Niveau 2 d’assurance de l’authentificateur NIST avec Microsoft Entra ID
L’institut NIST (National Institute of Standards and Technology) développe les exigences techniques pour les agences fédérales américaines qui implémentent des solutions d’identité. Les organisations travaillant avec les agences fédérales doivent répondre à ces exigences.
Avant de commencer l’authentification d’assurance de niveau 2 (AAL2), vous pouvez consulter les ressources suivantes :
- Vue d’ensemble de NIST : comprendre les niveaux AAL
- Principes fondamentaux de l’authentification : terminologie et types d’authentification
- Types d’authentificateurs NIST : Types d’authentification
- NIST AAL : composants AAL et méthodes d'authentification Microsoft Entra
Types d’authentificateurs AAL2 autorisés
Le tableau suivant détaille les types d’authentificateurs autorisés pour le niveau AAL2 :
| Méthode d’authentification Microsoft Entra | Résistance à l’hameçonnage | Type d’authentificateur NIST |
|---|---|---|
| Méthodes recommandées | ||
| Certificat multifacteur logiciel Windows Hello Entreprise avec le module TPM (Trusted Platform Module) logiciel |
Oui | Logiciel de chiffrement multifacteur |
| Certificat multifacteur protégé par matériel Clés de sécurité FIDO 2 Authentification unique de plateforme pour macOS (enclave sécurisée) Windows Hello Entreprise avec TPM matériel Clé d’accès dans Microsoft Authenticator |
Oui | Matériel de chiffrement multifacteur |
| Autres méthodes | ||
| Application Microsoft Authenticator (connexion par téléphone) | Non | Multifacteur hors bande |
| Mot de passe AND Application Microsoft Authenticator (notification Push) - OU - Microsoft Authenticator Lite (notification Push) - OU - Téléphone (SMS) |
Non | Secret mémorisé AND Facteur unique hors bande |
| Mot de passe AND – Jetons matériels OATH (préversion) - OU – Application Microsoft Authenticator (OTP) - OU – Microsoft Authenticator Lite (OTP) - OU - Jetons logiciels OATH |
Non | Secret mémorisé AND OTP à facteur unique |
| Mot de passe AND – Certificat logiciel à facteur unique - OU – Microsoft Entra associé au TPM logiciel - OU – Microsoft Entra hybride associé au TPM logiciel - OU - Appareil mobile conforme |
Oui1 | Secret mémorisé AND Logiciel de chiffrement monofacteur |
| Mot de passe AND – Microsoft Entra associé au TPM matériel - OU - Microsoft Entra hybride associé au TPM matériel |
Oui1 | Secret mémorisé AND Matériel de chiffrement à facteur unique |
1 Protection contre le hameçonnage externe
Suggestions AAL2
Pour le niveau AAL2, utilisez l’authentificateur de chiffrement multifacteur. Cela offre une résistance au hameçonnage, élimine la plus grande surface d’attaque (le mot de passe) et offre aux utilisateurs une méthode d’authentification simplifiée.
Pour obtenir des instructions sur la sélection d’une méthode d’authentification sans mot de passe, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID. Voir aussi Guide de déploiement de Windows Hello Entreprise
Validation FIPS 140
Utilisez les sections suivantes pour en savoir plus sur la validation FIPS 140.
Exigences liées au vérificateur
Microsoft Entra ID utilise le module de chiffrement validé global FIPS 140 Windows de niveau 1 pour des opérations de chiffrement liées à l’authentification. Il s’agit donc d’un vérificateur conforme à la norme FIPS 140, comme l’exigent les agences gouvernementales.
Exigences liées à l’authentificateur
Les authentificateurs de chiffrement des agences gouvernementales sont validés pour FIPS 140, niveau 1 global. Cette exigence n’est pas requise pour les autres types d’organisations. Les authentificateurs Microsoft Entra suivants répondent aux exigences lorsqu’ils sont exécutés sur Windows en mode de fonctionnement approuvé FIPS 140 :
Mot de passe
Microsoft Entra associé au module TPM logiciel ou matériel
Microsoft Entra hybride associé au module TPM logiciel ou matériel
Windows Hello Entreprise avec module TPM logiciel ou matériel
Certificat stocké dans un logiciel ou un matériel (carte à puce/clé de sécurité/TPM)
Pour obtenir les informations de conformité à la norme FIPS 140 de l’application Microsoft Authenticator (iOS/Android), consultez Conforme à FIPS 140 pour l’authentification Microsoft Entra
Pour les jetons matériels OATH et les cartes à puce, nous vous recommandons de consulter votre fournisseur pour connaître les états de validation FIPS actuels.
Les fournisseurs de clés de sécurité FIDO 2 sont à différentes étapes de la certification FIPS. Nous vous recommandons de consulter la liste des fournisseurs de clés FIDO 2 pris en charge. Consultez votre fournisseur pour connaître l’état de validation FIPS actuel.
L’authentification unique de plateforme pour macOS est conforme à la norme FIPS 140. Nous vous recommandons de vous référer aux Certifications de la plateforme Apple.
Réauthentification
Pour AAL2, NIST requiert une réauthentification toutes les 12 heures, quelle que soit l’activité de l’utilisateur. La réauthentification est également requise après une période d’inactivité de 30 minutes ou plus. Étant donné que le secret de session est quelque chose que vous possédez, il est nécessaire de présenter quelque chose que vous connaissez ou que vous êtes.
Pour répondre à la configuration requise à des fins de réauthentification, quelle que soit l’activité de l’utilisateur, Microsoft recommande de configurer la fréquence de connexion de l’utilisateur sur 12 heures.
Utilisez le NIST pour compenser les contrôles afin de confirmer la présence de l’abonné :
Définir un délai d’inactivité de session de 30 minutes : verrouillez l’appareil au niveau du système d’exploitation à l’aide de Microsoft System Center Configuration Manager, d’objets de stratégie de groupe (GPO) ou d’Intune. Pour que l’abonné le déverrouille, exigez une authentification locale.
Expiration du délai d’attente, quelle que soit l’activité : exécutez une tâche planifiée (Configuration Manager, objet de stratégie de groupe ou Intune) pour verrouiller la machine après 12 heures, quelle que soit l’activité.
Résistance aux attaques de l’intercepteur
Les communications entre le demandeur et Microsoft Entra ID se font sur un canal protégé authentifié. Cette configuration fournit une résistance aux attaques man-in-the-middle (MitM) et répond aux exigences de résistance MitM pour AAL1, AAL2 et AAL3.
Résistance à la réexécution
Toutes les méthodes d’authentification Microsoft Entra du niveau AAL2 utilisent des nonces ou des défis. Les méthodes offrent une bonne résistance aux attaques par relecture, car le vérificateur détecte facilement les transactions d’authentification relues. En effet, ces transactions ne contiennent pas le nonce ni les données d’actualité nécessaires.
Étapes suivantes
En savoir plus sur les niveaux AAL
Principes fondamentaux de l’authentification
Types d'authentificateurs NIST
Atteindre NIST AAL1 avec Microsoft Entra ID