Microsoft Entra ID 和 PCI-DSS 需求 8
需求 8:識別使用者並驗證系統元件的存取權
定義方法需求
8.1 定義並瞭解識別使用者和驗證系統元件存取的程序和機制。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.1.1 需求 8 中識別的所有安全策略和作業程序均為: 已記錄 保持最新狀態 使用中 所有受影響的合作方均已知曉 |
使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
| 8.1.2 需求 8 中執行活動的角色和責任會予以記載、指派及瞭解。 | 使用此處的指導和連結來產生文件,以滿足依據您環境設定的需求。 |
8.2 在帳戶的整個生命週期中,嚴格管理使用者和系統管理員的使用者識別碼和相關帳戶。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.2.1 所有使用者在允許存取系統元件或持卡人資料之前,獲指派唯一識別碼。 | 對於依賴 Microsoft Entra ID 的 CDE 應用程式,唯一的使用者識別碼是使用者主體名稱 (UPN) 屬性。 Microsoft Entra UserPrincipalName 填入 |
| 8.2.2 群組、共用或泛型帳戶或其他共用驗證認證,只有在例外狀況需要時才使用,而且會依照下列方式進行管理:除非特殊情況需要,否則會防止使用 帳戶。 使用僅限於特殊情況所需的時間。 記載使用的業務理由。 授與帳戶存取權之前,管理 已確認個別使用者身分識別的明確核准使用。 每個所採取的動作都歸咎於個別使用者。 |
請確定使用 Microsoft Entra ID 進行應用程式存取的 CDE 具有防止共用帳戶的程序。 將它們建立為需要核准的例外狀況。 針對部署在 Azure 中的 CDE 資源,請使用 Azure 資源的受控識別來代表工作負載身分識別,而不是建立共用服務帳戶。 什麼是 Azure 資源受控識別? 如果您無法使用受控識別,且存取的資源是使用 OAuth 通訊協定,請使用服務主體來代表工作負載身分識別。 透過 OAuth 範圍授與身分識別最低特殊權限存取權。 系統管理員可以限制存取,並定義核准工作流程來建立它們。 什麼是工作負載身分識別? |
| 8.2.3 僅針對服務提供者的其他需求:遠端存取客戶單位的服務提供者對每個客戶單位使用唯一的驗證因素。 | Microsoft Entra ID 具有內部部署連接器,可啟用混合式功能。 連接器是可識別的,並使用唯一產生的認證。 Microsoft Entra Connect Sync:了解和自訂同步處理 雲端同步深入探討 Microsoft Entra 內部部署應用程式佈建架構 規劃雲端人力資源應用程式到 Microsoft Entra 的使用者佈建 安裝 Microsoft Entra Connect Health 代理程式 |
| 8.2.4 新增、刪除及修改使用者識別碼、驗證因素及其他識別碼物件,如下所示: 獲得適當核准的授權。 已實作,且只具有記載核准上指定的權限。 |
Microsoft Entra ID 已從 HR 系統自動佈建使用者帳戶。 使用這項功能來建立生命週期。 什麼是 HR 驅動佈建? Microsoft Entra ID 具有生命週期工作流程,可針對加入者、移動者及離開者流程啟用自訂邏輯。 什麼是生命週期工作流程? Microsoft Entra ID 具有程式設計介面,可透過 Microsoft Graph 管理驗證方法。 某些驗證方法,例如 Windows Hello 企業版和 FIDO2 金鑰,需要使用者介入才能註冊。 開始使用圖形驗證方法 API 系統管理員和/或自動化會使用圖形 API 產生臨時存取密碼認證。 使用此認證進行無密碼上線。 在 Microsoft Entra ID 中設定臨時存取密碼,以註冊無密碼驗證方法 |
| 8.2.5 終止使用者的存取權會立即撤銷。 | 若要撤銷帳戶的存取權,請針對從 Microsoft Entra ID 同步處理的混合式帳戶停用內部部署帳戶、停用 Microsoft Entra ID 中的帳戶,以及撤銷權杖。 撤銷 Microsoft Entra ID 中的使用者存取權 使用持續性存取評估 (CAE) 讓相容的應用程式與 Microsoft Entra ID 進行雙向交談。 應用程式可以收到事件通知,例如帳戶終止和拒絕權杖。 持續性存取評估 |
| 8.2.6 非使用中使用者帳戶會在非使用狀態 90 天內移除或停用。 | 針對混合式帳戶,系統管理員會每隔 90 天檢查 Active Directory 和 Microsoft Entra 中的活動。 針對 Microsoft Entra ID,請使用 Microsoft Graph 來尋找上次登入日期。 如何:管理 Microsoft Entra ID 中的非使用中使用者帳戶 |
