Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication
Informatiesupplement: Multi-Factor Authentication v 1.0
Gebruik de volgende tabel met verificatiemethoden die worden ondersteund door Microsoft Entra ID om te voldoen aan de vereisten in het Informatiesupplement van de PCI Security Standards Council , Multi-Factor Authentication v 1.0.
| Wijze | Aan de vereisten voldoen | Beveiliging | MFA-element |
|---|---|---|---|
| Telefoon zonder wachtwoord aanmelden met Microsoft Authenticator | Iets dat u hebt (apparaat met een sleutel), iets wat u weet of (pincode of biometrie) In iOS slaat Authenticator Secure Element (SE) de sleutel op in de sleutelhanger. Apple Platform Security, Sleutelhangergegevensbeveiliging in Android, Authenticator maakt gebruik van Trusted Execution Engine (TEE) door de sleutel op te slaan in Keystore. Ontwikkelaars, Android Keystore-systeem Wanneer gebruikers zich verifiëren met Behulp van Microsoft Authenticator, genereert Microsoft Entra ID een willekeurig nummer dat de gebruiker invoert in de app. Deze actie voldoet aan de out-of-band-verificatievereiste. |
Klanten configureren beleidsregels voor apparaatbeveiliging om risico's voor inbreuk op apparaten te beperken. Bijvoorbeeld microsoft Intune-nalevingsbeleid. | Gebruikers ontgrendelen de sleutel met het gebaar en vervolgens valideert Microsoft Entra ID de verificatiemethode. |
| Overzicht van vereisten voor Windows Hello voor Bedrijven-implementatie | Iets dat u hebt (Windows-apparaat met een sleutel) en iets wat u weet of bent (pincode of biometrie). Sleutels worden opgeslagen met TPM (Trusted Platform Module). Klanten gebruiken apparaten met hardware TPM 2.0 of hoger om te voldoen aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereisten. Gecertificeerde verificatorniveaus |
Configureer apparaatbeveiligingsbeleid om risico's voor apparaatinbreuk te beperken. Bijvoorbeeld microsoft Intune-nalevingsbeleid. | Gebruikers ontgrendelen de sleutel met het gebaar voor aanmelding van Windows-apparaten. |
| Aanmelden met wachtwoordloze beveiligingssleutel inschakelen, FIDO2-beveiligingssleutelmethode inschakelen | Iets dat u hebt (FIDO2-beveiligingssleutel) en iets wat u weet of die (pincode of biometrie) zijn. Sleutels worden opgeslagen met cryptografische hardwarefuncties. Klanten gebruiken FIDO2-sleutels, ten minste verificatiecertificeringsniveau 2 (L2) om te voldoen aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereiste. |
Hardware aanschaffen met bescherming tegen manipulatie en inbreuk. | Gebruikers ontgrendelen de sleutel met de beweging en vervolgens valideert Microsoft Entra ID de referentie. |
| Overzicht van verificatie op basis van Microsoft Entra-certificaten | Iets wat u hebt (smartcard) en iets wat u weet (pincode). Fysieke smartcards of virtuele smartcards die zijn opgeslagen in TPM 2.0 of hoger, zijn een beveiligd element (SE). Deze actie voldoet aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereiste. |
Smartcards aanschaffen met bescherming tegen manipulatie en inbreuk. | Gebruikers ontgrendelen de persoonlijke sleutel van het certificaat met de beweging of pincode en vervolgens valideert Microsoft Entra ID de referentie. |
Volgende stappen
PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.
Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.
- Richtlijnen voor Microsoft Entra PCI-DSS
- Vereiste 1: Netwerkbeveiligingsbeheer installeren en onderhouden
- Vereiste 2: Veilige configuraties toepassen op alle systeemonderdelen
- Vereiste 5: Alle systemen en netwerken beschermen tegen schadelijke software
- Vereiste 6: Veilige systemen en software ontwikkelen en onderhouden
- Vereiste 7: Toegang tot systeemonderdelen en kaartaanduidingsgegevens beperken door zakelijke noodzaak
- Vereiste 8: Gebruikers identificeren en toegang tot systeemonderdelen verifiëren
- Vereiste 10: Alle toegang tot systeemonderdelen en kaartaanduidingsgegevens registreren en bewaken
- Vereiste 11: De beveiliging van systemen en netwerken regelmatig testen
- Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication (u bent hier)
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor