Livello di verifica dell'authenticator NIST 1 con Microsoft Entra ID
Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. Le organizzazioni devono soddisfare questi requisiti quando lavorano con le agenzie federali.
Prima di iniziare con il livello di verifica dell'authenticator 1 (AAL1), è possibile verificare le seguenti risorse:
- Panoramica di NIST: Informazioni sui livelli AAL
- Nozioni di base per l'autenticazione: terminologia e tipi di autenticazione
- Tipi di authenticator NIST: tipi authenticator
- AALs NIST: componenti AAL, metodi di autenticazione di Microsoft Entra e Trusted Platform Modules (TPM).
Tipi di authenticator consentiti
Per ottenere AAL1, è possibile usare qualsiasi authenticator consentito NIST a singolo fattore o a più fattori.
Metodi di autenticazione Microsoft Entra | Tipo di authenticator NIST |
---|---|
Password | Segreto memorizzato |
Telefono (SMS): non consigliato | Fuori banda a fattore singolo |
App Microsoft Authenticator (accesso tramite telefono) | Fuori banda a più fattori |
Certificato software a fattore singolo | Software di crittografia a singolo fattore |
Certificato software a più fattori Windows Hello for Business con TPM software |
Software di crittografia a più fattori |
Certificato protetto da hardware a più fattori Chiavi di sicurezza FIDO 2 Platform SSO for macOS (Secure Enclave) Windows Hello for Business con TPM hardware Passkey in Microsoft Authenticator |
Hardware di crittografia a più fattori |
Suggerimento
È consigliabile selezionare almeno authenticator AAL2 resistenti al phishing. Selezionare authenticator AAL3 in base alle esigenze aziendali, standard del settore o requisiti di conformità.
Convalida FIPS 140
Verificare i requisiti
Microsoft Entra ID usa il modulo di crittografia Windows FIPS 140 Livello 1 per le operazioni di crittografia di autenticazione. È quindi un verificatore conforme a FIPS 140 richiesto dalle agenzie governative.
Resistenza man-in-the-middle
Le comunicazioni tra il richiedente e Microsoft Entra ID si trovano su un canale autenticato, protetto, in modo da resistere agli attacchi man-in-the-middle (MitM). Questa configurazione soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.
Passaggi successivi
Informazioni sugli elenchi di controllo di accesso
Nozioni di base sull'autenticazione
Ottenere NIST AAL1 con Microsoft Entra ID