你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Active Directory 的 NIST 验证器保证级别 2

美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。与联邦机构合作的组织必须满足这些要求。

在启动验证器保证级别 2 (AAL2) 之前，可以查看以下资源：

允许的 AAL2 验证器类型

下表包含 AAL2 允许的验证器类型：

Azure AD 身份验证方法	NIST 验证器类型
推荐的方法
适用于 iOS 的 Microsoft Authenticator 应用（无密码）带受信任的平台模块 (TPM) 软件的 Windows Hello 企业版	多重加密软件
FIDO 2 安全密钥适用于 Android 的 Microsoft Authenticator 应用（无密码）带硬件 TPM 的 Windows Hello 企业版智能卡（Active Directory 联合身份验证服务）	多重加密硬件
其他方法
密码和电话（短信）	记住的密码和带外数据
密码和 Microsoft Authenticator 应用一次性密码 (OTP) 密码和单因素 OTP	记住的密码和单因素 OTP
密码和带软件 TPM 的 Azure AD 联接密码和合规的移动设备密码和带软件 TPM 的混合 Azure AD 联接密码和 Microsoft Authenticator 应用（通知）	记住的密码和单因素加密软件
密码和带硬件 TPM 的 Azure AD 联接密码和带硬件 TPM 的混合 Azure AD 联接	记住的密码和单因素加密硬件

注意

在条件访问策略中，如果要求设备为合规设备或已建立混合 Azure AD 联接，则 Authenticator 为验证器模拟电阻。

对于 AAL2，请使用多重加密硬件或软件验证器。无密码身份验证消除了最大的攻击面（密码），并为用户提供了一种简化的身份验证方法。

通过以下部分了解 FIPS 140 验证。

Azure AD 会使用经过验证且总体达到 Windows FIPS 140 级别 1 的加密模块来执行身份验证加密操作。因此，根据政府机构的要求，该验证程序符合 FIPS 140 标准。

政府机构加密验证器经过验证且总体达到 FIPS 140 级别 1。对于非政府机构，则无此要求。在 Windows 上以 FIPS 140 批准的模式运行时，以下 Azure AD 验证器满足此要求：

尽管 Microsoft Authenticator 应用（在通知、OTP 和无密码模式中）使用 FIPS 140 批准的加密，但未经 FIPS 140 级别 1 验证。

FIDO 2 安全密钥提供商处于 FIPS 认证的各个阶段。建议查看受支持的 FIDO 2 密钥供应商列表。请咨询你的提供商，了解当前的 FIPS 验证状态。

对于 AAL2，NIST 要求无论用户是否处于活动状态，均需每 12 小时重新进行身份验证。在 30 分钟或更长时间内处于非活动状态时需要重新进行身份验证。由于你拥有会话机密，因此需要提供你知道或关于你身份的内容。

为了满足不考虑用户活动而重新进行身份验证的要求，Microsoft 建议将用户登录频率配置为 12 小时。

借助 NIST，可以使用补偿控制来确认订阅者状态：

将会话不活动超时设置为 30 分钟：利用 Microsoft System Center Configuration Manager、组策略对象 (GPO) 或 Intune 在操作系统级别锁定设备。如果订阅者要将其解锁，则需要进行本地身份验证。
与活动状态无关的超时：（利用 Configuration Manager、GPO 或 Intune）运行计划任务，在 12 小时后锁定计算机（无论用户是否处于活动状态）。