Microsoft Entra ID 和 PCI-DSS 要求 7

项目
10/15/2024

要求 7：按业务须知限制对系统组件和持卡人数据的访问
定义的方法要求

7.1 定义和理解按业务须知限制访问系统组件和持卡人数据的过程和机制。

PCI-DSS 定义的方法要求	Microsoft Entra 指南和建议
7.1.1 要求 7 中确定的所有安全策略和操作过程包括：已记录保持最新状态正在使用所有受影响方已知	将对持卡人数据环境 (CDE) 应用程序的访问与 Microsoft Entra ID 集成，以进行身份验证和授权。记录适用于远程访问技术的条件访问策略。使用 Microsoft 图形 API 和 PowerShell 实现自动化。条件访问：编程访问存档 Microsoft Entra 审核日志，以记录安全策略更改和 Microsoft Entra 租户配置。要记录使用情况，可将 Microsoft Entra 登录日志存档到安全信息和事件管理 (SIEM) 系统中。 Azure Monitor 中的 Microsoft Entra 活动日志
7.1.2 记录、分配和理解要求 7 中执行活动的角色和职责。	将对 CDE 应用程序的访问与 Microsoft Entra ID 集成，以进行身份验证和授权。 - 将用户角色分配给应用程序或分配具有组成员身份的用户角色 - 使用 Microsoft Graph 列出应用程序分配 - 使用 Microsoft Entra 审核日志跟踪分配更改。列出已授予用户的 appRoleAssignments Get-MgServicePrincipalAppRoleAssignedTo 特权访问使用 Microsoft Entra 审核日志跟踪目录角色分配。与此 PCI 要求相关的管理员角色： - 全局 - 应用程序 - 身份验证 - 身份验证策略 - 混合标识要实现最小特权访问，可使用 Microsoft Entra ID 创建自定义目录角色。如果在 Azure 中构建部分 CDE，请记录特权角色分配，例如所有者、参与者、用户访问管理员等，以及部署 CDE 资源的订阅自定义角色。 Microsoft 建议使用 Privileged Identity Management (PIM) 启用对角色的即时 (JIT) 访问权限。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于此方案的 Microsoft Entra 安全组进行 JIT 访问。 Microsoft Entra 内置角色 Microsoft Entra 标识和访问管理操作参考指南在 Microsoft Entra ID 中创建和分配自定义角色保护对 Microsoft Entra ID 中混合部署和云部署的特权访问什么是 Microsoft Entra Privileged Identity Management？适用于所有隔离体系结构的最佳做法适用于组的 PIM

PCI-DSS 定义的方法要求

Microsoft Entra 指南和建议

7.1.1 要求 7 中确定的所有安全策略和操作过程包括：
已记录
保持最新状态
正在使用
所有受影响方已知

将对持卡人数据环境 (CDE) 应用程序的访问与 Microsoft Entra ID 集成，以进行身份验证和授权。
记录适用于远程访问技术的条件访问策略。使用 Microsoft 图形 API 和 PowerShell 实现自动化。条件访问：编程访问
存档 Microsoft Entra 审核日志，以记录安全策略更改和 Microsoft Entra 租户配置。要记录使用情况，可将 Microsoft Entra 登录日志存档到安全信息和事件管理 (SIEM) 系统中。 Azure Monitor 中的 Microsoft Entra 活动日志

7.1.2 记录、分配和理解要求 7 中执行活动的角色和职责。

将对 CDE 应用程序的访问与 Microsoft Entra ID 集成，以进行身份验证和授权。
- 将用户角色分配给应用程序或分配具有组成员身份的用户角色
- 使用 Microsoft Graph 列出应用程序分配
- 使用 Microsoft Entra 审核日志跟踪分配更改。
列出已授予用户的 appRoleAssignments
Get-MgServicePrincipalAppRoleAssignedTo

特权访问
使用 Microsoft Entra 审核日志跟踪目录角色分配。与此 PCI 要求相关的管理员角色：
- 全局
- 应用程序
- 身份验证
- 身份验证策略
- 混合标识
要实现最小特权访问，可使用 Microsoft Entra ID 创建自定义目录角色。
如果在 Azure 中构建部分 CDE，请记录特权角色分配，例如所有者、参与者、用户访问管理员等，以及部署 CDE 资源的订阅自定义角色。
Microsoft 建议使用 Privileged Identity Management (PIM) 启用对角色的即时 (JIT) 访问权限。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于此方案的 Microsoft Entra 安全组进行 JIT 访问。 Microsoft Entra 内置角色
Microsoft Entra 标识和访问管理操作参考指南
在 Microsoft Entra ID 中创建和分配自定义角色
保护对 Microsoft Entra ID 中混合部署和云部署的特权访问
什么是 Microsoft Entra Privileged Identity Management？
适用于所有隔离体系结构的最佳做法
适用于组的 PIM

