使用 Microsoft Entra ID 实现 NIST 验证器保证级别 1
美国国家标准与技术研究院 (NIST) 为实现标识解决方案的美国联邦机构制定了技术要求。 与联邦机构合作时,组织必须满足这些要求。
在开始实现验证器保证等级 1 (AAL1) 之前,可以查看以下资源:
- NIST 概述:了解 AAL 级别
- 身份验证基础知识:术语和身份验证类型
- NIST 验证器类型:验证器类型
- NIST AAL:AAL 组件、Microsoft Entra 身份验证方法和受信任平台模块 (TPM)。
允许的验证器类型
可使用允许的任何 NIST 单一或多重验证器来满足 AAL1 要求。
| Microsoft Entra 身份验证方法 | NIST 验证器类型 |
|---|---|
| 密码 | 记住的密码 |
| 电话(短信):不建议 | 单因素带外 |
| Microsoft Authenticator 应用(无密码) | 多重带外 |
| 单因素软件证书 | 单因素加密软件 |
| 多重软件证书(受 PIN 保护) 带软件 TPM 的 Windows Hello 企业版 |
多重加密软件 |
| 受硬件保护证书(智能卡/安全密钥/TPM) FIDO 2 安全密钥 带硬件 TPM 的 Windows Hello 企业版 |
多重加密硬件 |
提示
建议至少选择防网络钓鱼的 AAL2 验证器。 如果出于业务原因、行业标准或合规性要求而需要满足 AAL3 要求,请选择 AAL3 验证器。
FIPS 140 验证
验证程序要求
Microsoft Entra ID 使用 Windows FIPS 140 级别 1 加密模块来执行其身份验证加密操作。 因此,根据政府机构的要求,该验证程序符合 FIPS 140 标准。
抵御中间人攻击
请求方与 Microsoft Entra ID 之间的通信通过经身份验证的受保护通道进行,以抵御中间人 (MitM) 攻击。 此配置满足 AAL1、AAL2 和 AAL3 对抵御 MitM 攻击的要求。
后续步骤
使用 Microsoft Entra ID 实现 NIST AAL1