Freigeben über


PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra

Information Supplement: Multi-Factor Authentication v 1.0

Verwenden Sie die folgende Tabelle der von Microsoft Entra ID unterstützten Authentifizierungsmethoden, um die Anforderungen im Information Supplement, Multi-Factor Authentication v1.0 des PCI Security Standards Council zu erfüllen.

Methode Erfüllen der Anforderungen Schutz MFA-Element
Kennwortlose Anmeldung per Telefon mit Microsoft Authenticator Etwas, das Sie besitzen (Gerät mit einem Schlüssel), etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal)
In iOS speichert Authenticator Secure Element (SE) den Schlüssel im Schlüsselbund. Sicherheit der Apple-Plattformen, Schlüsselbund-Datenschutz
In Android verwendet Authenticator die Trusted Execution Engine (TEE), indem der Schlüssel im Keystore gespeichert wird. Entwickler, Android Keystore-System
Wenn sich Benutzer mit Microsoft Authenticator authentifizieren, generiert Microsoft Entra ID eine zufällige Zahl, die die Benutzer in der App eingeben. Diese Aktion erfüllt die Out-of-Band-Authentifizierungsanforderung.
Kunden konfigurieren Geräteschutzrichtlinien, um das Risiko von Gerätekompromittierungen zu minimieren. Beispiel: Microsoft Intune Konformitätsrichtlinien. Benutzer*innen entsperren den Schlüssel mit der Geste, dann überprüft Microsoft Entra ID die Authentifizierungsmethode.
Bereitstellung von Windows Hello for Business: Übersicht über die Voraussetzungen Etwas, das Sie besitzen (Windows-Gerät mit einem Schlüssel), und etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal).
Schlüssel werden mit dem TPM (Trusted Platform Module) des Geräts gespeichert. Kunden verwenden Geräte mit Hardware TPM 2.0 oder höher, um die Anforderungen an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderungen zu erfüllen.
Zertifizierte Authentifikatorstufen
Konfigurieren von Geräteschutzrichtlinien, um das Risiko von Gerätekompromittierungen zu minimieren. Beispiel: Microsoft Intune Konformitätsrichtlinien. Benutzer*innen entsperren den Schlüssel mit der Geste für die Windows-Geräteanmeldung.
Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln, Aktivieren der FIDO2-Sicherheitsschlüsselmethode Etwas, das Sie besitzen (FIDO2-Sicherheitsschlüssel) und etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal).
Schlüssel werden mit kryptografischen Hardwarefeatures gespeichert. Kunden verwenden FIDO2-Schlüssel, mindestens Authentifizierungszertifizierungsstufe 2 (L2), um die Anforderung an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderung zu erfüllen.
Bereitstellen von Hardware mit Schutz vor Manipulation und Kompromittierung. Benutzer*innen entsperren den Schlüssel mit der Geste, dann überprüft Microsoft Entra ID die Anmeldeinformationen.
Übersicht über die zertifikatbasierte Microsoft Entra-Authentifizierung Etwas, das Sie besitzen (Smartcard) und etwas, das Sie kennen (PIN).
Physische Smartcards oder virtuelle Smartcards, die in TPM 2.0 oder höher gespeichert sind, sind ein Secure Element (SE). Diese Aktion erfüllt die Anforderung an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderung.
Bereitstellen von Smartcards mit Schutz vor Manipulation und Kompromittierung. Benutzer*innen entsperren den privaten Zertifikatschlüssel mit der Geste oder PIN, und Microsoft Entra ID überprüft die Anmeldeinformationen.

Nächste Schritte

Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.

Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.