Microsoft Entra Id ile NIST kimlik doğrulayıcı güvence düzeyi 2
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kimlik çözümleri uygulayan ABD federal kurumları için teknik gereksinimler geliştirmektedir. Federal kurumlarla çalışan kuruluşların bu gereksinimleri karşılaması gerekir.
Kimlik doğrulayıcı güvence düzeyi 2'yi (AAL2) başlatmadan önce aşağıdaki kaynakları görebilirsiniz:
- NIST'ye genel bakış: AAL düzeylerini anlama
- Kimlik doğrulamasıyla ilgili temel bilgiler: Terminoloji ve kimlik doğrulama türleri
- NIST kimlik doğrulayıcı türleri: Doğrulayıcı türleri
- NIC ACL'ler: AAL bileşenleri ve Microsoft Entra kimlik doğrulama yöntemleri
İzin verilen AAL2 kimlik doğrulayıcı türleri
Aşağıdaki tabloda AAL2 için izin verilen kimlik doğrulayıcı türleri vardır:
| Microsoft Entra kimlik doğrulama yöntemi | NIST kimlik doğrulayıcı türü |
|---|---|
| Önerilen yöntemler | |
| Çok Faktörlü Yazılım Sertifikası (PIN Korumalı) Yazılım Güvenilen Platform Modülü (TPM) ile İş İçin Windows Hello |
Çok faktörlü şifreleme yazılımı |
| Donanım korumalı sertifika (akıllı kart/güvenlik anahtarı/TPM) FIDO 2 güvenlik anahtarı Donanım TPM ile İş İçin Windows Hello |
Çok faktörlü şifreleme donanımı |
| Microsoft Authenticator uygulaması (Parolasız) | Çok faktörlü bant dışı |
| Ek yöntemler | |
| Parola VE - Microsoft Authenticator uygulaması (Anında İletme Bildirimi) - OR - Microsoft Authenticator Lite (Anında İletme Bildirimi) - OR - Telefon (SMS) |
Ezberlenmiş gizli dizi VE Tek faktörlü bant dışı |
| Parola VE - OATH donanım belirteçleri (önizleme) - OR - Microsoft Authenticator uygulaması (OTP) - OR - Microsoft Authenticator Lite (OTP) - OR - OATH yazılım belirteçleri |
Ezberlenmiş gizli dizi VE Tek faktörlü OTP |
| Parola VE - Tek faktörlü yazılım sertifikası - OR - Microsoft Entra yazılım TPM ile katıldı - OR - Microsoft Entra hibrit yazılım TPM ile katıldı - OR - Uyumlu mobil cihaz |
Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme yazılımı |
| Parola VE - Donanım TPM'siyle birleştirilen Microsoft Entra - OR - Donanım TPM'siyle birleştirilen Microsoft Entra karma |
Ezberlenmiş gizli dizi VE Tek faktörlü şifreleme donanımı |
Not
Günümüzde Microsoft Authenticator tek başına kimlik avına karşı dayanıklı değildir. Microsoft Authenticator kullanırken dış kimlik avı tehditlerine karşı koruma elde etmek için, yönetilen cihaz gerektiren Koşullu Erişim ilkesini de yapılandırmanız gerekir.
AAL2 önerileri
AAL2 için çok faktörlü şifreleme donanımı veya yazılım doğrulayıcıları kullanın. Parolasız kimlik doğrulaması, en büyük saldırı yüzeyini (parola) ortadan kaldırır ve kullanıcılara kimlik doğrulaması için kolaylaştırılmış bir yöntem sunar.
Parolasız kimlik doğrulama yöntemi seçme konusunda rehberlik için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu
FIPS 140 doğrulaması
FIPS 140 doğrulaması hakkında bilgi edinmek için aşağıdaki bölümleri kullanın.
Doğrulayıcı gereksinimleri
Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanır. Bu nedenle, kamu kurumları tarafından gereken FIPS 140 uyumlu bir doğrulayıcıdır.
Doğrulayıcı gereksinimleri
Kamu kurumu şifreleme kimlik doğrulayıcıları genel olarak FIPS 140 Düzey 1 için doğrulanır. Bu gereksinim, sivil toplum kuruluşları için değildir. Aşağıdaki Microsoft Entra kimlik doğrulayıcıları, Windows üzerinde FIPS 140 onaylı modda çalışırken gereksinimi karşılar:
Parola
Microsoft Entra yazılım veya donanım TPM ile katıldı
Yazılımla veya donanım TPM'siyle birleştirilen Microsoft Entra karma
Yazılım veya donanım TPM ile İş İçin Windows Hello
Yazılım veya donanımda depolanan sertifika (akıllı kart/güvenlik anahtarı/TPM)
Microsoft Authenticator uygulaması, iOS üzerinde FIPS 140 ile uyumludur. Android FIPS 140 uyumluluğu devam ediyor. Microsoft Authenticator tarafından kullanılan FIPS doğrulanmış şifreleme modülleri hakkında daha fazla bilgi için bkz. Microsoft Authenticator uygulaması
OATH donanım belirteçleri ve akıllı kartlarda geçerli FIPS doğrulama durumu için sağlayıcınıza danışmanızı öneririz.
FIDO 2 güvenlik anahtarı sağlayıcıları, FIPS sertifikasının çeşitli aşamalarındadır. Desteklenen FIDO 2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.
Yeniden kimlik doğrulama
AAL2 için NIST gereksinimi, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 30 dakika veya daha uzun bir süre etkinlik dışı kalındıktan sonra gereklidir. Oturum gizli dizisi sahip olduğunuz bir şey olduğundan, bildiğiniz veya bildiğiniz bir şeyi sunmanız gerekir.
Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.
NIST ile abone varlığını onaylamak için telafi denetimlerini kullanabilirsiniz:
Oturum etkinlik dışı kalma süresini 30 dakika olarak ayarlayın: Microsoft System Center Configuration Manager, grup ilkesi nesneleri (GPO'lar) veya Intune ile cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.
Etkinlikten bağımsız olarak zaman aşımı: Etkinlikten bağımsız olarak makineyi 12 saat sonra kilitlemek için zamanlanmış bir görev (Configuration Manager, GPO veya Intune) çalıştırın.
Ortadaki adam direnci
Talep sahibi ile Microsoft Entra Kimliği arasındaki iletişimler kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma, ortadaki adam (MitM) saldırılarına karşı direnç sağlar ve AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.
Yeniden yürütme direnci
AAL2'deki Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algıladığı için yöntemler yeniden yürütme saldırılarına karşı koyar. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.
Sonraki adımlar
Kimlik doğrulaması temel bilgileri
NIST kimlik doğrulayıcı türleri
Microsoft Entra Id ile NIST AAL1 elde edin