Leggere in inglese

Condividi tramite


Linee guida per la Multi-Factor Authentication PCI-DSS di Microsoft Entra

Supplemento informazioni: Multi-Factor Authentication v 1.0

Usare la tabella seguente dei metodi di autenticazione supportati da Microsoft Entra ID per soddisfare i requisiti in PCI Security Standards Council Information Supplement, Multi-Factor Authentication v 1.0.

metodo Per soddisfare i requisiti Protezione Elemento MFA
Accesso tramite telefono senza password con Microsoft Authenticator Un elemento (dispositivo con una chiave), un elemento noto o biometrico
in iOS, Authenticator Secure Element (SE) archivia la chiave in Keychain. Sicurezza della piattaforma Apple, protezione
dei dati Keychain in Android, Authenticator usa trusted execution engine (TEE) archiviando la chiave nell'archivio chiavi. Sviluppatori, sistema
di archivio chiavi Android Quando gli utenti eseguono l'autenticazione con Microsoft Authenticator, Microsoft Entra ID genera un numero casuale immesso dall'utente nell'app. Questa azione soddisfa il requisito di autenticazione fuori banda.
I clienti configurano i criteri di protezione dei dispositivi per ridurre i rischi di compromissione dei dispositivi. Ad esempio, i criteri di conformità di Microsoft Intune. Gli utenti sbloccano la chiave con il movimento, quindi Microsoft Entra ID convalida il metodo di autenticazione.
Panoramica dei prerequisiti per la distribuzione di Windows Hello for Business Qualcosa che hai (dispositivo Windows con una chiave) e qualcosa che sai o sono (PIN o biometrico).
Le chiavi vengono archiviate con il modulo TPM (Trusted Platform Module) del dispositivo. I clienti usano dispositivi con hardware TPM 2.0 o versione successiva per soddisfare i requisiti di indipendenza del metodo di autenticazione e fuori banda.
Livelli di autenticatore certificati
Configurare i criteri di protezione dei dispositivi per ridurre i rischi di compromissione dei dispositivi. Ad esempio, i criteri di conformità di Microsoft Intune. Gli utenti sbloccano la chiave con il movimento per l'accesso al dispositivo Windows.
Abilitare l'accesso tramite chiave di sicurezza senza password, abilitare il metodo della chiave di sicurezza FIDO2 Un elemento che hai (chiave di sicurezza FIDO2) e qualcosa che conosci o sei (PIN o biometrico).
Le chiavi vengono archiviate con funzionalità di crittografia hardware. I clienti usano chiavi FIDO2, almeno il livello di certificazione di autenticazione 2 (L2) per soddisfare il requisito di indipendenza del metodo di autenticazione e fuori banda.
Procurare hardware con protezione contro manomissioni e compromissioni. Gli utenti sbloccano la chiave con il movimento, quindi Microsoft Entra ID convalida le credenziali.
Panoramica dell'autenticazione basata su certificati Di Microsoft Entra Qualcosa che hai (smart card) e qualcosa che conosci (PIN).
Le smart card fisiche o le smart card virtuali archiviate in TPM 2.0 o versione successiva sono un elemento secure (SE). Questa azione soddisfa il requisito di indipendenza del metodo di autenticazione e fuori banda.
Procurarsi smart card con protezione contro manomissioni e compromessi. Gli utenti sbloccano la chiave privata del certificato con il movimento o il PIN, quindi Microsoft Entra ID convalida le credenziali.

Passaggi successivi

I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili a Microsoft Entra ID, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.

Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.