Niveau d'assurance de l'authentificateur NIST 3 à l'aide de Microsoft Entra ID

Utilisez les informations de cet article pour l’authentificateur de niveau 3 (AAL3) du National Institute of Standards and Technology (NIST).

Avant d’obtenir AAL2, vous pouvez consulter les ressources suivantes :

Types d’authentificateurs autorisés

Utilisez des méthodes d’authentification Microsoft qui vous permettent de répondre aux types d’authentificateurs NIST requis.

Méthodes d'authentification Microsoft Entra Type d’authentificateur NIST
Méthodes recommandées
Certificat matériel protégé (carte à puce/clé de sécurité/TPM)
Clé de sécurité FIDO 2
Windows Hello Entreprise avec TPM matériel
Informations d’identification de la plateforme pour macOS
Matériel de chiffrement multifacteur
Autres méthodes
Mot de passe
AND
– Microsoft Entra associé au TPM matériel
- OU
– Microsoft Entra hybride associé au TPM matériel
Secret mémorisé
AND
Matériel de chiffrement monofacteur
Mot de passe
AND
Jetons matériels OATH (préversion)
AND
– Certificat logiciel à facteur unique
- OU
– Appareil hybride Microsoft Entra joint ou compatible avec logiciel TPM
Secret mémorisé
AND
Matériel OTP à facture unique
AND
Logiciel de chiffrement monofacteur

Recommandations

Pour AAL3, nous vous recommandons d’utiliser un authentificateur de matériel de chiffrement multifacteur qui fournit une authentification sans mot de passe éliminant la plus grande surface d’attaque, le mot de passe.

Pour obtenir des conseils, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID. Voir aussi Guide de déploiement de Windows Hello Entreprise.

Validation FIPS 140

Exigences liées au vérificateur

Microsoft Entra ID utilise le module cryptographique globalement validé Windows FIPS 140 niveau 1 pour ses opérations cryptographiques d'authentification, faisant de Microsoft Entra ID un vérificateur conforme.

Exigences liées à l’authentificateur

Exigences des authentificateurs matériels de chiffrement monofacteur et multifacteur.

Matériel de chiffrement monofacteur

Les authentificateurs doivent être :

  • Niveau 1 Global ou supérieur de la norme FIPS 140

  • Niveau 3 Sécurité physique ou supérieur de la norme FIPS 140

Les appareils joints à Microsoft Entra et à Microsoft Entra hybride répondent à cette exigence lorsque :

Consultez le fournisseur de votre appareil mobile pour en savoir plus sur le respect de la norme FIPS 140.

Matériel de chiffrement multifacteur

Les authentificateurs doivent être :

  • Niveau 2 Global ou supérieur de la norme FIPS 140.

  • Niveau 3 Sécurité physique ou supérieur de la norme FIPS 140

Les clés de sécurité FIDO 2, les cartes à puce et Windows Hello Entreprise peuvent vous aider à répondre à ces exigences.

Windows Hello Entreprise

La norme FIPS 140 exige que la limite de chiffrement, y compris les logiciels, les microprogrammes et le matériel, fasse l’objet d’une évaluation. Les systèmes d’exploitation Windows peuvent être associés à des milliers de ces combinaisons. Par conséquent, il n’est pas possible pour Microsoft d’avoir Windows Hello Entreprise validés au niveau de sécurité FIPS 140 2. Les clients fédéraux doivent effectuer des évaluations des risques et évaluer chacune des certifications de composants suivantes dans le cadre de leur acceptation des risques avant d’accepter ce service en tant que AAL3 :

‎Pour savoir quels modules TPM répondent aux normes actuelles, accédez au Programme de validation du module de chiffrement du centre de ressources de sécurité informatique NIST. Dans la zone Nom du module, entrez Module de plateforme sécurisée pour obtenir la liste des modules TPM matériels qui répondent aux normes.