| 8.2.7 第三方用來透過遠端存取、支援或維護系統元件的帳戶,如下所示: 只在使用期間內啟用,且未使用時停用。 使用會監視非預期的活動。 |
Microsoft Entra ID 具有外部身分識別管理功能。 使用受控的來賓生命週期搭配權利管理。 外部使用者會在應用程式、資源及存取套件的內容中上線,您可以授與一段有限的期間,而且需要定期存取權檢閱。 檢閱可能會導致帳戶移除或停用。 控管權利管理中外部使用者的存取權 Microsoft Entra ID 會產生使用者和工作階段層級的風險事件。 瞭解如何保護、偵測及回應非預期的活動。 什麼是風險? (機器翻譯) |
| 8.2.8 如果使用者工作階段已閒置超過 15 分鐘,使用者必須重新驗證才能重新啟用終端機或工作階段。 | 將端點管理原則與 Intune 和 Microsoft Endpoint Manager 結合使用。 然後,使用條件式存取允許來自相容裝置的存取。 使用合規性原則來設定您使用 Intune 管理的裝置規則 如果您的 CDE 環境依賴群組原則物件 (GPO),請設定 GPO 以設定閒置逾時。 設定 Microsoft Entra ID,以允許從 Microsoft Entra 混合式聯結裝置存取。 已加入混合式 Microsoft Entra 的裝置 |
8.3 建立並管理使用者和系統管理員的增強式驗證。
如需符合 PCI 需求之 Microsoft Entra 驗證方法的詳細資訊,請參閱:資訊補充:Multi-Factor Authentication。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.3.1 所有使用者對使用者和系統管理員的系統元件存取權都會透過下列其中一個驗證因素進行驗證: 您知道的內容,例如密碼或複雜密碼。 您擁有的權杖裝置或智慧卡 (smart card) 等。 您的特徵,例如生物辨識技術元素。 |
Microsoft Entra ID 需要無密碼方法才能符合 PCI 需求 請參閱整體無密碼部署。 規劃使用 Microsoft Entra ID 進行無密碼驗證部署 |
| 8.3.2 強式密碼編譯是用來在所有系統元件傳輸和儲存期間無法讀取的所有驗證因素。 | Microsoft Entra 識別碼所使用的密碼編譯符合強式密碼編譯 PCI 定義。 Microsoft Entra 資料保護考量 |
| 8.3.3 修改任何驗證因素之前,會先驗證使用者身分識別。 | Microsoft Entra ID 要求使用者使用自助方式來更新其驗證方法,例如 mysecurityinfo 入口網站和自助式密碼重設 (SSPR) 入口網站。 從登入頁面設定安全性資訊 一般條件式存取原則:保護安全性資訊註冊 Microsoft Entra 自助式密碼重設 具有特殊權限角色的系統管理員可以修改驗證因素:全域、密碼、使用者、驗證及特殊權限驗證。 Microsoft Entra ID 中依工作排序的最低特殊權限角色。 Microsoft建議您使用 Microsoft Entra Privileged Identity Management 啟用 JIT 存取和治理 |
| 8.3.4 無效的驗證嘗試受限於: 在未超過 10 次嘗試之後鎖定使用者識別碼。 將鎖定持續時間設定為至少 30 分鐘,或直到確認使用者的身分識別為止。 |
部署支援硬體信任平台模組 (TPM) 2.0 或更高版本的 Windows Hello 企業版裝置。 對於 Windows Hello 企業版,鎖定與裝置有關。 手勢、PIN 或生物特徵辨識,可解除鎖定本機 TPM 的存取權。 系統管理員會使用 GPO 或 Intune 原則來設定鎖定行為。 TPM 群組原則設定 在向 Intune 註冊的裝置上管理 Windows Hello 企業版 TPM 基本概念 Windows Hello 企業版適用於內部部署驗證至 Active Directory,以及 Microsoft Entra ID 上的雲端資源。 針對 FIDO2 安全性金鑰,暴力密碼破解保護與金鑰相關。 手勢、PIN 或生物特徵辨識,可解除鎖定本機金鑰儲存體的存取權。 系統管理員會設定 Microsoft Entra ID,以允許註冊符合 PCI 需求的製造商的 FIDO2 安全性金鑰。 啟用無密碼安全性金鑰登入 Microsoft Authenticator 應用程式 若要使用 Microsoft Authenticator 應用程式無密碼登入來降低暴力密碼破解攻擊風險,請啟用數字比對和更多內容。 Microsoft Entra ID 會在驗證流程中產生隨機數字。 使用者在驗證器應用程式中輸入它。 行動應用程式驗證提示會顯示位置、要求 IP 位址及要求應用程式。 如何在 MFA 通知中使用數字比對 如何在 Microsoft Authenticator 通知中使用其他內容 |
