NIST-Authentifikatortypen und ausgerichtete Microsoft Entra-Methoden
Der Authentifizierungsprozess beginnt, wenn ein Anforderer seine Kontrolle über mindestens einen Authentifikatoren bestätigt, die einem Abonnenten zugeordnet sind. Bei dem Abonnenten kann es sich um eine Person oder eine andere Entität handeln. Informieren Sie sich in der folgenden Tabelle über die NIST-Authentifikatortypen (National Institute of Standards and Technology) und die zugehörigen Microsoft Entra-Authentifizierungsmethoden.
| NIST-Authentifikatortyp | Microsoft Entra-Authentifizierungsmethode |
|---|---|
| Gespeichertes Geheimnis (etwas, das Sie wissen) |
Kennwort |
| Lookupgeheimnis (etwas, das Sie haben) |
None |
| Single-Factor Out-of-band (etwas, das Sie haben) |
Microsoft Authenticator-App (Pushbenachrichtigung) Microsoft Authenticator Lite (Pushbenachrichtigung) Telefon (SMS): nicht empfohlen |
| Multi-Faktor, Out-of-Band (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Microsoft Authenticator-App (Anmeldung per Telefon) |
| Einzel-Faktor-Einmalkennwort (One-Time Passwort, OTP) (etwas, das Sie haben) |
Microsoft Authenticator-App (OTP) Microsoft Authenticator Lite (OTP) Single-Faktor Hardware/Software OTP1 |
| Multi-Faktor-OTP (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Als Single-Factor OTP behandelt |
| Single-Factor-Kryptografiesoftware (etwas, das Sie haben) |
Single-Factor-Softwarezertifikat In Microsoft Entra eingebunden 2 mit Software TPM In Microsoft Entra hybrid eingebunden 2 mit Software TPM Kompatibles mobiles Gerät2 |
| Multi-Factor-Kryptografiehardware (etwas, das Sie haben) |
Hardwaregeschütztes Single-Faktor-Zertifikat In Microsoft Entra eingebunden 2 mit Hardware TPM In Microsoft Entra hybrid eingebunden 2 mit Hardware TPM |
| Multi-Factor-Kryptografiesoftware (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Multi-Faktor-Softwarezertifikat Windows Hello for Business mit Software-TPM |
| Multi-Factor-Kryptografiehardware (etwas, das Sie haben + etwas, das Sie kennen/sind) |
Hardwaregeschütztes Multi-Faktor-Zertifikat FIDO 2-Sicherheitsschlüssel Plattform-SSO für macOS (Secure Enclave) Windows Hello for Business mit Hardware-TPM Hauptschlüssel in Microsoft Authenticator |
1 30 oder 60 Sekunden gültiges OATH-TOTP SHA-1-Token.
2 Weitere Informationen zu den Einbindungszuständen von Geräten finden Sie unter Microsoft Entra-Geräteidentität
PSTN (Public Switch Telephone Network) SMS/Voice wird nicht empfohlen
NIST empfiehlt SMS oder Voice nicht. Die Risiken von Gerätetauschen, SIM-Wechseln, Nummernportierung und anderem Verhalten können Probleme verursachen. Wenn diese Aktionen böswillig ausgeführt werden, können sie zu mangelnder Sicherheit führen. Obwohl SMS/Voice nicht empfohlen werden, ist dies besser als die ausschließliche Verwendung eines Passworts, da es für Hacker mehr Aufwand bedeutet.
Nächste Schritte
Authentifizierungsszenarien für Azure AD
Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID
Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID