共用方式為


Microsoft Entra PCI-DSS 多重要素驗證指導

資訊補充:Multi-Factor Authentication v 1.0

使用下列由 Microsoft Entra ID 支援的驗證方法表,以符合 PCI 安全性標準委員會資訊補充、Multi-Factor Authentication v 1.0 中的需求。

方法 若要符合需求 保護 MFA 元素
使用 Microsoft Authenticator 來啟用無密碼手機登入 您擁有的東西 (具有金鑰)、您知道或存在的東西 (PIN 或生物特徵辨識)
在 iOS 中,Authenticator Secure Element (SE) 會將金鑰儲存在 Keychain 中。 Apple Platform Security、Keychain 數據保護
在 Android 中,Authenticator 會藉由將密鑰儲存在 Keystore 中,來使用信任的執行引擎 (TEE)。 開發人員、Android Keystore 系統
當使用者使用 Microsoft Authenticator 進行驗證時,Microsoft Entra ID 會產生使用者在應用程式中輸入的隨機數位。 此動作符合頻帶外驗證需求。
客戶會設定裝置保護原則,以降低裝置危害風險。 例如,Microsoft Intune 合規性政策。 使用者使用手勢解除鎖定金鑰,然後 Microsoft Entra ID 驗證驗證方法。
Windows Hello 企業版部署必要條件概觀 您擁有的東西 (具有金鑰的 Windows 裝置),以及您知道或存在的東西 (PIN 或生物特徵辨識)。
金鑰會與裝置信任平台模組 (TPM) 一起儲存。 客戶使用具有硬體 TPM 2.0 或更新版本的裝置,以符合驗證方法獨立性和頻帶外需求。
認證的驗證器層級
設定裝置保護原則,以降低裝置危害風險。 例如,Microsoft Intune 合規性政策。 使用者使用 Windows 裝置登入的手勢解除鎖定金鑰。
啟用無密碼安全性金鑰登入、啟用 FIDO2 安全性金鑰方法 您擁有的東西 (FIDO2 安全性金鑰) 和您知道或存在的東西 (PIN 或生物特徵辨識)。
金鑰會與硬體密碼編譯功能一起儲存。 客戶至少使用 FIDO2 金鑰,至少驗證認證層級 2 (L2) 以符合驗證方法獨立性和頻帶外需求。
採購硬體,防止竄改和入侵。 使用者使用手勢解除鎖定金鑰,然後 Microsoft Entra ID 驗證認證。
Microsoft Entra 憑證型驗證概觀 您擁有的東西 (智慧卡) 和您知道或存在的東西 (PIN)。
儲存在 TPM 2.0 或更新版本中的實體智慧卡或虛擬智慧卡是防護晶片 (SE)。 此動作符合驗證方法獨立性和頻帶外需求。
購買具有防止竄改和入侵的智慧卡。 使用者會使用手勢或 PIN 解除鎖定憑證私密金鑰,然後Microsoft Entra ID 驗證認證。

下一步

PCI-DSS 需求 34912 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站

若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。