| 8.3.5 如果密碼/複雜密碼是用來做為符合需求 8.3.1 的驗證因素,則會針對每位使用者進行設定和重設,如下所示: 設定為第一次使用和重設時的唯一值。 強制在第一次使用后立即變更。 |
不適用於 Microsoft Entra ID。 |
| 8.3.6 如果密碼/複雜密碼用來作為符合需求 8.3.1 的驗證因素,則它們符合下列最低複雜性層級: 最小長度為 12 個字元 (或如果系統不支援 12 個字元,最小長度為 8 個字符)。 包含數字及英文字母字元。 |
不適用於 Microsoft Entra ID。 |
| 8.3.7 個人不允許提交與過去四個密碼/複雜密碼中的任何一個相同的新密碼/複雜密碼。 | 不適用於 Microsoft Entra ID。 |
| 8.3.8 驗證原則和程式會記錄並傳達給所有使用者,包括:選取增強式驗證因素的 指導。 使用者應如何保護其驗證因素的指導。 指示不重複使用先前用過的密碼/複雜密碼。 如有任何懷疑或知道密碼/複雜密碼已遭入侵以及如何報告事件的指示,則變更密碼/複雜密碼的指示。 |
記錄原則和程序,然後根據這項需求與使用者進行通訊。 Microsoft 下載中心中提供可自訂的範本。 |
| 8.3.9 如果使用密碼/複雜密碼作為使用者存取的唯一驗證因素 (也就是在任何單一要素驗證實作中),則:密碼/複雜密碼至少每 90 天變更一次 或 動態分析帳戶的安全性狀態,並據以自動判斷資源的即時存取。 |
不適用於 Microsoft Entra ID。 |
| 8.3.10 僅針對服務提供者的其他需求:如果密碼/複雜密碼是客戶使用者存取持卡人資料的唯一驗證因素 (也就是在任何單一因素驗證實作中),則會向客戶使用者提供指導,包括: 讓客戶定期變更其使用者密碼/複雜密碼的指導。 指導何時及在哪些情況下變更密碼/複雜密碼。 |
不適用於 Microsoft Entra ID。 |
| 8.3.10.1 僅針對服務提供者的其他需求:如果密碼/複雜密碼是作為客戶使用者存取的唯一驗證因素 (也就是在任何單一要素驗證實作中),則: 密碼/複雜密碼至少每 90 天變更一次 或 帳戶的安全性狀態會動態分析,而且會自動判斷資源的即時存取權。 |
不適用於 Microsoft Entra ID。 |
| 8.3.11 使用實體或邏輯安全性權杖、智慧卡或憑證等驗證因素: 因素會指派給個別使用者,而不會在多個使用者之間共用。 實體和/或邏輯控制可確保只有預定的使用者可以使用該因素來取得存取權。 |
使用無密碼驗證方法,例如 Windows Hello 企業版、FIDO2 安全性金鑰,以及用於手機登入的 Microsoft Authenticator 應用程式。 根據與使用者相關聯的公用或私人金鑰組使用智慧卡,以防止重複使用。 |
8.4 多重要素驗證 (MFA) 已實作,以保護持卡人資料環境的存取權 (CDE)
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.4.1 MFA 會針對具有系統管理存取權的人員,實作所有非連續存取 CDE。 | 使用條件式存取來要求增強式驗證才能存取 CDE 資源。 定義原則,以系統管理角色為目標,或代表應用程式系統管理存取權的安全性群組。 若要進行系統管理存取,請使用 Microsoft Entra Privileged Identity Management (PIM) 來啟用特殊權限角色的 Just-In-Time (JIT) 啟用。 什麼是條件式存取? 條件式存取範本 開始使用 PIM |
| 8.4.2 針對 CDE 的所有存取實作 MFA。 | 封鎖對不支援增強式驗證的舊版通訊協定的存取。 使用條件式存取封鎖對 Microsoft Entra ID 的舊式驗證 |
| 8.4.3 MFA 是針對源自實體網路外部且可能存取或影響 CDE 的所有遠端網路存取實作,如下所示: 來自實體網路外部的所有人員、使用者及系統管理員的所有遠端存取。 第三方和廠商的所有遠端存取。 |
整合虛擬私人網路 (VPN)、遠端桌面及網路存取點等存取技術,以及用於驗證和授權的 Microsoft Entra ID。 使用條件式存取來要求增強式驗證才能存取遠端存取應用程式。 條件式存取範本 |
8.5 設定多重要素驗證 (MFA) 系統以防止不當使用。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.5.1 MFA 系統會實作如下: MFA 系統不易受到重新執行攻擊。 MFA 系統無法由任何使用者略過,包括系統管理使用者,除非有明確記載,而且在有限時間內由管理授權。 至少使用兩種不同類型的驗證因素。 授與存取權之前,需要所有驗證因素成功。 |
