Ottenere il livello di garanzia dell'autenticatore NIST 2 con Azure Active Directory

Il National Institute of Standards and Technology (NIST) sviluppa i requisiti tecnici per le agenzie federali degli Stati Uniti che implementano soluzioni di gestione delle identità. Soddisfare questi requisiti è necessario anche per le organizzazioni che lavorano con agenzie federali.

Prima di tentare di ottenere il livello di garanzia dell'autenticatore 2 (AAL2), è possibile visualizzare le risorse seguenti:

Tipi di autenticatori consentiti

La tabella seguente fornisce informazioni dettagliate sui tipi di autenticatori consentiti per AAL2:

Azure AD metodo di autenticazione Tipo di autenticatore NIST
Metodi consigliati
Microsoft Authenticator app per iOS (senza password)
Windows Hello for Business with software trusted platform module (TPM)
Software di crittografia a più fattori
Chiave di sicurezza FIDO 2
Microsoft Authenticator app per Android (senza password)
Windows Hello for Business con TPM hardware
Smart card (Active Directory Federation Services)
Hardware crittografico a più fattori
Metodi aggiuntivi
Password + Telefono (SMS) Segreto memorizzato + Fuori banda
Password + Microsoft Authenticator App (OTP)
Password + SF OTP
Segreto memorizzato + password una sola volta a fattore singolo
Password e Azure AD aggiunti al TPM software
Password + dispositivo mobile conforme
Password e Azure AD ibrido aggiunti al TPM software
Password e Microsoft Authenticator app (notifica)
Segreto memorizzato + Crittografia a fattore singolo SW
Password e Azure AD aggiunti al TPM hardware
Password e Azure AD ibrido aggiunti al TPM hardware
Segreto memorizzato + hardware crittografico a fattore singolo

Nota

Nei criteri di accesso condizionale, se è necessario che un dispositivo sia contrassegnato come conforme o ibrido Azure AD aggiunto, Authenticator come resistenza alla rappresentazione di verificatore.

Raccomandazioni

Per ottenere AAL2, usare autenticatori software o hardware crittografici a più fattori. L'autenticazione senza password elimina la più grande superficie di attacco (la password) e offre agli utenti un metodo semplificato per l'autenticazione.

Per istruzioni dettagliate sulla selezione di un metodo di autenticazione senza password, vedere Pianificare una distribuzione dell'autenticazione senza password in Azure Active Directory.

Per altre informazioni sull'implementazione di Windows Hello for Business, vedere la guida alla distribuzione di Windows Hello for Business.

Convalida FIPS 140

Le sezioni seguenti illustrano come ottenere la convalida FIPS 140.

Requisiti del verificatore

Azure AD usa il modulo Windows di crittografia convalidato generale FIPS 140 Livello 1 per tutte le operazioni di crittografia correlate all'autenticazione. Si tratta quindi di un verificatore conforme a FIPS 140 come richiesto dalle agenzie governative.

Authenticator requisiti

Gli autenticatori crittografici delle agenzie governative devono essere convalidati complessivamente per FIPS 140 Livello 1. Questo non è un requisito per le agenzie non governative. Gli autenticatori Azure AD seguenti soddisfano il requisito quando vengono eseguiti in Windows in modalità di funzionamento approvata FIPS 140:

  • Password

  • Azure AD aggiunto al software o al TPM hardware

  • Azure AD ibrido aggiunto al software o al TPM hardware

  • Windows Hello for Business con software o con TPM hardware

  • Smart card (Active Directory Federation Services)

Anche se l'app Microsoft Authenticator in tutte le modalità (notifica, OTP e senza password) usa la crittografia approvata FIPS 140, non è convalidata da FIPS 140 Level 1.

I provider di chiavi di sicurezza FIDO2 sono in varie fasi della certificazione FIPS, tra cui alcuni che hanno completato la convalida. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO2 supportati e verificare con il provider lo stato di convalida FIPS corrente.

Riautenticazione

A livello AAL2, NIST richiede la riautenticazione ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è necessaria anche dopo qualsiasi periodo di inattività della durata di 30 minuti o più. Presentazione di qualcosa che si conosce o è necessario, perché il segreto di sessione è qualcosa che si ha.

Per soddisfare il requisito di riautenticazione indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso utente a 12 ore.

NIST consente anche l'uso di controlli di compensazione per confermare la presenza del sottoscrittore:

  • È possibile impostare il timeout di inattività della sessione su 30 minuti bloccando il dispositivo a livello di sistema operativo usando Microsoft System Center Configuration Manager, oggetti Criteri di gruppo o Intune. È anche necessario richiedere l'autenticazione locale per il sottoscrittore per sbloccarla.

  • Il timeout indipendentemente dall'attività può essere ottenuto eseguendo un'attività pianificata (usando Gestione configurazione, un oggetto Criteri di gruppo o Intune) che blocca il computer dopo 12 ore, indipendentemente dall'attività.

Resistenza man-in-the-middle

Tutte le comunicazioni tra l'utente richiedente e Azure AD vengono eseguite su un canale autenticato e protetto, per fornire la resistenza agli attacchi man-in-the-middle (MitM). Questo soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.

Resistenza alla riproduzione

Tutti Azure AD metodi di autenticazione in AAL2 usano problemi o nonce. I metodi sono resistenti agli attacchi di riproduzione perché il verificatore rileva facilmente le transazioni di autenticazione riprodotte. Tali transazioni non conterranno i dati nonce o timeliness appropriati.

Passaggi successivi

Panoramica del NIST

Informazioni sugli ACL

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Ottenere NIST AAL1 con Azure AD

Ottenere NIST AAL2 con Azure AD

Ottenere NIST AAL3 con Azure AD