使用 Microsoft Entra ID 实现 NIST 验证器保证级别 2
美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。 与联邦机构合作的组织必须满足这些要求。
在启动验证器保证级别 2 (AAL2) 之前,可以查看以下资源:
- NIST 概述:了解 AAL 级别
- 身份验证基础知识:术语和身份验证类型
- NIST 验证器类型:验证器类型
- NIST AALs:AAL 组件和 Microsoft Entra 身份验证方法
允许的 AAL2 验证器类型
下表包含 AAL2 允许的验证器类型:
| Microsoft Entra 身份验证方法 | NIST 验证器类型 |
|---|---|
| 推荐的方法 | |
| 多重软件证书(受 PIN 保护) 带受信任的平台模块 (TPM) 软件的 Windows Hello 企业版 |
多重加密软件 |
| 受硬件保护证书(智能卡/安全密钥/TPM) FIDO 2 安全密钥 带硬件 TPM 的 Windows Hello 企业版 |
多重加密硬件 |
| Microsoft Authenticator 应用(无密码) | 多重带外 |
| 其他方法 | |
| 密码 AND - Microsoft Authenticator 应用(推送通知) - OR - Microsoft Authenticator 精简版 (推送通知) - OR - 电话(短信) |
记住的密码 AND 单因素带外 |
| 密码 AND - OATH 硬件令牌(预览版) - OR - Microsoft Authenticator 应用 (OTP) - 或 - Microsoft Authenticator 精简版 (OTP) - 或 - OATH 软件令牌 |
记住的密码 AND 单因素 OTP |
| 密码 AND - 单因素软件证书 - OR - 使用软件 TPM 进行了 Microsoft Entra 联接 - OR - 使用软件 TPM 进行了 Microsoft Entra 混合联接 - OR - 合规的移动设备 |
记住的密码 AND 单因素加密软件 |
| 密码 AND - 使用硬件 TPM 进行了 Microsoft Entra 联接 - OR - 已加入 Microsoft Entra 混合,带硬件 TPM |
记住的密码 AND 单因素加密硬件 |
注意
如今,Microsoft Authenticator 本身并不能抵御网络钓鱼。 若要在使用 Microsoft Authenticator 时免受外部网络钓鱼威胁的保护,必须另外配置需要受托管设备的条件访问策略。
AAL2 建议
对于 AAL2,请使用多重加密硬件或软件验证器。 无密码身份验证消除了最大的攻击面(密码),并为用户提供了一种简化的身份验证方法。
有关选择无密码身份验证方法的指南,请参阅在 Microsoft Entra ID 中规划无密码身份验证部署。 另请参阅 Windows Hello 企业版部署指南
FIPS 140 验证
通过以下部分了解 FIPS 140 验证。
验证程序要求
Microsoft Entra ID 会使用经过验证且总体达到 Windows FIPS 140 级别 1 的加密模块来执行身份验证加密操作。 因此,根据政府机构的要求,该验证程序符合 FIPS 140 标准。
验证器要求
政府机构加密验证器经过验证且总体达到 FIPS 140 级别 1。 对于非政府机构,则无此要求。 在 Windows 上以 FIPS 140 批准的模式运行时,以下 Microsoft Entra 验证器满足此要求:
密码
已加入 Microsoft Entra,使用软件或硬件 TPM
已混合加入 Microsoft Entra,使用软件或硬件 TPM
带软件或带硬件 TPM 的 Windows Hello 企业版
存储在软件或硬件中的证书(智能卡/安全密钥/TPM)
Microsoft Authenticator 应用在 iOS 上是 FIPS 140 合规的。 Android FIPS 140 合规性工作正在进行中。 有关 Microsoft Authenticator 使用的 FIPS 验证加密模块的详细信息,请参阅 Microsoft Authenticator 应用
对于 OATH 硬件令牌和智能卡,我们建议咨询你的提供商,了解当前的 FIPS 验证状态。
FIDO 2 安全密钥提供商处于 FIPS 认证的各个阶段。 建议查看受支持的 FIDO 2 密钥供应商列表。 请咨询你的提供商,了解当前的 FIPS 验证状态。
重新身份验证
对于 AAL2,NIST 要求无论用户是否处于活动状态,均需每 12 小时重新进行身份验证。 在 30 分钟或更长时间内处于非活动状态时需要重新进行身份验证。 由于你拥有会话机密,因此需要提供你知道或关于你身份的内容。
为了满足不考虑用户活动而重新进行身份验证的要求,Microsoft 建议将用户登录频率配置为 12 小时。
借助 NIST,可以使用补偿控制来确认订阅者状态:
将会话不活动超时设置为 30 分钟:利用 Microsoft System Center Configuration Manager、组策略对象 (GPO) 或 Intune 在操作系统级别锁定设备。 如果订阅者要将其解锁,则需要进行本地身份验证。
与活动状态无关的超时:(利用 Configuration Manager、GPO 或 Intune)运行计划任务,在 12 小时后锁定计算机(无论用户是否处于活动状态)。
抵御中间人攻击
请求方与 Microsoft Entra ID 之间的通信均通过经身份验证的受保护通道进行。 此配置可抵御中间人 (MitM) 攻击,并满足 AAL1、AAL2 和 AAL3 的抵御 MitM 攻击的要求。
重放抵抗
AAL2 的 Microsoft Entra 身份验证方法使用 nonce 或质询。 这些方法可以抵御重放攻击,因为验证程序可检测重放的身份验证事务。 此类事务不包含所需的 nonce 或及时性数据。
后续步骤
使用 Microsoft Entra ID 实现 NIST AAL1