建議 Microsoft Entra 驗證方法使用 nonce 或挑戰。 這些方法會抵抗重新執行攻擊,因為 Microsoft Entra ID 可偵測重新執行的驗證交易。 Windows Hello 企業版、FIDO2 及 Microsoft Authenticator 應用程式進行無密碼手機登入,請使用 nonce 來識別要求並偵測重新執行嘗試。 在 CDE 中使用無密碼認證給使用者。 認證式驗證會使用查問來偵測重新執行嘗試。 使用 Microsoft Entra ID 的 NIST 驗證器保證等級 2 使用 Microsoft Entra ID 的 NIST 驗證器保證等級 3 |
8.6 嚴格管理應用程式與系統帳戶的使用以及相關驗證因素。
| PCI-DSS 定義的方法需求 | Microsoft Entra 指導和建議 |
|---|---|
| 8.6.1 如果系統或應用程式所使用的帳戶可用於互動式登入,則會依下列方式加以管理: 除非特殊情況需要,否則會防止使用互動式。 互動式使用僅限於特殊情況所需的時間。 記載互動式用途的業務理由。 互動式使用是由管理明確核准。 授與帳戶存取權之前,會先確認個別使用者身分識別。 每個所採取的動作都歸咎於個別使用者。 |
對於具有新式驗證的 CDE 應用程式,以及針對使用新式驗證的 Azure 中部署的 CDE 資源,Microsoft Entra ID 有兩種應用程式的服務帳戶類型:受控身分識別和服務主體。 了解 Microsoft Entra 服務帳戶控制:規劃、佈建、生命週期、監視、存取權檢閱等。控管 Microsoft Entra 服務帳戶 保護 Microsoft Entra 服務帳戶。 在 Microsoft Entra ID 中保護受控識別 在 Microsoft Entra ID 中保護服務主體 對於需要存取的 Azure 外部資源之 CDE,設定工作負載身分識別同盟,而不需管理秘密或互動式登入。 工作負載身分識別同盟 若要啟用核准和追蹤流程以符合需求,請使用 IT 服務管理 (ITSM) 和組態管理資料庫 (CMDB) 協調工作流程:這些工具會使用 MS Graph API 與 Microsoft Entra ID 互動及管理服務帳戶。 對於需要與內部部署 Active Directory 相容的服務帳戶的 CDE,請使用群組受控服務帳戶 (GMSA),以及獨立受控服務帳戶 (sMSA)、電腦帳戶或使用者帳戶。 保護內部部署服務帳戶 |
| 8.6.2 任何可用於互動式登入的應用程式和系統帳戶的密碼/複雜密碼不會硬式編碼在指令碼、設定/屬性檔案或定製和自訂原始程式碼中。 | 使用新式服務帳戶,例如不需要密碼的 Azure 受控身分識別和服務主體。 已佈建 Microsoft Entra 受控身分識別認證,並在雲端輪替,以防止使用密碼和複雜密碼等共用密碼。 使用系統指派的受控身分識別時,生命週期會繫結至基礎 Azure 資源生命週期。 使用服務主體以利使用憑證作為認證,這可防止使用密碼和複雜密碼等共用密碼。 如果憑證不可行,請使用 Azure Key Vault 來儲存服務主體用戶端密碼。 使用 Azure Key Vault 的最佳做法 針對需要存取的 Azure 外部資源的 CDE,設定工作負載身分識別同盟,而不需管理秘密或互動式登入。 工作負載身分識別同盟 部署工作負載身分識別的條件式存取,以根據位置和/或風險層級控制授權。 工作負載身分識別的條件式存取 除了先前的指導之外,請使用程式碼分析工具來偵測程式碼和設定檔中的硬式編碼秘密。 偵測程式碼中公開的秘密 安全性規則 |
| 8.6.3 任何應用程式和系統帳戶的密碼/複雜密碼都會受到保護,以防止誤用,如下所示: 密碼/複雜密碼會定期變更 (根據實體目標風險分析中定義的頻率,這會根據需求 12.3.1 中指定的所有元素執行),以及因懷疑或確認入侵而執行。 密碼/複雜密碼是使用足夠的複雜度來建構,適合實體變更密碼/複雜密碼的頻率。 |
使用新式服務帳戶,例如不需要密碼的 Azure 受控身分識別和服務主體。 針對需要具有秘密的服務主體的例外狀況,使用工作流程和自動化將隨機密碼設定為服務主體、定期輪替這些密碼,以及對風險事件做出反應的例外狀況。 安全性作業團隊可以檢閱並補救 Microsoft Entra 所產生的報告,例如風險性工作負載身分識別。 使用 Microsoft Entra ID Protection 保護工作負載身分識別 |
下一步
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。