具有 Microsoft Entra ID 的 NIST 驗證器保證層級 1
美國國家標準與技術研究所(NIST)為實施身分識別解決方案的美國聯邦機構開發技術需求。 組織在與聯邦機構合作時必須符合這些需求。
開始驗證器保證層級 1 (AAL1) 之前,您可以檢閱下列資源:
- NIST 概觀 :瞭解 AAL 層級
- 驗證基本概念 :術語和驗證類型
- NIST 驗證器類型 :驗證器類型
- NIST ACL :AAL 元件、Microsoft Entra 驗證方法,以及信任的平臺模組(TPM)。
允許的驗證器類型
若要達成 AAL1,您可以使用任何 NIST 單一因素或多重要素 允許的驗證器 。
Microsoft Entra 驗證方法 | NIST 驗證器類型 |
---|---|
密碼 | 記住的秘密 |
電話 (SMS):不建議 | 頻外單因素 |
Microsoft Authenticator 應用程式 (無密碼) | 頻外多重要素 |
單一因素軟體憑證 | 單一因素密碼編譯軟體 |
多重要素軟體憑證 (PIN 保護) 使用軟體 TPM Windows Hello 企業版 |
多重要素密碼編譯軟體 |
受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) FIDO 2 安全性金鑰 具有硬體 TPM 的Windows Hello 企業版 |
多重要素加密硬體 |
提示
建議您至少選取網路釣魚防護 AAL2 驗證器。 基於商務原因、業界標準或合規性需求,請視需要選取 AAL3 驗證器。
FIPS 140 驗證
驗證程式需求
Microsoft Entra ID 會使用 Windows FIPS 140 層級 1 密碼編譯模組進行驗證密碼編譯作業。 因此,這是政府機構所需的 FIPS 140 相容驗證程式。
中間人抵抗
索賠者與 Microsoft Entra 識別碼之間的通訊是透過經過驗證、受保護的通道,以抵制中間人(MitM)攻擊。 此設定符合 AAL1、AAL2 和 AAL3 的 MitM 阻力需求。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應