NIST-Authentifikatorsicherheitsstufe 1 mit Microsoft Entra ID

Das National Institute of Standards and Technology (NIST) entwickelt die technischen Anforderungen für US-Bundesbehörden, die Identitätslösungen implementieren. Organisationen müssen diese Anforderungen bei der Zusammenarbeit mit US-Bundesbehörden erfüllen.

Bevor Sie mit der Umsetzung von Authenticator Assurance Level 1 (AAL1) beginnen, sollten Sie sich die folgenden Ressourcen ansehen:

Zulässige Authentifikatortypen

Zum Erzielen von AAL1 kann jeder, gemäß NIST zugelassener Ein- oder Mehrfaktor-Authentifikator verwendet werden.

Microsoft Entra-Authentifizierungsmethode NIST-Authentifikatortyp
Kennwort Gespeichertes Geheimnis
Telefon (SMS): nicht empfohlen Single-Factor Out-of-band
Microsoft Authenticator-App (kennwortlos) Multi-Faktor Out-of-band
Single-Factor-Softwarezertifikat Single-Factor-Kryptografiesoftware
Multi-Faktor-Softwarezertifikat (PIN-geschützt)
Windows Hello for Business mit Software-TPM
Multi-Factor-Kryptografiesoftware
Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
FIDO 2-Sicherheitsschlüssel
Windows Hello for Business mit Hardware-TPM
Multi-Factor-Kryptografiehardware

Tipp

Es wird empfohlen, mindestens phishingresistente AAL2-Authentifizierungsanbieter auszuwählen. Wählen Sie AAL3-Authentifizierungsanbieter aus, wenn dies aus geschäftlichen Gründen, gemäß Branchenstandards oder aufgrund von Complianceanforderungen erforderlich ist.

FIPS 140-Validierung

Anforderungen an Überprüfer

Microsoft Entra ID verwendet für kryptografische Vorgänge zur Authentifizierung das Windows FIPS 140 Level 1-Kryptografiemodul. Es handelt sich daher um einen FIPS 140-konformen Prüfmechanismus, wie von US-Regierungsbehörden gefordert.

Man-in-the-Middle-Widerstand

Die Kommunikation zwischen dem Antragsteller und Microsoft Entra ID erfolgt zum Schutz vor Man-in-the-Middle-Angriffen (MitM) über einen authentifizierten geschützten Kanal. Diese Konfiguration erfüllt die Anforderungen an die MitM-Widerstandsfähigkeit für AAL1, AAL2 und AAL3.

Nächste Schritte

NIST-Übersicht

Weitere Informationen zu AALs

Authentifizierungsszenarien für Azure AD

NIST-Authentifikatortypen

Erzielen der NIST-Authentifikator-Sicherheitsstufe 1 (AAL1) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 2 (AAL2) mit Microsoft Entra ID

Erzielen der NIST-Authentifikator-Sicherheitsstufe 3 (AAL3) mit Microsoft Entra ID