan Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algılayabildiğinden bu yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.

Kimlik doğrulama amacı

Kimlik doğrulama amacının zorunlu olması, çok faktörlü şifreleme donanımı gibi doğrudan bağlı fiziksel kimlik doğrulayıcıların konunun bilgisi olmadan kullanılmasını (örneğin, uç noktadaki kötü amaçlı yazılım tarafından) daha zor hale getirir. AAL3'e uyan Microsoft Entra yöntemleri, kimlik doğrulama amacını gösteren pin veya biyometrik kullanıcı girişini gerektirir.

Sonraki adımlar

NIST'ye genel bakış

AAL'ler hakkında bilgi edinin

Kimlik doğrulaması temel bilgileri

NIST kimlik doğrulayıcı türleri

Microsoft Entra Id kullanarak NIST AAL1'e ulaşma

Microsoft Entra Id kullanarak NIST AAL2'ye ulaşma