PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra
Information Supplement: Multi-Factor Authentication v 1.0
Verwenden Sie die folgende Tabelle der von Microsoft Entra ID unterstützten Authentifizierungsmethoden, um die Anforderungen im Information Supplement, Multi-Factor Authentication v1.0 des PCI Security Standards Council zu erfüllen.
Methode | Erfüllen der Anforderungen | Schutz | MFA-Element |
---|---|---|---|
Kennwortlose Anmeldung per Telefon mit Microsoft Authenticator | Etwas, das Sie besitzen (Gerät mit einem Schlüssel), etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal) In iOS speichert Authenticator Secure Element (SE) den Schlüssel im Schlüsselbund. Sicherheit der Apple-Plattformen, Schlüsselbund-Datenschutz In Android verwendet Authenticator die Trusted Execution Engine (TEE), indem der Schlüssel im Keystore gespeichert wird. Entwickler, Android Keystore-System Wenn sich Benutzer mit Microsoft Authenticator authentifizieren, generiert Microsoft Entra ID eine zufällige Zahl, die die Benutzer in der App eingeben. Diese Aktion erfüllt die Out-of-Band-Authentifizierungsanforderung. |
Kunden konfigurieren Geräteschutzrichtlinien, um das Risiko von Gerätekompromittierungen zu minimieren. Beispiel: Microsoft Intune Konformitätsrichtlinien. | Benutzer*innen entsperren den Schlüssel mit der Geste, dann überprüft Microsoft Entra ID die Authentifizierungsmethode. |
Bereitstellung von Windows Hello for Business: Übersicht über die Voraussetzungen | Etwas, das Sie besitzen (Windows-Gerät mit einem Schlüssel), und etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal). Schlüssel werden mit dem TPM (Trusted Platform Module) des Geräts gespeichert. Kunden verwenden Geräte mit Hardware TPM 2.0 oder höher, um die Anforderungen an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderungen zu erfüllen. Zertifizierte Authentifikatorstufen |
Konfigurieren von Geräteschutzrichtlinien, um das Risiko von Gerätekompromittierungen zu minimieren. Beispiel: Microsoft Intune Konformitätsrichtlinien. | Benutzer*innen entsperren den Schlüssel mit der Geste für die Windows-Geräteanmeldung. |
Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln, Aktivieren der FIDO2-Sicherheitsschlüsselmethode | Etwas, das Sie besitzen (FIDO2-Sicherheitsschlüssel) und etwas, das Sie kennen oder sind (PIN oder biometrisches Merkmal). Schlüssel werden mit kryptografischen Hardwarefeatures gespeichert. Kunden verwenden FIDO2-Schlüssel, mindestens Authentifizierungszertifizierungsstufe 2 (L2), um die Anforderung an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderung zu erfüllen. |
Bereitstellen von Hardware mit Schutz vor Manipulation und Kompromittierung. | Benutzer*innen entsperren den Schlüssel mit der Geste, dann überprüft Microsoft Entra ID die Anmeldeinformationen. |
Übersicht über die zertifikatbasierte Microsoft Entra-Authentifizierung | Etwas, das Sie besitzen (Smartcard) und etwas, das Sie kennen (PIN). Physische Smartcards oder virtuelle Smartcards, die in TPM 2.0 oder höher gespeichert sind, sind ein Secure Element (SE). Diese Aktion erfüllt die Anforderung an die Unabhängigkeit der Authentifizierungsmethode und die Out-of-Band-Anforderung. |
Bereitstellen von Smartcards mit Schutz vor Manipulation und Kompromittierung. | Benutzer*innen entsperren den privaten Zertifikatschlüssel mit der Geste oder PIN, und Microsoft Entra ID überprüft die Anmeldeinformationen. |
Nächste Schritte
Die Anforderungen des Datensicherheitsstandards der Zahlungskartenbranche (Payment Card Industry Data Security Standard, PCI-DSS) 3, 4, 9 und 12 gelten nicht für Microsoft Entra ID. Daher gibt es keine entsprechenden Artikel. Alle Anforderungen finden Sie auf pcisecuritystandards.org: Offizielle Website des PCI Security Standards Council.
Informationen zum Konfigurieren von Microsoft Entra ID zur Einhaltung der PCI-DSS-Anforderungen finden Sie in den folgenden Artikeln.
- PCI-DSS-Leitfaden für Microsoft Entra
- Anforderung 1: Installieren und Verwalten von Netzwerksicherheitskontrollen
- Anforderung 2: Anwenden sicherer Konfigurationen auf alle Systemkomponenten
- Anforderung 5: Schutz aller Systeme und Netzwerke vor Schadsoftware
- Anforderung 6: Entwicklung und Wartung sicherer Systeme und Software
- Anforderung 7: Einschränken des Zugriffs auf Systemkomponenten und Karteninhaberdaten nach Geschäftsanforderungen
- Anforderung 8: Identifizierung von Benutzern und Authentisierung von Zugriff auf Systemkomponenten
- Anforderung 10: Protokollierung und Überwachung des gesamten Zugriffs auf Systemkomponenten und Karteninhaberdaten
- Anforderung 11: Regelmäßiges Testen der Sicherheit von Systemen und Netzwerken
- PCI-DSS-Leitfaden für die Multi-Faktor-Authentifizierung von Microsoft Entra (aktueller Artikel)