Linee guida per la Multi-Factor Authentication PCI-DSS di Microsoft Entra
Supplemento informazioni: Multi-Factor Authentication v 1.0
Usare la tabella seguente dei metodi di autenticazione supportati da Microsoft Entra ID per soddisfare i requisiti in PCI Security Standards Council Information Supplement, Multi-Factor Authentication v 1.0.
metodo | Per soddisfare i requisiti | Protezione | Elemento MFA |
---|---|---|---|
Accesso tramite telefono senza password con Microsoft Authenticator | Un elemento (dispositivo con una chiave), un elemento noto o biometrico in iOS, Authenticator Secure Element (SE) archivia la chiave in Keychain. Sicurezza della piattaforma Apple, protezione dei dati Keychain in Android, Authenticator usa trusted execution engine (TEE) archiviando la chiave nell'archivio chiavi. Sviluppatori, sistema di archivio chiavi Android Quando gli utenti eseguono l'autenticazione con Microsoft Authenticator, Microsoft Entra ID genera un numero casuale immesso dall'utente nell'app. Questa azione soddisfa il requisito di autenticazione fuori banda. |
I clienti configurano i criteri di protezione dei dispositivi per ridurre i rischi di compromissione dei dispositivi. Ad esempio, i criteri di conformità di Microsoft Intune. | Gli utenti sbloccano la chiave con il movimento, quindi Microsoft Entra ID convalida il metodo di autenticazione. |
Panoramica dei prerequisiti per la distribuzione di Windows Hello for Business | Qualcosa che hai (dispositivo Windows con una chiave) e qualcosa che sai o sono (PIN o biometrico). Le chiavi vengono archiviate con il modulo TPM (Trusted Platform Module) del dispositivo. I clienti usano dispositivi con hardware TPM 2.0 o versione successiva per soddisfare i requisiti di indipendenza del metodo di autenticazione e fuori banda. Livelli di autenticatore certificati |
Configurare i criteri di protezione dei dispositivi per ridurre i rischi di compromissione dei dispositivi. Ad esempio, i criteri di conformità di Microsoft Intune. | Gli utenti sbloccano la chiave con il movimento per l'accesso al dispositivo Windows. |
Abilitare l'accesso tramite chiave di sicurezza senza password, abilitare il metodo della chiave di sicurezza FIDO2 | Un elemento che hai (chiave di sicurezza FIDO2) e qualcosa che conosci o sei (PIN o biometrico). Le chiavi vengono archiviate con funzionalità di crittografia hardware. I clienti usano chiavi FIDO2, almeno il livello di certificazione di autenticazione 2 (L2) per soddisfare il requisito di indipendenza del metodo di autenticazione e fuori banda. |
Procurare hardware con protezione contro manomissioni e compromissioni. | Gli utenti sbloccano la chiave con il movimento, quindi Microsoft Entra ID convalida le credenziali. |
Panoramica dell'autenticazione basata su certificati Di Microsoft Entra | Qualcosa che hai (smart card) e qualcosa che conosci (PIN). Le smart card fisiche o le smart card virtuali archiviate in TPM 2.0 o versione successiva sono un elemento secure (SE). Questa azione soddisfa il requisito di indipendenza del metodo di autenticazione e fuori banda. |
Procurarsi smart card con protezione contro manomissioni e compromessi. | Gli utenti sbloccano la chiave privata del certificato con il movimento o il PIN, quindi Microsoft Entra ID convalida le credenziali. |
I requisiti PCI-DSS 3, 4, 9 e 12 non sono applicabili a Microsoft Entra ID, pertanto non esistono articoli corrispondenti. Per visualizzare tutti i requisiti, passare a pcisecuritystandards.org: Sito ufficiale del Consiglio per gli standard di sicurezza PCI.
Per configurare Microsoft Entra ID in modo che sia conforme a PCI-DSS, vedere gli articoli seguenti.
- Linee guida per Microsoft Entra PCI-DSS
- Requisito 1: Installare e mantenere i controlli di sicurezza di rete
- Requisito 2: Applicare configurazioni sicure a tutti i componenti di sistema
- Requisito 5: Proteggere tutti i sistemi e le reti da software dannosi
- Requisito 6: sviluppare e gestire sistemi e software sicuri
- Requisito 7: limitare l'accesso ai componenti di sistema e ai dati dei titolari da parte del personale per motivi professionali
- Requisito 8: Identificare gli utenti e autenticare l'accesso ai componenti di sistema
- Requisito 10: Registrare e monitorare tutti gli accessi ai componenti di sistema e ai dati di titolari di carte
- Requisito 11: testare regolarmente la sicurezza dei sistemi e delle reti
- Linee guida per Microsoft Entra PCI-DSS Multi-Factor Authentication (qui)