具有 Microsoft Entra ID 的 NIST 驗證器保證層級 2
美國國家標準與技術研究所(NIST)為實施身分識別解決方案的美國聯邦機構開發技術需求。 與聯邦機構合作的組織必須符合這些需求。
開始驗證器保證層級 2 (AAL2) 之前,您可以看到下列資源:
- NIST 概觀:瞭解 AAL 層級
- 驗證基本概念:術語和驗證類型
- NIST 驗證器類型:驗證器類型
- NIST AALs:AAL 元件和 Microsoft Entra 驗證方法
允許的 AAL2 驗證器類型
下表具有 AAL2 允許的驗證器類型:
| Microsoft Entra 驗證方法 | NIST 驗證器類型 |
|---|---|
| 建議的方法 | |
| 多重要素軟體憑證 (PIN 保護) 使用軟體信任平台模組 Windows Hello 企業版 (TPM) |
多重要素密碼編譯軟體 |
| 受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) FIDO 2 安全性金鑰 使用硬體 TPM Windows Hello 企業版 |
多重要素加密硬體 |
| Microsoft Authenticator 應用程式 (無密碼) | 頻外多重要素 |
| 其他方法 | |
| 密碼 AND - Microsoft Authenticator 應用程式 (推播通知) - OR - Microsoft Authenticator Lite (推播通知) - OR - 電話 (SMS) |
記住的秘密 AND 頻外單因素 |
| 密碼 AND - OATH 硬體令牌 (預覽) - OR - Microsoft Authenticator 應用程式 (OTP) - OR - Microsoft Authenticator Lite (OTP) - OR - OATH 軟體令牌 |
記住的秘密 AND 單一因素 OTP |
| 密碼 AND - 單一要素軟體憑證 - OR - 已加入軟體 TPM 的 Microsoft Entra - OR - 已加入軟體 TPM 的 Microsoft Entra 混合式 - OR - 符合規範的行動裝置 |
記住的秘密 AND 單一因素密碼編譯軟體 |
| 密碼 AND - 已加入硬體 TPM 的 Microsoft Entra - OR - 已加入硬體 TPM 的 Microsoft Entra 混合式 |
記住的秘密 AND 單一因素加密硬體 |
注意
目前,Microsoft Authenticator 本身並不具有網路釣魚能力。 若要在使用 Microsoft Authenticator 時從外部網路釣魚威脅獲得保護,您必須另外設定需要受管理裝置的條件式存取原則。
AAL2 建議
針對 AAL2,請使用多重要素密碼編譯硬體或軟體驗證器。 無密碼驗證可消除最大的受攻擊面(密碼),併為使用者提供簡化的驗證方法。
如需選取無密碼驗證方法的指引,請參閱 在 Microsoft Entra ID 中規劃無密碼驗證部署。 另請參閱 Windows Hello 企業版 部署指南
FIPS 140 驗證
使用下列各節來瞭解 FIPS 140 驗證。
驗證程式需求
Microsoft Entra ID 會使用 Windows FIPS 140 層級 1 的整體驗證密碼編譯模組來進行驗證密碼編譯作業。 因此,這是政府機構所需的 FIPS 140 相容驗證程式。
驗證器需求
政府機關密碼編譯驗證器會針對整體 FIPS 140 層級 1 進行驗證。 這項要求不適用於非政府機構。 下列 Microsoft Entra 驗證器符合 FIPS 140 核准模式在 Windows 上執行時的需求:
密碼
已加入軟體或硬體 TPM 的 Microsoft Entra
已加入軟體或硬體 TPM 的 Microsoft Entra 混合式
使用軟體或硬體 TPM Windows Hello 企業版
儲存在軟體或硬體中的憑證(智慧卡/安全性金鑰/TPM)
Microsoft Authenticator 應用程式在 iOS 上符合 FIPS 140 規範。 Android FIPS 140 合規性正在進行中。 如需 Microsoft Authenticator 所使用 FIPS 驗證的密碼編譯模組的詳細資訊,請參閱 Microsoft Authenticator 應用程式
如需 OATH 硬體令牌和智慧卡,建議您洽詢您的提供者,以取得目前的 FIPS 驗證狀態。
FIDO 2 安全性金鑰提供者處於 FIPS 認證的各個階段。 建議您檢閱支援的 FIDO 2 主要廠商清單。 請洽詢您的提供者,以取得目前的 FIPS 驗證狀態。
重新驗證
針對 AAL2,不論用戶活動為何,NIST 需求都會每隔 12 小時重新驗證一次。 在 30 分鐘或更長的閑置期間之後,需要重新驗證。 因為會話秘密是您擁有的,因此需要呈現您知道或的內容。
為了符合重新驗證的需求,無論用戶活動為何,Microsoft 建議將 使用者登入頻率 設定為 12 小時。
透過 NIST,您可以使用補償控件來確認訂閱者是否存在:
將會話閑置逾時設定為 30 分鐘:使用 Microsoft System Center Configuration Manager、組策略物件或 Intune 鎖定操作系統層級的裝置。 若要讓訂閱者解除鎖定,需要本機驗證。
不論活動為何:執行排程工作(Configuration Manager、GPO 或 Intune)以在 12 小時後鎖定計算機,而不論活動為何。
中間人抵抗
索賠者與 Microsoft Entra 識別符之間的通訊是透過經過驗證且受保護的通道。 此設定提供攔截式攻擊的抵抗,並滿足 AAL1、AAL2 和 AAL3 的 MitM 抵抗需求。
重新執行阻力
AAL2 的 Microsoft Entra 驗證方法會使用 nonce 或挑戰。 方法會抵制重新執行攻擊,因為驗證器偵測到重新執行的驗證交易。 這類交易不會包含所需的 nonce 或 timelines 數據。
下一步
使用 Microsoft Entra ID 達成 NIST AAL1