Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Wskazówki dotyczące uwierzytelniania wieloskładnikowego firmy Microsoft Entra PCI-DSS)
Dodatek informacyjny: Multi-Factor Authentication v 1.0
Skorzystaj z poniższej tabeli metod uwierzytelniania obsługiwanych przez firmę Microsoft Entra ID, aby spełnić wymagania dodatku informacyjnego Pci Security Standards Council , Multi-Factor Authentication v 1.0.
| Method | Aby spełnić wymagania | Ochrona | Element uwierzytelniania wieloskładnikowego |
|---|---|---|---|
| Logowanie bez hasła przy użyciu aplikacji Microsoft Authenticator | Coś, co masz (urządzenie z kluczem), coś, co znasz lub jesteś (numer PIN lub biometryczny) w systemie iOS, Authenticator Secure Element (SE) przechowuje klucz w pęku kluczy. Zabezpieczenia platformy Apple, ochrona danych pęku kluczy w systemie Android, Authenticator używa zaufanego aparatu wykonawczego (TEE), przechowując klucz w magazynie kluczy. Deweloperzy, system magazynu kluczy systemu Android Podczas uwierzytelniania użytkowników przy użyciu aplikacji Microsoft Authenticator identyfikator Entra generuje losową liczbę wprowadzaną przez użytkownika w aplikacji. Ta akcja spełnia wymagania dotyczące uwierzytelniania poza pasmem. |
Klienci konfigurują zasady ochrony urządzeń w celu ograniczenia ryzyka naruszenia zabezpieczeń urządzenia. Na przykład zasady zgodności usługi Microsoft Intune. | Użytkownicy odblokowują klucz za pomocą gestu, a następnie identyfikator Entra firmy Microsoft weryfikuje metodę uwierzytelniania. |
| Omówienie wymagań wstępnych wdrażania Windows Hello dla firm | Coś, co masz (urządzenie z systemem Windows z kluczem) i coś, co znasz lub jesteś (numer PIN lub biometryczny). Klucze są przechowywane przy użyciu modułu TPM (Trusted Platform Module). Klienci używają urządzeń ze sprzętowym modułem TPM 2.0 lub nowszym, aby spełnić wymagania dotyczące metody uwierzytelniania i poza pasmem. Certyfikowane poziomy wystawcy uwierzytelniającego |
Skonfiguruj zasady ochrony urządzeń, aby ograniczyć ryzyko naruszenia zabezpieczeń urządzenia. Na przykład zasady zgodności usługi Microsoft Intune. | Użytkownicy odblokowują klucz za pomocą gestu logowania urządzenia z systemem Windows. |
| Włączanie logowania bez hasła klucza zabezpieczeń, włączanie metody klucza zabezpieczeń FIDO2 | Coś, co masz (klucz zabezpieczeń FIDO2) i coś, co znasz lub jesteś (numer PIN lub biometryczny). Klucze są przechowywane przy użyciu sprzętowych funkcji kryptograficznych. Klienci używają kluczy FIDO2, co najmniej poziomu certyfikacji uwierzytelniania 2 (L2), aby spełnić wymagania dotyczące metody uwierzytelniania i poza pasmem. |
Pozyskiwanie sprzętu z ochroną przed naruszeniami i naruszeniem zabezpieczeń. | Użytkownicy odblokowują klucz za pomocą gestu, a następnie identyfikator Entra firmy Microsoft weryfikuje poświadczenia. |
| Omówienie uwierzytelniania opartego na certyfikatach firmy Microsoft | Coś, co masz (kartę inteligentną) i coś, co znasz (numer PIN). Fizyczne karty inteligentne lub wirtualne karty inteligentne przechowywane w module TPM 2.0 lub nowszym są elementem Secure (SE). Ta akcja spełnia wymagania dotyczące niezależności metody uwierzytelniania i poza pasmem. |
Uzyskiwanie kart inteligentnych z ochroną przed manipulowaniem i naruszeniem zabezpieczeń. | Użytkownicy odblokowują klucz prywatny certyfikatu za pomocą gestu lub numeru PIN, a następnie identyfikator Entra firmy Microsoft weryfikuje poświadczenia. |
Następne kroki
Wymagania PCI-DSS 3, 4, 9 i 12 nie mają zastosowania do identyfikatora Entra firmy Microsoft, dlatego nie ma odpowiednich artykułów. Aby zobaczyć wszystkie wymagania, przejdź do pcisecuritystandards.org: Oficjalna witryna Rady Standardów Bezpieczeństwa PCI.
Aby skonfigurować identyfikator Entra firmy Microsoft w celu zachowania zgodności z standardem PCI-DSS, zobacz następujące artykuły.
- Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
- Wymaganie 1: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci
- Wymaganie 2: Stosowanie bezpiecznych konfiguracji do wszystkich składników systemowych
- Wymaganie 5. Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem
- Wymaganie 6. Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania
- Wymaganie 7. Ograniczanie dostępu do składników systemowych i danych posiadaczy kart według potrzeb biznesowych
- Wymaganie 8. Identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemu
- Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty
- Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci
- Microsoft Entra PCI-DSS Multi-Factor Authentication guidance (Jesteś tutaj)