7.2 正确定义和分配对系统组件和数据的访问权限。

PCI-DSS 定义的方法要求	Microsoft Entra 指南和建议
7.2.1 定义访问控制模型，包括授予如下所示的访问权限：根据实体的业务和访问需求授予适当的访问权限。基于用户作业分类和函数对系统组件和数据资源的访问权限。执行作业函数所需的最低特权（例如，用户、管理员）。	使用 Microsoft Entra ID 直接或通过组成员资格将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.2 向用户分配访问权限（包括特权用户），分配依据为：作业分类和函数。执行作业职责所需的最低特权。	使用 Microsoft Entra ID 直接或通过组成员身份将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.3 所需特权由授权人员批准。	权利管理支持用于授予资源访问权限的审批工作流并和定期访问评审。在权利管理中批准或拒绝访问请求查看权利管理中访问包的访问权限 PIM 支持用于激活 Microsoft Entra 目录角色、Azure 角色和云组的审批工作流。批准或拒绝 PIM 中 Microsoft Entra 角色的请求批准组成员和所有者的激活请求
7.2.4 审查所有用户帐户和相关访问权限（包括第三方/供应商帐户），如下所示：至少每六个月一次。根据作业函数，确保用户帐户和访问权限保持适当。解决任何不适当的访问权限。管理确认访问权限仍然合适。	如果使用直接分配或组成员身份授予对应用程序的访问权限，请配置 Microsoft Entra 访问评审。如果使用权利管理授予对应用程序的访问权限，请在访问包级别启用访问评审。在权利管理中创建访问包的访问评审将 Microsoft Entra 外部 ID 用于第三方帐户和供应商帐户。可以针对外部标识（例如第三方或供应商帐户）执行访问评审。使用访问评审管理来宾访问权限
7.2.5 所有应用程序和系统帐户以及相关访问权限的分配和管理方式如下：基于系统或应用程序可操作性所需的最低特权。访问仅限于专门需要使用它们的系统、应用程序或进程。	使用 Microsoft Entra ID 直接或通过组成员身份将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.5.1 按应用程序和系统帐户进行的所有访问以及相关访问特权按如下所示进行评审：定期（按实体的目标风险分析中定义的频率，该分析根据要求 12.3.1 中指定的所有元素执行）。应用程序/系统访问保持适用于正在执行的函数。解决任何不适当的访问权限。管理确认访问权限保持合适。	评审服务帐户权限时的最佳做法。治理 Microsoft Entra 服务帐户治理本地服务帐户
7.2.6 所有用户对已存储持卡人数据的查询存储库的访问受到如下限制：通过应用程序或其他编程方法、使用基于用户角色和最低特权的访问权限与允许的操作。只有负责的管理员可以直接访问或查询已存储持卡人数据 (CHD) 的存储库。	新式应用程序支持使用编程方法限制对数据存储库的访问。使用 OAuth 和 OpenID 连接 (OIDC) 等新式身份验证协议将应用程序与 Microsoft Entra ID 集成。 Microsoft 标识平台上的 OAuth 2.0 和 OIDC 协议定义特定于应用程序的角色，以建立特权和非特权用户访问模型。将用户或组分配到角色。将应用角色添加到应用程序并在令牌中接收角色对于由应用程序公开的 API，请定义 OAuth 范围以启用用户和管理员同意。 Microsoft 标识平台中的范围和权限使用以下方法建立存储库的特权和非特权访问模型，并避免直接访问存储库。如果管理员和操作员需要访问权限，请根据基础平台授予访问权限。例如，Azure 中的 ARM IAM 分配、访问控制列表 (ACL) 窗口等。请参阅体系结构指导，其中包括保护 Azure 中的应用程序平台即服务 (PaaS) 和基础结构即服务 (IaaS) 。 Azure 体系结构中心

7.3 通过访问控制系统管理对系统组件和数据的访问。

PCI-DSS 定义的方法要求	Microsoft Entra 指南和建议
7.3.1 建立访问控制系统，以根据用户须知限制访问，并涵盖所有系统组件。	将对 CDE 中应用程序的访问与 Microsoft Entra ID 集成为访问控制系统身份验证和授权。条件访问策略，通过应用程序分配控制对应用程序的访问。 What is Conditional Access?（什么是条件访问？）将用户和组分配到应用程序
7.3.2 配置访问控制系统，以根据作业分类和函数强制实施分配给个人、应用程序和系统的权限。	将对 CDE 中应用程序的访问与 Microsoft Entra ID 集成为访问控制系统身份验证和授权。条件访问策略，通过应用程序分配控制对应用程序的访问。 What is Conditional Access?（什么是条件访问？）将用户和组分配到应用程序
7.3.3 默认情况下，将访问控制系统设置为“全部拒绝”。	使用条件访问基于访问请求条件（例如组成员身份、应用程序、网络位置、凭据强度等）阻止访问。条件访问：阻止访问配置错误的阻止策略可能会导致意外锁定。设计紧急访问策略。在 Microsoft Entra ID 中管理紧急访问管理员帐户

