Aracılığıyla paylaş


Microsoft Entra Id kullanarak NIST kimlik doğrulayıcı güvence düzeyi 3

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kimlik doğrulayıcı güvence düzeyi 3 (AAL3) için bu makaledeki bilgileri kullanın.

AAL2'yi edinmeden önce aşağıdaki kaynakları gözden geçirebilirsiniz:

İzin verilen kimlik doğrulayıcı türleri

Gerekli NIST kimlik doğrulayıcı türlerini karşılamak için Microsoft kimlik doğrulama yöntemlerini kullanın.

Microsoft Entra kimlik doğrulama yöntemleri NIST kimlik doğrulayıcı türü
Önerilen yöntemler
Donanım korumalı sertifika (akıllı kart/güvenlik anahtarı/TPM)
FIDO 2 güvenlik anahtarı
Donanım TPM ile İş İçin Windows Hello
macOS için platform kimlik bilgileri
Çok faktörlü şifreleme donanımı
Ek yöntemler
Parola
VE
- Donanım TPM'siyle birleştirilen Microsoft Entra
- OR
- Donanım TPM'siyle birleştirilen Microsoft Entra karma
Ezberlenmiş gizli dizi
VE
Tek faktörlü şifreleme donanımı
Parola
VE
OATH donanım belirteçleri (Önizleme)
VE
- Tek faktörlü yazılım sertifikası
- OR
- Yazılım TPM'siyle Microsoft Entra karma katılmış veya uyumlu cihaz
Ezberlenmiş gizli dizi
VE
Tek faktörlü OTP donanımı
VE
Tek faktörlü şifreleme yazılımı

Öneriler

AAL3 için, en büyük saldırı yüzeyi olan parolayı ortadan kaldırarak parolasız kimlik doğrulaması sağlayan çok faktörlü şifreleme donanım doğrulayıcısını kullanmanızı öneririz.

Yönergeler için bkz . Microsoft Entra Id'de parolasız kimlik doğrulaması dağıtımı planlama. Ayrıca bkz. İş İçin Windows Hello dağıtım kılavuzu.

FIPS 140 doğrulaması

Doğrulayıcı gereksinimleri

Microsoft Entra Id, kimlik doğrulama şifreleme işlemleri için Windows FIPS 140 Düzey 1 genel olarak doğrulanmış şifreleme modülünü kullanarak Microsoft Entra ID'yi uyumlu bir doğrulayıcı haline getirir.

Doğrulayıcı gereksinimleri

Tek faktörlü ve çok faktörlü şifreleme donanım kimlik doğrulayıcı gereksinimleri.

Tek faktörlü şifreleme donanımı

Doğrulayıcıların şunlar olması gerekir:

  • FIPS 140 Düzey 1 Genel veya üzeri

  • FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri

Microsoft Entra'ya katılmış ve Microsoft Entra karma katılmış cihazlar aşağıdaki durumlarda bu gereksinimi karşılar:

  • Windows'u FIPS-140 onaylı modda çalıştırabilirsiniz

  • FIPS 140 Düzey 1 Genel veya üzeri, FIPS 140 Düzey 3 Fiziksel Güvenlikli TPM'ye sahip bir makinede

    • Uyumlu TPM'leri bulun: Şifreleme Modülü Doğrulama Programı'nda Güvenilir Platform Modülü ve TPM araması yapın.

FIPS 140'a bağlılığı hakkında bilgi edinmek için mobil cihaz satıcınıza başvurun.

Çok faktörlü şifreleme donanımı

Doğrulayıcıların şunlar olması gerekir:

  • FIPS 140 Düzey 2 Genel veya üzeri

  • FIPS 140 Düzey 3 Fiziksel Güvenlik veya üzeri

FIDO 2 güvenlik anahtarları, akıllı kartlar ve İş İçin Windows Hello bu gereksinimleri karşılamanıza yardımcı olabilir.

  • FIDO2 anahtar sağlayıcıları FIPS sertifikasındadır. Desteklenen FIDO2 anahtar satıcılarının listesini gözden geçirmenizi öneririz. Geçerli FIPS doğrulama durumu için sağlayıcınıza başvurun.

  • Akıllı kartlar kanıtlanmış bir teknolojidir. Birden çok satıcı ürünü FIPS gereksinimlerini karşılar.

İş İçin Windows Hello

FIPS 140, yazılım, üretici yazılımı ve donanım dahil olmak üzere şifreleme sınırının değerlendirme kapsamında olmasını gerektirir. Windows işletim sistemleri bu kombinasyonlardan binlercesiyle eşleştirilebilir. Bu nedenle, Microsoft'un FIPS 140 Güvenlik Düzeyi 2'de İş İçin Windows Hello doğrulanması uygun değildir. Federal müşteriler, bu hizmeti AAL3 olarak kabul etmeden önce risk değerlendirmeleri yapmalı ve aşağıdaki bileşen sertifikalarının her birini risk kabullerinin bir parçası olarak değerlendirmelidir:

Geçerli standartlara uyan TPM'leri belirlemek için NIST Bilgisayar Güvenliği Kaynak Merkezi Şifreleme Modülü Doğrulama Programı'na gidin. Modül Adı kutusuna standartları karşılayan donanım TPM'lerinin listesi için Güvenilir Platform Modülü girin.

