使用 Microsoft Entra ID 的 NIST 驗證器保證等級 2 (AAL2)
美國國家標準與技術研究所 (NIST) 為實施身分識別解決方案的美國聯邦機構開發技術需求。 與聯邦機關合作的組織也須符合這些需求。
開始驗證器保證等級 2 (AAL2) 之前,您可以看到下列資源:
- NIST 概觀:瞭解 AAL 層級
- 驗證基本概念:術語和驗證類型
- NIST 驗證器類型:驗證器類型
- NIST AAL:AAL 元件和 Microsoft Entra 驗證方法
允許的 AAL2 驗證器類型
下表具有 AAL2 所允許的驗證器類型:
Microsoft Entra 驗證方法 | NIST 驗證器類型 |
---|---|
建議的方法 | |
多重要素軟體憑證 (PIN 保護) 使用軟體可信賴平台模組 (TPM) 的 Windows Hello 企業版 |
多重要素加密軟體 |
受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) FIDO 2 安全性金鑰 使用硬體 TPM 的 Windows Hello 企業版 |
多重要素加密硬體 |
Microsoft Authenticator 應用程式 (無密碼) | 頻外多重要素 |
其他方法 | |
密碼 AND - Microsoft Authenticator 應用程式 (推播通知) - OR - Microsoft Authenticator Lite (推播通知) - OR - 電話 (SMS) |
記住的秘密 AND 頻外單要素 |
密碼 AND - OATH 硬體權杖 (預覽版) - OR - Microsoft Authenticator 應用程式 (OTP) - OR - Microsoft Authenticator Lite (OTP) - OR OATH 軟體權杖 |
記住的秘密 AND 單一要素 OTP |
密碼 AND - 單一要素軟體憑證 - OR - Microsoft Entra 與軟體 TPM 聯結 - OR - 混合式 Microsoft Entra 與軟體 TPM 聯結 - OR - 相容的行動裝置 |
記住的秘密 AND 單一要素加密軟體 |
密碼 AND - 已加入 Microsoft Entra (含硬體 TPM) - OR - 已加入 Microsoft Entra 混合式 (含硬體 TPM) |
記住的秘密 AND 單一要素加密硬體 |
注意
目前,Microsoft Authenticator 本身不是網路釣魚防護。 若要在使用 Microsoft Authenticator 時抵禦外部網路釣魚,您必須另外設定需要受控裝置的條件式存取原則。
AAL2 建議
針對 AAL2,請使用多重要素密碼編譯硬體或軟體驗證器。 無密碼驗證器可消除最大攻擊面 (密碼),並為使用者提供簡化的驗證方法。
如需有關選取無密碼驗證方法的指引,請參閱在 Microsoft Entra ID 中規劃無密碼驗證部署。 另請參閱 Windows Hello 企業版部署指南
FIPS 140 驗證
使用下列各節來了解 FIPS 140 驗證。
驗證程式需求
Microsoft Entra ID 針對驗證密碼編譯作業,使用 Windows FIPS 140 層級 1 的整體驗證密碼編譯模組。 因此,這是政府機構所需的 FIPS 140 相容驗證程式。
驗證器需求
政府機關的密碼編譯驗證器會針對 FIPS 140 等級 1 進行驗證。 這項要求不適用於非政府機關。 下列 Microsoft Entra 驗證器在 Windows 以 FIPS 140 核准的模式中執行時,符合需求:
密碼
Microsoft Entra 與軟體或硬體 TPM 聯結
混合式 Microsoft Entra 與軟體或硬體 TPM 聯結
使用軟體或硬體 TPM 的 Windows Hello 企業版
儲存在軟體或硬體中的憑證 (智慧卡/安全性金鑰/TPM)
Microsoft Authenticator 應用程式在 iOS 和 Android 上符合 FIPS 140 規範。 如需 Microsoft Authenticator 所使用的 FIPS 驗證密碼編譯模組的詳細資訊, 請參閱 Microsoft Authenticator 應用程式
如需 OATH 硬體權杖和智慧卡,建議您洽詢您的提供者,以取得目前的 FIPS 驗證狀態。
FIDO 2 安全性金鑰提供者處於 FIPS 認證的各個階段。 建議您檢閱支援的 FIDO 2 主要廠商清單。 請諮詢您的提供者,以取得目前的 FIPS 驗證狀態。
重新驗證
針對 AAL2,無論使用者活動為何,NIST 都需要每 12 小時重新驗證一次。 在閒置時間持續 30 分鐘或更久之後,需要重新驗證。 因為工作階段秘密是您所擁有的內容,因此必須展示您知道的某些東西或您的身分。
為了滿足不論使用者的活動為何,都要重新驗證的需求,Microsoft 建議您將使用者登入頻率設定為 12 小時。
您可以透過 NIST,使用補償控制項來確認訂閱者是否存在:
將工作階段閒置超時設定為 30 分鐘:使用 Microsoft System Center Configuration Manager、群組原則物件 (GPO) 或 Intune,在作業系統層級鎖定裝置。 針對訂閱者,若要將其解除鎖定,需要本機驗證。
不論活動為何皆為超時:執行在 12 小時後鎖定電腦的已排程工作 (設定管理員、GPO 或 Intune),不考慮活動。
抵禦中間人的攻擊
申請人與 Microsoft Entra ID 之間的通訊是透過經驗證且受保護的通道進行。 此設定提供中間人 (MitM) 攻擊的抵抗,並滿足 AAL1、AAL2 和 AAL3 的 MitM 抵抗需求。
重新執行抵禦
AAL2 上的 Microsoft Entra 驗證方法都使用 nonce 或挑戰。 這種方法會抵抗重新執行攻擊,因為驗證程式可偵測重新執行的驗證交易。 這類交易不會包含所需的 nonce 或 timelines 資料。
後續步驟
使用 Microsoft Entra ID 達成 NIST AAL1