后续步骤

PCI-DSS 要求 3、4、9 和 12 不适用于 Microsoft Entra ID，因此没有相应的文章。若要查看所有要求，请转到 pcisecuritystandards.org：官方 PCI 安全标准委员会网站。

要将 Microsoft Entra ID 配置为符合 PCI-DSS 要求，请参阅以下文章。

PCI-DSS 定义的方法要求	Microsoft Entra 指南和建议
7.2.1 定义访问控制模型，包括授予如下所示的访问权限：根据实体的业务和访问需求授予适当的访问权限。基于用户作业分类和函数对系统组件和数据资源的访问权限。执行作业函数所需的最低特权（例如，用户、管理员）。	使用 Microsoft Entra ID 直接或通过组成员资格将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.2 向用户分配访问权限（包括特权用户），分配依据为：作业分类和函数。执行作业职责所需的最低特权。	使用 Microsoft Entra ID 直接或通过组成员身份将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.3 所需特权由授权人员批准。	权利管理支持用于授予资源访问权限的审批工作流并和定期访问评审。在权利管理中批准或拒绝访问请求查看权利管理中访问包的访问权限 PIM 支持用于激活 Microsoft Entra 目录角色、Azure 角色和云组的审批工作流。批准或拒绝 PIM 中 Microsoft Entra 角色的请求批准组成员和所有者的激活请求
7.2.4 审查所有用户帐户和相关访问权限（包括第三方/供应商帐户），如下所示：至少每六个月一次。根据作业函数，确保用户帐户和访问权限保持适当。解决任何不适当的访问权限。管理确认访问权限仍然合适。	如果使用直接分配或组成员身份授予对应用程序的访问权限，请配置 Microsoft Entra 访问评审。如果使用权利管理授予对应用程序的访问权限，请在访问包级别启用访问评审。在权利管理中创建访问包的访问评审将 Microsoft Entra 外部 ID 用于第三方帐户和供应商帐户。可以针对外部标识（例如第三方或供应商帐户）执行访问评审。使用访问评审管理来宾访问权限
7.2.5 所有应用程序和系统帐户以及相关访问权限的分配和管理方式如下：基于系统或应用程序可操作性所需的最低特权。访问仅限于专门需要使用它们的系统、应用程序或进程。	使用 Microsoft Entra ID 直接或通过组成员身份将用户分配到应用程序中的角色。将标准化分类实现为属性的组织可以根据用户作业分类和函数自动授予访问权限。使用具有组成员资格的 Microsoft Entra 组，以及具有动态分配策略的 Microsoft Entra 权利管理访问包。使用权利管理定义职责分离，以划分最小特权。当组成员身份表示对 CDE 应用程序或资源的特权访问时，PIM 支持对适用于该自定义方案的 Microsoft Entra 安全组进行 JIT 访问。管理动态成员资格规则在权利管理中配置访问包的自动分配策略在权利管理中配置访问包的职责分离适用于组的 PIM
7.2.5.1 按应用程序和系统帐户进行的所有访问以及相关访问特权按如下所示进行评审：定期（按实体的目标风险分析中定义的频率，该分析根据要求 12.3.1 中指定的所有元素执行）。应用程序/系统访问保持适用于正在执行的函数。解决任何不适当的访问权限。管理确认访问权限保持合适。	评审服务帐户权限时的最佳做法。治理 Microsoft Entra 服务帐户治理本地服务帐户
7.2.6 所有用户对已存储持卡人数据的查询存储库的访问受到如下限制：通过应用程序或其他编程方法、使用基于用户角色和最低特权的访问权限与允许的操作。只有负责的管理员可以直接访问或查询已存储持卡人数据 (CHD) 的存储库。	新式应用程序支持使用编程方法限制对数据存储库的访问。使用 OAuth 和 OpenID 连接 (OIDC) 等新式身份验证协议将应用程序与 Microsoft Entra ID 集成。 Microsoft 标识平台上的 OAuth 2.0 和 OIDC 协议定义特定于应用程序的角色，以建立特权和非特权用户访问模型。将用户或组分配到角色。将应用角色添加到应用程序并在令牌中接收角色对于由应用程序公开的 API，请定义 OAuth 范围以启用用户和管理员同意。 Microsoft 标识平台中的范围和权限使用以下方法建立存储库的特权和非特权访问模型，并避免直接访问存储库。如果管理员和操作员需要访问权限，请根据基础平台授予访问权限。例如，Azure 中的 ARM IAM 分配、访问控制列表 (ACL) 窗口等。请参阅体系结构指导，其中包括保护 Azure 中的应用程序平台即服务 (PaaS) 和基础结构即服务 (IaaS) 。 Azure 体系结构中心

通过

Microsoft Entra ID 和 PCI-DSS 要求 7

7.1 定义和理解按业务须知限制访问系统组件和持卡人数据的过程和机制。

7.2 正确定义和分配对系统组件和数据的访问权限。

7.3 通过访问控制系统管理对系统组件和数据的访问。

后续步骤

反馈

其他资源