Conseils d’authentification multifacteur Microsoft Entra PCI-DSS
Supplément d’informations : Multi-Factor Authentication v 1.0
Utilisez le tableau suivant des méthodes d’authentification prises en charge par Microsoft Entra ID pour répondre aux exigences du Supplément d’informations sur l’authentification multifacteur v 1.0 du Conseil des normes de sécurité PCI.
| Méthode | Pour répondre aux exigences | Protection | Élément MFA |
|---|---|---|---|
| Connexion par téléphone sans mot de passe avec Microsoft Authenticator | Quelque chose que vous avez (appareil avec une clé), quelque chose que vous connaissez ou que vous êtes (code confidentiel ou biométrie) Dans iOS, Authenticator Secure Element (SE) stocke la clé dans un trousseau. Sécurité de la plateforme Apple, protection des données du trousseau Dans Android, Authenticator utilise le moteur d’exécution de confiance (TEE) en stockant la clé dans un magasin de clés. Développeurs, système Android Keystore Lorsque les utilisateurs s’authentifient à l’aide de Microsoft Authenticator, Microsoft Entra ID génère un nombre aléatoire que l’utilisateur entre dans l’application. Cette action répond à l’exigence d’authentification hors bande. |
Les clients configurent des stratégies de protection des appareils pour atténuer les risques de compromission des appareils. Par exemple, les stratégies de conformité Microsoft Intune. | Les utilisateurs déverrouillent la clé par un geste, puis Microsoft Entra ID valide la méthode d’authentification. |
| Vue d’ensemble de la configuration requise pour le déploiement de Windows Hello Entreprise | Quelque chose que vous avez (appareil Windows avec une clé) et quelque chose que vous connaissez ou que vous êtes (code confidentiel ou biométrique). Les clés sont stockées avec le module de plateforme sécurisée (TPM) de l’appareil. Les clients utilisent des appareils avec le module TPM matériel 2.0 ou version ultérieure pour répondre à l’indépendance de la méthode d’authentification et aux exigences hors bande. Niveaux d’authentificateur certifié |
Configurer des stratégies de protection des appareils pour atténuer les risques de compromission des appareils. Par exemple, les stratégies de conformité Microsoft Intune. | Les utilisateurs déverrouillent la clé par un geste pour se connecter à l’appareil Windows. |
| Activer la connexion par clé de sécurité sans mot de passe, Activer la méthode par clé de sécurité FIDO2 | Quelque chose que vous avez (clé de sécurité FIDO2) et quelque chose que vous connaissez ou que vous êtes (code confidentiel ou biométrique). Les clés sont stockées avec des fonctionnalités de chiffrement matérielles. Les clients utilisent des clés FIDO2, au moins le niveau de certification d’authentification 2 (L2) pour répondre à l’indépendance de la méthode d’authentification et aux exigences hors bande. |
Procurez-vous un matériel avec une protection contre la falsification et la compromission. | Les utilisateurs déverrouillent la clé par un geste, puis Microsoft Entra ID valide les informations d'identification. |
| Présentation de l'authentification basée sur le certificat Microsoft Entra | Quelque chose que vous avez (carte à puce) et quelque chose que vous connaissez (code confidentiel). Les cartes à puce physiques ou les cartes à puce virtuelles stockées dans TPM 2.0 ou version ultérieure sont un élément sécurisé (SE). Cette action répond à l’indépendance de la méthode d’authentification et aux exigences hors bande. |
Procurez-vous des cartes à puce avec une protection contre la falsification et la compromission. | Les utilisateurs déverrouillent la clé privée du certificat par un geste ou un code confidentiel, puis Microsoft Entra ID valide les informations d’identification. |
Étapes suivantes
Les exigences 3, 4, 9 et 12 de la norme PCI-DSS ne s’appliquent pas à Microsoft Entra ID. Par conséquent, il n’existe aucun article correspondant. Pour consulter toutes les exigences, rendez-vous sur le site pcisecuritystandards.org : Site officiel du Conseil des normes de sécurité PCI.
Pour configurer Microsoft Entra ID pour qu'il soit conforme à PCI-DSS, consultez les articles suivants.
- Aide relative à Microsoft Entra et à la norme PCI-DSS
- Exigence 1 : installer et gérer des contrôles de sécurité réseau
- Exigence 2 : appliquer des configurations sécurisées à tous les composants système
- Exigence 5 : protéger tous les systèmes et réseaux contre des logiciels malveillants
- Exigence 6 : développer et gérer des systèmes et logiciels sécurisés
- Exigence 7 : restreindre l’accès aux composants système et aux données des titulaires de carte aux seuls individus qui doivent les connaître
- Exigence 8 : identifier des utilisateurs et authentifier l’accès aux composants système
- Exigence 10 : Enregistrer et surveiller tous les accès aux composants système et aux données de titulaires de carte
- Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
- Conseils d’authentification multifacteur Microsoft Entra PCI-DSS (Vous êtes ici)