Azure Active Directory ile NıST Authenticator güvencesi düzeyi 2 elde edin

Ulusal Standartlar ve Teknoloji Enstitüsü (NıST), kimlik çözümlerini uygulayan ABD Federal kurumları için teknik gereksinimleri geliştirir. Bu gereksinimleri karşılamak Ayrıca federal kurumlarla çalışan kuruluşlar için de gereklidir.

Doğrulayıcı güvencesi düzeyi 2 ' yi (AAL2) denemeden önce aşağıdaki kaynakları görmek isteyebilirsiniz:

İzin verilen kimlik doğrulayıcı türleri

Aşağıdaki tabloda, AAL2 için izin verilen Authenticator türleri hakkında ayrıntılı bilgi verilmektedir:

Azure AD kimlik doğrulama yöntemi NıST Authenticator türü
Önerilen Yöntemler
iOS için Microsoft Authenticator uygulaması (passwordless)
yazılım güvenilir platform modülü (TPM) ile İş İçin Windows Hello
Çok faktörlü şifre yazılımı
FıDO 2 güvenlik anahtarı
Android için Microsoft Authenticator uygulaması (passwordless)
donanım TPM ile İş İçin Windows Hello
akıllı kart (Active Directory Federasyon Hizmetleri (AD FS))
Çok faktörlü şifre donanımı
Ek Yöntemler
parola + Telefon (SMS) Anma gizli + bant dışı
parola + Microsoft Authenticator uygulaması (OTP)
Parola + SF OTP
Anma gizli + tek seferlik bir parola
Parola + yazılım TPM ile Azure AD 'ye katıldı
Parola + uyumlu mobil cihaz
Parola + yazılım TPM ile hibrit Azure AD 'ye katılmış
parola + Microsoft Authenticator uygulaması (bildirim)
Anma gizli + tek faktörlü şifreleme SW
Parola + donanım TPM ile Azure AD 'ye katıldı
Parola + karma Azure AD, donanım TPM ile birleştirildi
Anma gizli + tek faktörlü şifre donanımı

Not

koşullu erişim ilkesinde, bir cihazın uyumlu veya hibrit Azure AD 'ye katılmış olarak işaretlenmesini istiyorsanız Authenticator, doğrulayıcı kimliğe bürünme direnme işlevi görür.

Önerilerimiz

AAL2 ulaşmak için çok faktörlü şifreleme donanımı veya yazılım kimlik doğrulayıcılar kullanın. Passwordless kimlik doğrulaması, en büyük saldırı yüzeyini (parola) ortadan kaldırır ve kullanıcılara kimlik doğrulaması için kolaylaştırılmış bir yöntem sunar.

Passwordless kimlik doğrulama yöntemi seçme hakkında ayrıntılı yönergeler için, bkz. Azure Active Directory bir passwordless kimlik doğrulama dağıtımı planlayın.

İş İçin Windows Hello uygulama hakkında daha fazla bilgi için İş İçin Windows Hello dağıtım kılavuzunabakın.

FIPS 140 doğrulaması

Aşağıdaki bölümlerde FIPS 140 doğrulamasının sağlanması ele alınmaktadır.

Doğrulayıcı gereksinimleri

Azure AD, tüm kimlik doğrulaması ile ilgili şifreleme işlemleri için Windows fıps 140 düzey 1 genel olarak doğrulanan şifreleme modülünü kullanır. Bu nedenle, kamu kurumları için gereken FIPS 140 ile uyumlu bir Doğrulayıcı.

Authenticator gereksinimleri

Kamu kurumlarının şifreleme kimlik doğrulaması, FIPS 140 düzey 1 Genel için doğrulanması gerekir. Bu, kamu kurumları olmayanlar için bir gereksinim değildir. aşağıdaki Azure AD doğrulayıcılar, Windows üzerinde çalışırken fıps 140 onaylanmış bir işlem modunda, gereksinimi karşılar:

  • Parola

  • Azure AD, yazılım ile veya donanım TPM 'si ile birleştirildi

  • Karma Azure AD, yazılım ile veya donanım TPM 'si ile birleştirildi

  • yazılım veya donanım TPM 'si ile İş İçin Windows Hello

  • akıllı kart (Active Directory Federasyon Hizmetleri (AD FS))

tüm modlarındaki Microsoft Authenticator uygulama (bildirim, OTP ve passwordless) fıps 140 onaylı şifreleme kullandığından, fıps 140 düzey 1 doğrulaması değildir.

FIDO2 güvenlik anahtarı sağlayıcıları, doğrulamayı tamamlamış bazıları da dahil olmak üzere çeşitli FIPS sertifikalarında bulunur. Desteklenen FIDO2 anahtar satıcılarının listesini incelemenizi ve geçerli FIPS doğrulama durumu için sağlayıcınıza kontrol etmenizi öneririz.

Yeniden

AAL2 düzeyinde, NıST, Kullanıcı etkinliğinden bağımsız olarak her 12 saatte bir yeniden kimlik doğrulaması gerektirir. Yeniden kimlik doğrulama işlemi, işlem yapılmadan 30 dakika veya daha uzun bir süre sonra da gereklidir. Oturum gizli dizisi sahip olduğunuz bir şey olduğundan, bildiğiniz bir şeyin veya sizin yapmanız gereken bir şey sunumu.

Kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için, Microsoft Kullanıcı oturum açma sıklığını 12 saate göre yapılandırmayı önerir.

NıST Ayrıca, abonenin varlığını onaylamak için telafi denetimlerinin kullanılmasına de izin verir:

  • Microsoft System Center Configuration Manager, grup ilkesi nesneleri (gpo 'lar) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyerek, oturum eylemsizlik zaman aşımını 30 dakika olarak ayarlayabilirsiniz. Ayrıca, abonenin kilidini açmak için yerel kimlik doğrulaması yapmanız gerekir.

  • etkinlikten bağımsız olarak zaman aşımı, etkinlik ne olursa olsun, makineyi 12 saat sonra kilitleyen bir zamanlanmış görev (Configuration Manager, GPO veya Intune kullanılarak) çalıştırılarak elde edilebilir.

Ortadaki adam direnç

Claimant ve Azure AD arasındaki tüm iletişimler, kimliği doğrulanmış, korumalı bir kanaldan gerçekleştirilerek, ortadaki adam (Mitı) saldırılarına karşı bir direnme sağlar. Bu, AAL1, AAL2 ve AAL3 için Mitd direnç gereksinimlerini karşılar.

Yeniden oynama

AAL2 adresindeki tüm Azure AD kimlik doğrulama yöntemleri, nonce veya zorluk sorunlarını kullanır. Doğrulayıcı, yeniden yürütülmüş kimlik doğrulama işlemlerini kolayca algıladığı için yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu gibi işlemler, uygun nonce veya dakikliklerini verilerini içermez.

Sonraki adımlar

NıST 'ye Genel Bakış

AALs hakkında bilgi edinin

Kimlik doğrulaması temel bilgileri

NıST Authenticator türleri

Azure AD ile NıST AAL1 'e ulaşın

Azure AD ile NıST AAL2 'e ulaşın

Azure AD ile NıST AAL3 'e ulaşın