NIST 認証子の種類と対応する Microsoft Entra のメソッド

請求者が、サブスクライバーに関連付けられている複数の認証子のいずれかの制御をアサートすると、認証プロセスが開始されます。 サブスクライバーは、個人または別のエンティティです。 次の表を使用して、米国標準技術局 (NIST) の認証子の種類と、関連する Microsoft Entra の認証方法について説明します。

NIST 認証システムの種類 Microsoft Entra の認証方法
記憶シークレット
(自分が知っているもの)
パスワード: クラウド アカウント、フェデレーション、パスワード ハッシュ同期、パススルー認証
ルックアップ シークレット
(自分が持っているもの)
なし
単一要素帯域外
(自分が持っているもの)
Microsoft Authenticator アプリ (プッシュ通知)
電話 (SMS): 推奨されません
多要素帯域外
(自分が持っているもの + 自分が知っているもの/自分自身)
Microsoft Authenticator アプリ (パスワードレス)
単一要素ワンタイム パスワード (OTP)
(自分が持っているもの)
Microsoft Authenticator アプリ (OTP)
単一要素ハードウェア/ソフトウェア OTP1
多要素 OTP
(自分が持っているもの + 自分が知っているもの/自分自身)
単一要素 OTP として扱われる
単一要素暗号化ソフトウェア
(自分が持っているもの)
単一要素ソフトウェア証明書
ソフトウェア TPM を使用して参加した Microsoft Entra 2
ソフトウェア TPM を使用して参加した Microsoft Entra ハイブリッド 2
準拠モバイル デバイス
単一要素暗号化ハードウェア
(自分が持っているもの)
ハードウェア TPM を使用して参加した Microsoft Entra 2
ハードウェア TPM を使用して参加した Microsoft Entra ハイブリッド 2
多要素の暗号化ソフトウェア
(自分が持っているもの + 自分が知っているもの/自分自身)
多要素ソフトウェア証明書 (PIN で保護)
ソフトウェア TPM と Windows Hello for Business
多要素の暗号化ハードウェア
(自分が持っているもの + 自分が知っているもの/自分自身)
ハードウェアで保護された証明書 (スマートカード/セキュリティ キー/TPM)
Windows Hello for Business (ハードウェア TPM を使用)
FIDO 2 セキュリティ キー
macOS のプラットフォーム資格情報

1 30 秒または 60 秒の OATH-TOTP SHA-1 トークン

2 デバイスの参加状態の詳細については、Microsoft Entra デバイス ID に関するページを参照してください

NIST では、SMS や音声は推奨されていません。 デバイス スワップ、SIM の変更、数値の移植、およびその他の動作のリスクによって、問題が発生する可能性があります。 これらのアクションに悪意があると、安全でないエクスペリエンスになる可能性があります。 SMS/音声 は推奨されていませんが、ハッカーに必要な労力が増えるため、パスワードのみを使用するよりは悪くありません。

次のステップ

NIST の概要

AAL について確認する

認証の基本

NIST 認証システムの種類

Microsoft Entra ID を使用して NIST AAL1 を実現する

Microsoft Entra ID を使用して NIST AAL2 を実現する

Microsoft Entra ID を使用して NIST AAL3 を実現する