Condividi tramite


Livello di garanzia dell'autenticatore NIST 2 con Microsoft Entra ID

Il National Institute of Standards and Technology (NIST) sviluppa requisiti tecnici per le agenzie federali statunitensi che implementano soluzioni di identità. Le organizzazioni che lavorano con le agenzie federali devono soddisfare questi requisiti.

Prima di avviare il livello di garanzia dell'autenticatore 2 (AAL2), è possibile visualizzare le risorse seguenti:

Tipi di autenticatori AAL2 consentiti

La tabella seguente include tipi di autenticatore consentiti per AAL2:

Metodi di autenticazione Microsoft Entra Resistenza al phishing Tipo di autenticatore NIST
Metodi consigliati
Certificato software a più fattori
Windows Hello for Business con software Trusted Platform Module (TPM)
Software di crittografia a più fattori
Certificato protetto da hardware a più fattori
Chiavi di sicurezza FIDO 2
Platform SSO for macOS (Secure Enclave)
Windows Hello for Business con TPM hardware
Passkey in Microsoft Authenticator
Hardware di crittografia a più fattori
Metodi aggiuntivi
App Microsoft Authenticator (accesso tramite telefono) No Fuori banda a più fattori
Password
AND
- App Microsoft Authenticator (notifica push)
- OPPURE
- Microsoft Authenticator Lite (notifica push)
- OPPURE
- Telefono (SMS)
No Segreto memorizzato
AND
Fuori banda a fattore singolo
Password
AND
- Token hardware OATH (anteprima)
- OPPURE
- App Microsoft Authenticator (OTP)
- OPPURE
- Microsoft Authenticator Lite (OTP)
- OPPURE
- Token software OATH
No Segreto memorizzato
AND
OTP a singolo fattore
Password
AND
- Certificato software a fattore singolo
- OPPURE
- Microsoft Entra unito al software TPM
- OPPURE
- Microsoft Entra ibrido aggiunto al software TPM
- OPPURE
- Dispositivo mobile conforme
1 Segreto memorizzato
AND
Software di crittografia a singolo fattore
Password
AND
- Microsoft Entra è stato aggiunto con il TPM hardware
- OPPURE
- Microsoft Entra ibrido aggiunto a TPM hardware
1 Segreto memorizzato
AND
Hardware di crittografia a singolo fattore

1 Protezione da phishing esterno

Raccomandazioni AAL2

Per AAL2, usare l'autenticatore crittografico a più fattori. Questo è resistente al phishing, elimina la superficie di attacco più grande (la password) e offre agli utenti un metodo semplificato per l'autenticazione.

Per indicazioni sulla selezione di un metodo di autenticazione senza password, vedere Pianificare una distribuzione di autenticazione senza password in Microsoft Entra ID. Vedere anche, Guida alla distribuzione di Windows Hello for Business

Convalida FIPS 140

Usare le sezioni seguenti per informazioni sulla convalida FIPS 140.

Verificare i requisiti

Microsoft Entra ID usa il modulo di crittografia di Windows FIPS 140 Livello 1 complessivamente convalidato per le operazioni di crittografia di autenticazione. È quindi un verificatore conforme a FIPS 140 richiesto dalle agenzie governative.

Requisiti dell'autenticazione

Gli autenticatori crittografici dell'agenzia governativa vengono convalidati per FIPS 140 livello 1 complessivamente. Questo requisito non è per le agenzie non governative. Gli autenticatori Microsoft Entra seguenti soddisfano i requisiti per l'esecuzione in Windows in una modalità approvata da FIPS 140:

  • Password

  • Microsoft Entra è stato aggiunto al software o al TPM hardware

  • Microsoft Entra ibrido aggiunto con software o con TPM hardware

  • Windows Hello for Business con software o con TPM hardware

  • Certificato archiviato in software o hardware (smart card/chiave di sicurezza/TPM)

Per informazioni sulla conformità di Microsoft Authenticator app (iOS/Android) FIPS 140, vedere Conformità FIPS 140 per l'autenticazione di Microsoft Entra

Per i token hardware OATH e le smart card, è consigliabile consultare il provider per lo stato di convalida FIPS corrente.

I provider di chiavi di sicurezza FIDO 2 sono in varie fasi della certificazione FIPS. È consigliabile esaminare l'elenco dei fornitori di chiavi FIDO 2 supportati. Consultare il provider per ottenere lo stato di convalida FIPS corrente.

Platform SSO for macOS è conforme a FIPS 140. È consigliabile fare riferimento alle certificazioni della piattaforma Apple.

Riautenticazione

Per AAL2, il requisito NIST viene riautenticato ogni 12 ore, indipendentemente dall'attività dell'utente. La riautenticazione è necessaria dopo un periodo di inattività di 30 minuti o più. Poiché il segreto della sessione è qualcosa che hai, presenta qualcosa che sai o sono, è obbligatorio.

Per soddisfare i requisiti di riautenticazione, indipendentemente dall'attività dell'utente, Microsoft consiglia di configurare la frequenza di accesso utente a 12 ore.

Con NIST è possibile usare controlli di compensazione per confermare la presenza del sottoscrittore:

  • Impostare il timeout di inattività della sessione su 30 minuti: bloccare il dispositivo a livello di sistema operativo con Microsoft System Center Configuration Manager, oggetti criteri di gruppo (GPO) o Intune. Affinché il sottoscrittore lo sblocchi, richiedere l'autenticazione locale.

  • Timeout indipendentemente dall'attività: eseguire un'attività pianificata (Configuration Manager, Oggetto Criteri di gruppo o Intune) per bloccare il computer dopo 12 ore, indipendentemente dall'attività.

Resistenza man-in-the-middle

Le comunicazioni tra l'attestazione e l'ID Microsoft Entra si trovano su un canale autenticato e protetto. Questa configurazione offre resistenza agli attacchi man-in-the-middle (MitM) e soddisfa i requisiti di resistenza MitM per AAL1, AAL2 e AAL3.

Replay resistente

I metodi di autenticazione Microsoft Entra a AAL2 usano test o nonce. Questi metodi resistono agli attacchi replay perché Microsoft Entra ID rileva le transazioni di autenticazione oggetto di replay. Tali transazioni non contengono dati di nonce o di tempestività necessari.

Passaggi successivi

Panoramica del NIST

Informazioni sugli elenchi di controllo di accesso

Nozioni di base sull'autenticazione

Tipi di autenticatore NIST

Ottenere NIST AAL1 con Microsoft Entra ID

Ottenere NIST AAL2 con Microsoft Entra ID

Ottenere NIST AAL3 con Microsoft Entra ID