Поделиться через


Типы проверки подлинности NIST и выровненные методы Microsoft Entra

Процесс проверки подлинности начинается, когда заявитель утверждает свой контроль над одним из нескольких аутентификаторов, связанных с подписчиком. Подписчик является человеком или другой сущностью. Используйте следующую таблицу, чтобы узнать о типах проверки подлинности Национального института стандартов и технологий (NIST) и связанных методах проверки подлинности Microsoft Entra.

Тип структуры проверки подлинности NIST Метод проверки подлинности Microsoft Entra
Замеченный секрет
(нечто, известное пользователю)
Пароль: облачные учетные записи, федеративная синхронизация, синхронизация хэша паролей, сквозная проверка подлинности
Секрет поиска
(нечто, имеющееся у пользователя)
нет
Однофакторная внеполосная
(нечто, имеющееся у пользователя)
Приложение Microsoft Authenticator (push-уведомление)
Телефон (SMS): не рекомендуется
Многофакторная внеполосная полоса
(то, что у вас есть + то, что вы знаете/есть)
Приложение Microsoft Authenticator (без пароля)
Однофакторный одноразовый пароль (OTP)
(нечто, имеющееся у пользователя)
Приложение Microsoft Authenticator (OTP)
Однофакторное оборудование и программное обеспечение OTP1
Многофакторный OTP
(то, что у вас есть + то, что вы знаете/есть)
Рассматривается как однофакторный OTP
Однофакторное программное обеспечение для шифрования
(нечто, имеющееся у пользователя)
Однофакторный сертификат программного обеспечения
Microsoft Entra присоединился к 2 с программным TPM
Гибридное присоединение Microsoft Entra к 2 с программным TPM
Совместимое мобильное устройство
Однофакторное оборудование шифрования
(нечто, имеющееся у пользователя)
Microsoft Entra присоединился к 2 с аппаратным TPM
Гибридное присоединение Microsoft Entra к 2 с аппаратным TPM
Многофакторное программное обеспечение для шифрования
(то, что у вас есть + то, что вы знаете/есть)
Многофакторный сертификат программного обеспечения (защищенный ПИН-код)
Windows Hello для бизнеса с программным доверенным платформенным модулем
Многофакторное оборудование шифрования
(то, что у вас есть + то, что вы знаете/есть)
Защищенный оборудованием сертификат (smart карта/security key/TPM)
Windows Hello для бизнеса с аппаратным TPM
Ключ безопасности FIDO 2
Учетные данные платформы для macOS

1 30-секундный или 60-секундный токен OATH-TOTP SHA-1

2 Дополнительные сведения о состояниях присоединения устройств см. в разделе "Удостоверение устройства Microsoft Entra"

NIST не рекомендует SMS или голосовой связи. Риски переключения устройств, изменения SIM-карты, перенос номеров и других действий могут вызвать проблемы. Если эти действия являются вредоносными, они могут привести к небезопасной среде. Хотя SMS/Voice не рекомендуется, они лучше, чем использовать только пароль, потому что им требуется больше усилий для хакеров.

Следующие шаги

Общие сведения о NIST

Сведения об уровнях AAL

Основные сведения об аутентификации

Типы проверки подлинности NIST

Достижение NIST AAL1 с помощью идентификатора Microsoft Entra

Достижение NIST AAL2 с помощью идентификатора Microsoft Entra

Достижение NIST AAL3 с помощью идентификатора Microsoft Entra