Уровень гарантии аутентификатора NIST 2 с использованием Microsoft Entra ID

Национальный институт стандартов и технологий (NIST) разрабатывает технические требования для федеральных учреждений США, реализующих решения идентификации. Организации, работающие с федеральными агентствами, должны соответствовать этим требованиям.

Перед началом проверки подлинности уровня 2 (AAL2) можно просмотреть следующие ресурсы:

Разрешенные типы проверки подлинности AAL2

В следующей таблице разрешены типы аутентификатора для AAL2:

Метод проверки подлинности Microsoft Entra Устойчивый к фишингу Тип аутентификатора NIST
Рекомендуемые методы
Многофакторный сертификат программного обеспечения
Windows Hello для бизнеса с программным модулем доверенной платформы (TPM)
Да Многофакторное программное обеспечение для шифрования
Многофакторный защищенный сертификат оборудования
Ключ безопасности FIDO 2
Единый вход для macOS (защищённая среда)
Windows Hello для предприятий с аппаратным модулем TPM
Ключ доступа в Microsoft Authenticator
Да Многофакторное оборудование шифрования
Дополнительные методы
Приложение Microsoft Authenticator (вход по телефону) нет Мультифактор вне полосы
Пароль ИЛИ QR-код (ПИН-код)
И
— приложение Microsoft Authenticator (push-уведомление)
- ИЛИ
— Microsoft Authenticator Lite (Push-уведомление)
- ИЛИ
- Телефон (SMS)
нет Замеченный секрет
И
Однофакторная аутентификация вне полосы
Пароль ИЛИ QR-код (ПИН-код)
И
— токены оборудования OATH (предварительная версия)
- ИЛИ
— приложение Microsoft Authenticator (OTP)
- ИЛИ
— Microsoft Authenticator Lite (OTP)
- ИЛИ
— токены программного обеспечения OATH
нет Замеченный секрет
И
Однофакторный OTP
Пароль ИЛИ QR-код (ПИН-код)
И
— однофакторный сертификат программного обеспечения
- ИЛИ
— Microsoft Entra, присоединенная к программному TPM
- ИЛИ
— гибридное подключение Microsoft Entra с программным TPM
- ИЛИ
— Совместимое мобильное устройство
Да1 Замеченный секрет
И
ПО для однофакторной криптографии
Пароль ИЛИ QR-код (ПИН-код)
И
— Microsoft Entra, интегрированная с аппаратным модулем доверенной платформы
- ИЛИ
— гибридное присоединение Microsoft Entra к аппаратному доверенному платформенному модулю
Да1 Замеченный секрет
И
Аппаратура для однофакторной криптографии

1Защита от внешнего фишинга

Рекомендации AAL2

Для AAL2 используйте многофакторный криптографический аутентификатор. Это защита от фишинга, устраняет большую область атаки (пароль) и предлагает пользователям упрощенный метод для проверки подлинности.

Рекомендации по выбору метода проверки подлинности без пароля см. в статье Планирование развертывания без пароля проверки подлинности в идентификаторе Microsoft Entra. См. также руководство по развертыванию Windows Hello для бизнеса

Проверка на соответствие стандарту FIPS 140

Используйте следующие разделы, чтобы узнать о проверке FIPS 140.

Требования к средству проверки

Идентификатор Microsoft Entra использует общий проверенный модуль шифрования Windows FIPS 140 уровня 1 для криптографических операций проверки подлинности. Поэтому это проверяющее средство, соответствующее FIPS 140, требуемое госучреждениями.

Требования к аутентификатору

Криптографические аутентификаторы государственных органов сертифицированы по стандарту FIPS 140 уровня 1. Это требование не касается неправительственных учреждений. Следующие средства проверки подлинности Microsoft Entra соответствуют требованиям при работе на Windows в режиме, согласованном с FIPS 140:

  • Пароль

  • Microsoft Entra, интегрированная с программным или аппаратным ТДП

  • Гибридное подключение Microsoft Entra с программным или аппаратным TPM

  • Windows Hello для бизнеса с программным или аппаратным TPM

  • Сертификат, хранящийся в программном обеспечении или оборудовании (ключ смарт-карты, ключ безопасности/TPM)

Для получения информации о соответствии приложений Microsoft Authenticator (iOS/Android) стандарту FIPS 140 см. раздел Соответствие FIPS 140 для проверки подлинности Microsoft Entra

Для токенов оборудования и смарт-карт OATH рекомендуется обратиться к поставщику для текущего состояния проверки FIPS.

Поставщики ключей безопасности FIDO 2 находятся на различных этапах сертификации FIPS. Мы рекомендуем просмотреть список поддерживаемых поставщиков ключей FIDO 2. Обратитесь к поставщику с текущим состоянием проверки FIPS.

Платформа SSO для macOS сертифицирована на соответствие стандарту FIPS 140. Мы рекомендуем ссылаться на сертификаты Платформы Apple.

Повторная проверка подлинности

Для уровня AAL2 требование NIST заключается в повторной аутентификации каждые 12 часов, независимо от активности пользователя. Повторная авторизация требуется после периода бездействия в течение 30 минут или дольше. Поскольку секрет сеанса — это то, чем вы обладаете, требуется предъявить то, что вы знаете или чем являетесь.

Чтобы обеспечить соответствие требованиям повторной проверки подлинности независимо от действия пользователя, корпорация Майкрософт рекомендует настроить частоту входа пользователя в 12 часов.

С помощью NIST можно использовать компенсирующие элементы управления для подтверждения присутствия подписчика:

  • Установите время ожидания бездействия сеанса до 30 минут: заблокируйте устройство на уровне операционной системы с помощью Microsoft System Center Configuration Manager, объектов групповой политики (GPO) или Intune. Для разблокировки подписчика требуется локальная проверка подлинности.

  • Время ожидания независимо от активности: выполнение запланированной задачи (Configuration Manager, Intune или Групповой Политики) для блокировки компьютера по истечении 12 часов независимо от активности.

Защита от атак типа 'человек посередине'

Обмен данными между заявителем и платформой Microsoft Entra ID осуществляется через аутентифицированный, защищённый канал. Эта конфигурация обеспечивает устойчивость к атакам типа «человек посередине» (MitM) и удовлетворяет требованиям к устойчивости MitM для AAL1, AAL2 и AAL3.

Защита от атак с повторением

Методы проверки подлинности Microsoft Entra в AAL2 используют одноразовые числа или запросы. Методы сопротивляются атакам воспроизведения, так как проверяющий обнаруживает повторяемые транзакции проверки подлинности. Такие транзакции не будут содержать необходимые данные, не относящиеся к времени или сроку.

Следующие шаги

Общие сведения о NIST

Сведения об уровнях AAL

Основные сведения об аутентификации

Типы проверки подлинности NIST

Достижение NIST AAL1 с помощью идентификатора Microsoft Entra

Достижение NIST AAL2 с помощью идентификатора Microsoft Entra

Достижение NIST AAL3 с помощью идентификатора Microsoft Entra