Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации, работающие с федеральными агентствами, должны соответствовать этим требованиям.
Перед началом проверки подлинности уровня 2 (AAL2) можно просмотреть следующие ресурсы:
- Обзор NIST: Понимание уровней AAL
- Основы проверки подлинности: терминология и типы проверки подлинности
- Типы аутентификаторов NIST
- NIST AALs: компоненты AAL и методы проверки подлинности Microsoft Entra
Разрешенные типы проверки подлинности AAL2
В следующей таблице разрешены типы аутентификатора для AAL2:
| Метод проверки подлинности Microsoft Entra | Устойчивый к фишингу | Тип аутентификатора NIST |
|---|---|---|
| Рекомендуемые методы | ||
| Многофакторный сертификат программного обеспечения Windows Hello для бизнеса с программным модулем доверенной платформы (TPM) |
Да | Многофакторное программное обеспечение для шифрования |
| Многофакторный защищенный сертификат оборудования Ключ безопасности FIDO 2 Единый вход для macOS (защищённая среда) Windows Hello для предприятий с аппаратным модулем TPM Ключ доступа в Microsoft Authenticator |
Да | Многофакторное оборудование шифрования |
| Дополнительные методы | ||
| Приложение Microsoft Authenticator (вход по телефону) | нет | Мультифактор вне полосы |
| Пароль ИЛИ QR-код (ПИН-код) И — приложение Microsoft Authenticator (push-уведомление) - ИЛИ — Microsoft Authenticator Lite (Push-уведомление) - ИЛИ - Телефон (SMS) |
нет | Замеченный секрет И Однофакторная аутентификация вне полосы |
| Пароль ИЛИ QR-код (ПИН-код) И — токены оборудования OATH (предварительная версия) - ИЛИ — приложение Microsoft Authenticator (OTP) - ИЛИ — Microsoft Authenticator Lite (OTP) - ИЛИ — токены программного обеспечения OATH |
нет | Замеченный секрет И Однофакторный OTP |
| Пароль ИЛИ QR-код (ПИН-код) И — однофакторный сертификат программного обеспечения - ИЛИ — Microsoft Entra, присоединенная к программному TPM - ИЛИ — гибридное подключение Microsoft Entra с программным TPM - ИЛИ — Совместимое мобильное устройство |
Да1 | Замеченный секрет И ПО для однофакторной криптографии |
| Пароль ИЛИ QR-код (ПИН-код) И — Microsoft Entra, интегрированная с аппаратным модулем доверенной платформы - ИЛИ — гибридное присоединение Microsoft Entra к аппаратному доверенному платформенному модулю |
Да1 | Замеченный секрет И Аппаратура для однофакторной криптографии |
Рекомендации AAL2
Для AAL2 используйте многофакторный криптографический аутентификатор. Это защита от фишинга, устраняет большую область атаки (пароль) и предлагает пользователям упрощенный метод для проверки подлинности.
Рекомендации по выбору метода проверки подлинности без пароля см. в статье Планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra. См. также руководство по развертыванию Windows Hello для бизнеса
Проверка на соответствие стандарту FIPS 140
Используйте следующие разделы, чтобы узнать о проверке FIPS 140.
Требования к средству проверки
Идентификатор Microsoft Entra использует общий проверенный модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющее средство, соответствующее FIPS 140, требуемое госучреждениями.
Требования к аутентификатору
Криптографические аутентификаторы государственных органов сертифицированы по стандарту FIPS 140 уровня 1. Это требование не касается неправительственных учреждений. Следующие средства проверки подлинности Microsoft Entra соответствуют требованиям при работе на Windows в режиме, согласованном с FIPS 140:
Пароль
Microsoft Entra, интегрированная с программным или аппаратным ТДП
Гибридное подключение Microsoft Entra с программным или аппаратным TPM
Windows Hello для бизнеса с программным или аппаратным TPM
Сертификат, хранящийся в программном обеспечении или оборудовании (ключ смарт-карты, ключ безопасности/TPM)
Для получения информации о соответствии приложений Microsoft Authenticator (iOS/Android) стандарту FIPS 140 см. раздел Соответствие FIPS 140 для проверки подлинности Microsoft Entra
Для токенов оборудования и смарт-карт OATH рекомендуется обратиться к поставщику для текущего состояния проверки FIPS.
Поставщики ключей безопасности FIDO 2 находятся на различных этапах сертификации FIPS. Мы рекомендуем просмотреть список поддерживаемых поставщиков ключей FIDO 2. Обратитесь к поставщику с текущим состоянием проверки FIPS.
Платформа SSO для macOS сертифицирована на соответствие стандарту FIPS 140. Мы рекомендуем ссылаться на сертификаты Платформы Apple.
Повторная проверка подлинности
Для уровня AAL2 требование NIST заключается в повторной аутентификации каждые 12 часов, независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 30 минут или дольше. Поскольку секрет сеанса — это то, чем вы обладаете, требуется предъявить то, что вы знаете или чем являетесь.
Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.
С помощью NIST можно использовать компенсирующие элементы управления для подтверждения присутствия подписчика:
Установите время ожидания бездействия сеанса до 30 минут: заблокируйте устройство на уровне операционной системы с помощью Microsoft System Center Configuration Manager, объектов групповой политики (GPO) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.
Время ожидания независимо от активности: выполнение запланированной задачи (Configuration Manager, Intune или Групповой Политики) для блокировки компьютера по истечении 12 часов независимо от активности.
Защита от атак типа 'человек посередине'
Обмен данными между заявителем и платформой Microsoft Entra ID осуществляется через аутентифицированный, защищённый канал. Эта конфигурация обеспечивает устойчивость к атакам типа «человек посередине» (MitM) и удовлетворяет требованиям к устойчивости MitM для AAL1, AAL2 и AAL3.
Защита от атак с повторением
Методы проверки подлинности Microsoft Entra в AAL2 используют одноразовые числа или запросы. Методы сопротивляются атакам воспроизведения, так как проверяющий обнаруживает повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные, не относящиеся к времени или сроку.
Следующие шаги
Основные сведения об аутентификации
Типы проверки подлинности NIST
Достижение NIST AAL1 с помощью идентификатора Microsoft Entra
Достижение NIST AAL2 с помощью идентификатора Microsoft Entra
Достижение NIST AAL3 с помощью идентификатора Microsoft Entra