Microsoft Entra PCI-DSS 多重身份验证指南
信息补充:多重身份验证 v 1.0
请使用下表了解 Microsoft Entra ID 为满足 PCI 安全标准委员会信息补充:多重身份验证 v 1.0 中的要求而支持的身份验证方法。
| 方法 | 满足要求的条件 | 保护 | MFA 元素 |
|---|---|---|---|
| 使用 Microsoft Authenticator 进行无密码手机登录 | 已有(具有密钥的设备)、已知或身份信息(PIN 或生物识别特征) 在 iOS 中,Authenticator 安全元素 (SE) 会将密钥存储在钥匙串中。 Apple 平台安全保护:钥匙串数据保护 在 Android 中,Authenticator 会通过将密钥存储在密钥库中来使用受信任的执行引擎 (TEE)。 开发者:Android 密钥库系统 当用户使用 Microsoft Authenticator 进行身份验证时,Microsoft Entra ID 会生成供用户在应用中输入的随机数字。 此操作满足带外身份验证要求。 |
客户配置设备保护策略,以降低设备入侵风险。 例如,Microsoft Intune 合规性策略。 | 用户通过手势解锁密钥,然后 Microsoft Entra ID 验证身份验证方法。 |
| Windows Hello 企业版部署先决条件概述 | 已有(具有密钥的 Windows 设备),以及已知或身份信息(PIN 或生物识别特征)。 密钥通过设备的可信平台模块 (TPM) 进行存储。 客户使用具有硬件 TPM 2.0 或更高版本的设备来满足身份验证方法独立性和带外要求。 认证验证器级别 |
配置设备保护策略,以降低设备入侵风险。 例如,Microsoft Intune 合规性策略。 | 用户通过 Windows 设备登录手势解锁密钥。 |
| 启用无密码安全密钥登录:启用 FIDO2 安全密钥方法 | 已有(FIDO2 安全密钥),以及已知或身份信息(PIN 或生物识别特征)。 密钥通过硬件加密功能进行存储。 客户使用 FIDO2 密钥(至少身份验证认证级别 2 [L2])来满足身份验证方法独立性和带外要求。 |
采购可防止篡改和入侵的硬件。 | 用户通过手势解锁密钥,然后 Microsoft Entra ID 验证凭据。 |
| Microsoft Entra 基于证书的身份验证概述 | 已有(智能卡),以及已知信息 (PIN)。 物理智能卡或存储在 TPM 2.0 或更高版本中的虚拟智能卡是安全元素 (SE)。 此操作满足身份验证方法独立性和带外要求。 |
采购可防止篡改和入侵的智能卡。 | 用户通过手势或 PIN 解锁证书私钥,然后 Microsoft Entra ID 会验证凭据。 |
后续步骤
PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求,请参阅以下文章。