使用 Microsoft Entra ID 的 NIST 身分驗證保證等級 2 (AAL2)

美國國家標準暨技術研究院 (NIST) 為實作身分識別解決方案的美國聯邦機關開發技術需求。與聯邦機關合作的組織也須符合這些需求。

開始驗證器保證等級 2 (AAL2) 之前，您可以看到下列資源：

允許的 AAL2 驗證器類型

下表具有 AAL2 所允許的驗證器類型：

Microsoft Entra 驗證方法	網路釣魚防護	NIST 驗證器類型
建議的方法
多重要素軟體憑證使用軟體可信賴平台模組 (TPM) 的 Windows Hello 企業版	是的	多重要素加密軟體
多因素硬體保護憑證 FIDO 2 安全性金鑰適用於 macOS 的平臺 SSO （安全記憶體保護區）使用硬體 TPM 的 Windows Hello 企業版 Microsoft Authenticator 中的 Passkey（通行密鑰）	是的	多重因素加密硬體
其他方法
Microsoft Authenticator 應用程式（電話登入）	否	帶外多重因素
密碼或 QR 代碼（PIN）和 - Microsoft Authenticator 應用程式 (推播通知) - 或 - Microsoft Authenticator Lite (推播通知) - 或 - 電話 (SMS)	否	記憶中的秘密和單一要素超出訊號範圍
密碼或 QR 代碼（PIN）和 - OATH 硬體認證器 (預覽) - 或 - Microsoft Authenticator 應用程式 (OTP) - 或 - Microsoft Authenticator Lite （OTP） - 或 OATH 軟體憑證	否	記憶的密碼和單一因素驗證密碼 (OTP)
密碼或 QR 代碼（PIN）和 - 單一要素軟體憑證 - 或 Microsoft Entra 與軟體 TPM 整合 - 或 - 混合式 Microsoft Entra 與軟體 TPM 聯結 - 或 - 相容的行動裝置	是¹	記憶的密碼和單一要素加密軟體
密碼或 QR 代碼（PIN）和 - Microsoft Entra 結合硬體 TPM - 或 - 已加入 Microsoft Entra 混合式 (含硬體 TPM)	是¹	記憶中的秘密和單一要素加密硬體

針對 AAL2，請使用多重要素密碼編譯驗證器。這是網路釣魚防護，可消除最大的攻擊面（密碼），併為使用者提供簡化的驗證方法。

使用下列各節來了解 FIPS 140 驗證。

Microsoft Entra ID 針對驗證密碼編譯作業，使用 Windows FIPS 140 層級 1 的整體驗證密碼編譯模組。因此，這是政府機關要求的 FIPS 140 相容驗證器。

政府機關的加密驗證器已通過 FIPS 140 等級 1 的整體驗證。這項要求不適用於非政府機關。下列 Microsoft Entra 驗證器在 Windows 上執行且以 FIPS 140 核准的模式運行時，符合需求：

如需 Microsoft Authenticator 應用程式（iOS/Android）的 FIPS 140 合規性資訊，請參閱適用於 Microsoft Entra 驗證的 FIPS 140 合規性說明

如需 OATH 硬體權杖和智慧卡，建議您洽詢您的提供者，以取得目前的 FIPS 驗證狀態。

FIDO 2 安全性金鑰提供者處於 FIPS 認證的各個階段。建議您檢閱支援的 FIDO 2 主要廠商清單。請諮詢您的提供者，以取得目前的 FIPS 驗證狀態。

適用於 macOS 的平臺 SSO 符合 FIPS 140 規範。我們建議參考 Apple 平台認證。

針對 AAL2，無論使用者活動為何，NIST 都需要每 12 小時重新驗證一次。在閒置時間持續 30 分鐘或更久之後，需要重新驗證。因為工作階段密鑰是您所擁有的，因此需要您提供您所知的資訊或個人身分證明。

為了滿足不論使用者的活動如何，都要重新驗證的要求，Microsoft 建議您將使用者登入頻率設定為 12 小時。

您可以透過 NIST，使用補償控制項來確認訂閱者是否存在：

將工作階段閒置超時設定為 30 分鐘：使用 Microsoft System Center Configuration Manager、群組原則物件 (GPO) 或 Intune，在作業系統層級鎖定裝置。若訂閱者要解除鎖定，必須要有本機驗證。
不論是否有活動，皆會超時：在 12 小時後，執行已排定的工作以鎖定電腦，無論是使用設定管理員、GPO 還是 Intune。