Garantia do autenticador de nível 1 do NIST com o Microsoft Entra ID
O NIST (National Institute of Standards and Technology) desenvolve requisitos técnicos para agências federais dos EUA que implementam soluções de identidade. As organizações devem atender a esses requisitos ao trabalhar com agências federais.
Antes de iniciar o nível 1 de garantia do autenticador (AAL1), examine os seguintes recursos:
- Visão geral do NIST: entender os níveis de AAL
- Noções básicas de autenticação: tipos de terminologia e autenticação
- Tipos de autenticador NIST: tipos de autenticador
- As AAL do NIST: os componentes da AAL, os métodos de autenticação do Microsoft Entra e os TPMs (Trusted Platform Modules).
Tipos de autenticadores permitidos
Para obter a AAL1, você pode usar qualquer autenticador NIST permitido de fator único ou multifator.
| Método de autenticação do Microsoft Entra | Tipos de Autenticadores do NIST |
|---|---|
| Senha | Segredo memorizado |
| Telefone (SMS): não recomendado | Fator único fora de banda |
| Aplicativo Microsoft Authenticator (Login por Telefone) | Multifator fora de banda |
| Certificado de software de fator único | Software de criptografia de fator único |
| Certificado de software multifatorial Windows Hello para Empresas com TPM de software |
Software de criptografia multifator |
| Certificado de proteção de hardware multifatorial Chave de segurança FIDO 2 Plataforma SSO para macOS (Enclave Seguro) Windows Hello para Empresas com o TPM de hardware Chave de acesso no Microsoft Authenticator |
Hardware de criptografia multifator |
Dica
Recomendamos que você selecione, no mínimo, autenticadores AAL2 resistentes a phishing. Selecione os autenticadores AAL3 conforme necessário por motivos comerciais, padrões do setor ou requisitos de conformidade.
Validação do FIPS 140
Requisitos do verificador
O Microsoft Entra ID usa o módulo criptográfico de Nível 1 do Windows FIPS 140 para suas operações criptográficas de autenticação. Portanto, é um verificador em conformidade com o FIPS 140 exigido pelas agências governamentais.
Resistência a man-in-the-middle
As comunicações entre o declarante e o Microsoft Entra ID acontecem por um canal protegido e autenticado, para resistir à ataques MitM (man-in-the-middle). Essa configuração atende aos requisitos de resistência a MitM para AAL1, AAL2 e AAL3.
Próximas etapas
Noções básicas de autenticação
Alcançar o NIST AAL1 com o Microsoft Entra ID