MacOS Platform SSO

FIPS 140 Güvenlik Düzeyi 2, macOS 13 için en azından uygulanır ve yeni cihazların çoğu Düzey 3'i uygular. Apple Platform Sertifikaları'na başvurmanızı öneririz. Cihazınızdaki güvenlik düzeyini bilmeniz önemlidir.

Yeniden kimlik doğrulama

AAL3 için NIST gereksinimleri, kullanıcı etkinliğinden bağımsız olarak 12 saatte bir yeniden kimlik doğrulamasıdır. Yeniden kimlik doğrulaması, 15 dakika veya daha uzun bir süre etkinlik dışı kalındıktan sonra gereklidir. Her iki faktörün de sunulması gerekir.

Microsoft, kullanıcı etkinliğinden bağımsız olarak yeniden kimlik doğrulama gereksinimini karşılamak için kullanıcı oturum açma sıklığının 12 saate yapılandırılmasını önerir.

NIST, abone varlığını onaylamak için telafi denetimleri sağlar:

  • Oturum etkinlik dışı kalma süresini 15 dakika olarak ayarlayın: Microsoft Configuration Manager, Grup İlkesi Nesnesi (GPO) veya Intune kullanarak cihazı işletim sistemi düzeyinde kilitleyin. Abonenin kilidini açması için yerel kimlik doğrulaması gerekir.

  • Configuration Manager, GPO veya Intune kullanarak zamanlanmış bir görev çalıştırarak etkinlik ne olursa olsun zaman aşımını ayarlayın. Etkinlik ne olursa olsun makineyi 12 saat sonra kilitleyin.

Ortadaki adam direnci

Talep sahibi ile Microsoft Entra ID arasındaki iletişimler, ortadaki adam (MitM) saldırılarına karşı direnç için kimliği doğrulanmış, korumalı bir kanal üzerinden yapılır. Bu yapılandırma AAL1, AAL2 ve AAL3 için MitM direnç gereksinimlerini karşılar.

Doğrulayıcı kimliğe bürünme direnci

AAL3'e uyan Microsoft Entra kimlik doğrulama yöntemleri, kimlik doğrulayıcı çıkışını kimliği doğrulanan oturuma bağlayan şifreleme kimlik doğrulayıcıları kullanır. Yöntemler, talep eden tarafından denetlenen bir özel anahtar kullanır. Ortak anahtar, doğrulayıcı tarafından bilinir. Bu yapılandırma, AAL3 için doğrulayıcı kimliğe bürünme direnci gereksinimlerini karşılar.

Doğrulayıcı güvenliğin aşılmasına karşı dayanıklılık

AAL3'e uyan tüm Microsoft Entra kimlik doğrulama yöntemleri:

  • Doğrulayıcının kimlik doğrulayıcı tarafından tutulan özel anahtara karşılık gelen bir ortak anahtarı depolamasını gerektiren bir şifreleme kimlik doğrulayıcısı kullanın
  • FIPS-140 doğrulanmış karma algoritmalarını kullanarak beklenen kimlik doğrulayıcı çıkışını depolama

Daha fazla bilgi için bkz . Microsoft Entra Veri Güvenliği Konuları.

Yeniden yürütme direnci

AAL3'ü karşılayan Microsoft Entra kimlik doğrulama yöntemleri, nonce veya zorluklar kullanır. Doğrulayıcı yeniden oynatılan kimlik doğrulama işlemlerini algılayabildiğinden bu yöntemler yeniden yürütme saldırılarına karşı dayanıklıdır. Bu tür işlemler gerekli nonce veya timeliness verilerini içermez.

Kimlik doğrulama amacı

Kimlik doğrulama amacının zorunlu olması, çok faktörlü şifreleme donanımı gibi doğrudan bağlı fiziksel kimlik doğrulayıcıların konunun bilgisi olmadan kullanılmasını (örneğin, uç noktadaki kötü amaçlı yazılım tarafından) daha zor hale getirir. AAL3'e uyan Microsoft Entra yöntemleri, kimlik doğrulama amacını gösteren pin veya biyometrik kullanıcı girişini gerektirir.

Sonraki adımlar

NIST'ye genel bakış

AAL'ler hakkında bilgi edinin

Kimlik doğrulaması temel bilgileri

NIST kimlik doğrulayıcı türleri

Microsoft Entra Id kullanarak NIST AAL1'e ulaşma

Microsoft Entra Id kullanarak NIST AAL2'ye ulaşma