次の方法で共有


Microsoft Entra PCI-DSS 多要素認証ガイダンス

補足情報: 多要素認証 v 1.0

PCI Security Standards Council の「補足情報: 多要素認証 v 1.0」の要件を満たすには、Microsoft Entra ID でサポートされている認証方法に関する次の表を使用してください。

Method 要件を満たすには 保護 MFA 要素
Microsoft Authenticator でのパスワードレスの電話によるサインイン ユーザーが持っているもの (キーが格納されたデバイス)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証)
iOS では、Authenticator セキュア エレメント (SE) によってキーがキーチェーンに格納されます。 Apple プラットフォームのセキュリティ、キーチェーンのデータ保護
Android では、Authenticator は キーストアにキーを格納することで、Trusted Execution Engine (TEE) を使用します。 デベロッパー、Android Keystore システム
ユーザーが Microsoft Authenticator を使用して認証すると、ユーザーがアプリに入力する乱数を Microsoft Entra ID が生成します。 このアクションは、アウトオブバンド認証要件を満たします。
お客様は、デバイスの侵害リスクを軽減するために、デバイス保護ポリシーを構成します。 たとえば、Microsoft Intune のコンプライアンス ポリシーです。 ユーザーがジェスチャを使用してキーのロックを解除すると、Microsoft Entra ID によって認証方法が検証されます。
Windows Hello for Business の展開の前提条件の概要 ユーザーが持っているもの (キーが格納された Windows デバイス)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証)。
キーは、デバイスのトラステッド プラットフォーム モジュール (TPM) と共に格納されます。 お客様は、ハードウェア TPM 2.0 以降が搭載されたデバイスを使用して、認証方法の独立とアウトオブバンド要件を満たします。
認定 Authenticator のレベル
デバイスの侵害リスクを軽減するために、デバイス保護ポリシーを構成します。 たとえば、Microsoft Intune のコンプライアンス ポリシーです。 ユーザーは、Windows デバイスのサインインのジェスチャを使用してキーのロックを解除します。
パスワードなしのセキュリティ キー サインインを有効にする、FIDO2 セキュリティ キーの方法を有効にする ユーザーが持っているもの (FIDO2 セキュリティ キー)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証)。
キーは、ハードウェア暗号化機能と共に格納されます。 お客様は、FIDO2 キー (少なくとも認証認定レベル 2 (L2)) を使用して、認証方法の独立とアウトオブバンド要件を満たします。
改ざんや侵害から保護されたハードウェアを調達します。 ユーザーがジェスチャを使用してキーのロックを解除すると、Microsoft Entra ID によって資格情報が検証されます。
Microsoft Entra 証明書ベースの認証の概要 ユーザーが持っているもの (スマート カード)、ユーザーが知っているもの (PIN)。
TPM 2.0 以降に格納されている物理スマート カードまたは仮想スマート カードは、セキュア エレメント (SE) です。 このアクションは、認証方法の独立とアウトオブバンド要件を満たします。
改ざんや侵害から保護されたスマート カードを調達します。 ユーザーがジェスチャ (PIN) を使用して証明書の秘密キーのロックを解除すると、Microsoft Entra ID によって資格情報が検証されます。

次のステップ

PCI-DSS 要件 34912 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。

PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。