Authentification unique de la plateforme MacOS

FiPS 140 Security Niveau 2 est implémenté pour macOS 13 au minimum, la plupart des nouveaux appareils implémentant le Niveau 3. Nous vous recommandons de vous référer aux Certifications de la plateforme Apple. Il est important que vous soyez conscient du niveau de sécurité sur votre appareil.

Réauthentification

Pour AAL3, NIST requiert une réauthentification toutes les 12 heures, quelle que soit l’activité de l’utilisateur. La réauthentification est également requise après une période d’inactivité de 15 minutes ou plus. La présentation des deux facteurs est nécessaire.

Pour répondre à la configuration requise à des fins de réauthentification, quelle que soit l’activité de l’utilisateur, Microsoft recommande de configurer la fréquence de connexion de l’utilisateur sur 12 heures.

Utilisez le NIST pour la compensation de contrôles afin de confirmer la présence de l’abonné :

  • Définissez un délai d’inactivité de session de 15 minutes : verrouillez l’appareil au niveau du système d’exploitation en utilisant Microsoft Configuration Manager, un objet de stratégie de groupe (GPO) ou Intune. Pour que l’abonné le déverrouille, exigez une authentification locale.

  • Définissez le délai d’expiration, quelle que soit l’activité, en exécutant une tâche planifiée à l’aide de Configuration Manager, d’un objet de stratégie de groupe ou d’Intune. Verrouillez la machine après 12 heures, quelle que soit l’activité.

Résistance aux attaques de l’intercepteur

Les communications entre le demandeur et Microsoft Entra ID s'effectuent via un canal authentifié et protégé pour résister aux attaques de l'homme du milieu (MitM). Cette configuration répond aux exigences de résistance aux attaques de l’intercepteur des niveaux AAL1, AAL2 et AAL3.

Résistance à l’emprunt d’identité du vérificateur

Les méthodes d'authentification Microsoft Entra qui répondent à AAL3 utilisent des authentificateurs cryptographiques qui lient la sortie de l'authentificateur à la session en cours d'authentification. Les méthodes utilisent une clé privée contrôlée par le demandeur. La clé publique est connue du vérificateur. Cette configuration satisfait les exigences du niveau AAL3 en matière de résistance à l’emprunt d’identité du vérificateur.

Résistance aux compromissions du vérificateur

Toutes les méthodes d'authentification Microsoft Entra qui répondent à AAL3 :

  • Utiliser un authentificateur de chiffrement qui requiert que le vérificateur stocke une clé publique correspondant à une clé privée détenue par l’authentificateur
  • Stocker la sortie prévue de l’authentificateur à l’aide d’algorithmes de hachage validés par la norme FIPS-140

Pour plus d’informations, consultez Considérations sur la sécurité des données Microsoft Entra.

Résistance à la réexécution

Les méthodes d'authentification Microsoft Entra qui répondent à AAL3 utilisent des noms occasionnels ou des défis. Ces méthodes offrent une bonne résistance aux attaques par réexécution, car le vérificateur peut détecter facilement les transactions d’authentification réexécutées. En effet, ces transactions ne contiennent pas le nonce ni les données d’actualité nécessaires.

Intention d’authentification

Exiger une intention d’authentification rend plus difficile l’utilisation d’authentificateurs physiques directement connectés, tels que du matériel de chiffrement multifacteur, à l’insu du sujet (par exemple, par des programmes malveillants sur le point de terminaison). Les méthodes Microsoft Entra qui répondent à AAL3 nécessitent la saisie par l'utilisateur d'un code PIN ou d'un code biométrique, démontrant l'intention d'authentification.

Étapes suivantes

Présentation du NIST

En savoir plus sur les niveaux AAL

Principes fondamentaux de l’authentification

Types d'authentificateurs NIST

Atteindre NIST AAL1 à l’aide de Microsoft Entra ID

Atteindre NIST AAL2 à l'aide de Microsoft Entra ID