使用 Microsoft Entra ID 的 NIST 驗證器保證等級 2 (AAL2)

美國國家標準與技術研究所 (NIST) 為實施身分識別解決方案的美國聯邦機構開發技術需求。與聯邦機關合作的組織也須符合這些需求。

開始驗證器保證等級 2 (AAL2) 之前，您可以看到下列資源：

允許的 AAL2 驗證器類型

下表具有 AAL2 所允許的驗證器類型：

Microsoft Entra 驗證方法	NIST 驗證器類型
建議的方法
多重要素軟體憑證 (PIN 保護) 使用軟體可信賴平台模組 (TPM) 的 Windows Hello 企業版	多重要素加密軟體
受硬體保護的憑證 (智慧卡/安全性金鑰/TPM) FIDO 2 安全性金鑰使用硬體 TPM 的 Windows Hello 企業版	多重要素加密硬體
Microsoft Authenticator 應用程式 (無密碼)	頻外多重要素
其他方法
密碼 AND - Microsoft Authenticator 應用程式 (推播通知) - OR - Microsoft Authenticator Lite (推播通知) - OR - 電話 (SMS)	記住的秘密 AND 頻外單要素
密碼 AND - OATH 硬體權杖 (預覽版) - OR - Microsoft Authenticator 應用程式 (OTP) - OR - Microsoft Authenticator Lite (OTP) - OR OATH 軟體權杖	記住的秘密 AND 單一要素 OTP
密碼 AND - 單一要素軟體憑證 - OR - Microsoft Entra 與軟體 TPM 聯結 - OR - 混合式 Microsoft Entra 與軟體 TPM 聯結 - OR - 相容的行動裝置	記住的秘密 AND 單一要素加密軟體
密碼 AND - 已加入 Microsoft Entra (含硬體 TPM) - OR - 已加入 Microsoft Entra 混合式 (含硬體 TPM)	記住的秘密 AND 單一要素加密硬體

注意

目前，Microsoft Authenticator 本身不是網路釣魚防護。若要在使用 Microsoft Authenticator 時抵禦外部網路釣魚，您必須另外設定需要受控裝置的條件式存取原則。

針對 AAL2，請使用多重要素密碼編譯硬體或軟體驗證器。無密碼驗證器可消除最大攻擊面 (密碼)，並為使用者提供簡化的驗證方法。

使用下列各節來了解 FIPS 140 驗證。

Microsoft Entra ID 針對驗證密碼編譯作業，使用 Windows FIPS 140 層級 1 的整體驗證密碼編譯模組。因此，這是政府機構所需的 FIPS 140 相容驗證程式。

政府機關的密碼編譯驗證器會針對 FIPS 140 等級 1 進行驗證。這項要求不適用於非政府機關。下列 Microsoft Entra 驗證器在 Windows 以 FIPS 140 核准的模式中執行時，符合需求：

Microsoft Authenticator 應用程式在 iOS 和 Android 上符合 FIPS 140 規範。如需 Microsoft Authenticator 所使用的 FIPS 驗證密碼編譯模組的詳細資訊，請參閱 Microsoft Authenticator 應用程式

如需 OATH 硬體權杖和智慧卡，建議您洽詢您的提供者，以取得目前的 FIPS 驗證狀態。

FIDO 2 安全性金鑰提供者處於 FIPS 認證的各個階段。建議您檢閱支援的 FIDO 2 主要廠商清單。請諮詢您的提供者，以取得目前的 FIPS 驗證狀態。

針對 AAL2，無論使用者活動為何，NIST 都需要每 12 小時重新驗證一次。在閒置時間持續 30 分鐘或更久之後，需要重新驗證。因為工作階段秘密是您所擁有的內容，因此必須展示您知道的某些東西或您的身分。

為了滿足不論使用者的活動為何，都要重新驗證的需求，Microsoft 建議您將使用者登入頻率設定為 12 小時。

您可以透過 NIST，使用補償控制項來確認訂閱者是否存在：

將工作階段閒置超時設定為 30 分鐘：使用 Microsoft System Center Configuration Manager、群組原則物件 (GPO) 或 Intune，在作業系統層級鎖定裝置。針對訂閱者，若要將其解除鎖定，需要本機驗證。
不論活動為何皆為超時：執行在 12 小時後鎖定電腦的已排程工作 (設定管理員、GPO 或 Intune)，不考慮活動。