使用 Microsoft Entra ID 实现 NIST 验证器保证级别 2

美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。与联邦机构合作的组织必须满足这些要求。

在启动验证器保证级别 2 (AAL2) 之前，可以查看以下资源：

允许的 AAL2 验证器类型

下表包含 AAL2 允许的验证器类型：

Microsoft Entra 身份验证方法	防网络钓鱼	NIST 验证器类型
推荐的方法
多重软件证书带受信任的平台模块 (TPM) 软件的 Windows Hello 企业版	是	多重加密软件
多重硬件保护证书 FIDO 2 安全密钥适用于 macOS 的平台 SSO（安全 Enclave）带硬件 TPM 的 Windows Hello 企业版 Microsoft Authenticator 中的密钥	是	多重加密硬件
其他方法
Microsoft Authenticator 应用（手机登录）	否	多重带外
密码或 QR 码（PIN）和 - Microsoft Authenticator 应用（推送通知） - 或 - Microsoft Authenticator 精简版 (推送通知) - 或 - 电话（短信）	否	记住的密码和单因素带外
密码或 QR 码（PIN）和 - OATH 硬件令牌（预览版） - 或 - Microsoft Authenticator 应用 (OTP) - 或 - Microsoft Authenticator 精简版 (OTP) - 或 - OATH 软件令牌	否	记住的密码和单因素 OTP
密码或 QR 码（PIN）和 - 单因素软件证书 - 或 - 使用软件 TPM 进行了 Microsoft Entra 联接 - 或 - 使用软件 TPM 进行了 Microsoft Entra 混合联接 - 或 - 合规的移动设备	是¹	记住的密码和单因素加密软件
密码或 QR 码（PIN）和 - 使用硬件 TPM 进行了 Microsoft Entra 联接 - 或 - 已加入 Microsoft Entra 混合，带硬件 TPM	是¹	记住的密码和单因素加密硬件

对于 AAL2，请使用多重加密验证器。这可以抵抗网络钓鱼，消除最大的攻击面（密码），并为用户提供了一种简化的身份验证方法。

通过以下部分了解 FIPS 140 验证。

Microsoft Entra ID 会使用经过验证且总体达到 Windows FIPS 140 级别 1 的加密模块来执行身份验证加密操作。因此，根据政府机构的要求，该验证程序符合 FIPS 140 标准。

政府机构加密验证器经过验证且总体达到 FIPS 140 级别 1。对于非政府机构，则无此要求。在 Windows 上以 FIPS 140 批准的模式运行时，以下 Microsoft Entra 验证器满足此要求：

有关 Microsoft Authenticator 应用 (iOS/Android) FIPS 140 合规性信息，请参阅符合 FIPS 140 标准，适用于 Microsoft Entra 身份验证

对于 OATH 硬件令牌和智能卡，我们建议咨询你的提供商，了解当前的 FIPS 验证状态。

FIDO 2 安全密钥提供商处于 FIPS 认证的各个阶段。建议查看受支持的 FIDO 2 密钥供应商列表。请咨询你的提供商，了解当前的 FIPS 验证状态。

macOS 的平台 SSO 符合 FIPS 140 标准。建议参考 Apple 平台认证。

对于 AAL2，NIST 要求无论用户是否处于活动状态，均需每 12 小时重新进行身份验证。在 30 分钟或更长时间内处于非活动状态时需要重新进行身份验证。由于你拥有会话机密，因此需要提供你知道或关于你身份的内容。

为了满足不考虑用户活动而重新进行身份验证的要求，Microsoft 建议将用户登录频率配置为 12 小时。

借助 NIST，可以使用补偿控制来确认订阅者状态：

将会话不活动超时设置为 30 分钟：利用 Microsoft System Center Configuration Manager、组策略对象 (GPO) 或 Intune 在操作系统级别锁定设备。如果订阅者要将其解锁，则需要进行本地身份验证。
与活动状态无关的超时：（利用 Configuration Manager、GPO 或 Intune）运行计划任务，在 12 小时后锁定计算机（无论用户是否处于活动状态）。