Lezen in het Engels

Delen via


Richtlijnen voor Microsoft Entra PCI-DSS Multi-Factor Authentication

Informatiesupplement: Multi-Factor Authentication v 1.0

Gebruik de volgende tabel met verificatiemethoden die worden ondersteund door Microsoft Entra ID om te voldoen aan de vereisten in het Informatiesupplement van de PCI Security Standards Council , Multi-Factor Authentication v 1.0.

Wijze Aan de vereisten voldoen Beveiliging MFA-element
Telefoon zonder wachtwoord aanmelden met Microsoft Authenticator Iets dat u hebt (apparaat met een sleutel), iets wat u weet of (pincode of biometrie)
In iOS slaat Authenticator Secure Element (SE) de sleutel op in de sleutelhanger. Apple Platform Security, Sleutelhangergegevensbeveiliging
in Android, Authenticator maakt gebruik van Trusted Execution Engine (TEE) door de sleutel op te slaan in Keystore. Ontwikkelaars, Android Keystore-systeem
Wanneer gebruikers zich verifiëren met Behulp van Microsoft Authenticator, genereert Microsoft Entra ID een willekeurig nummer dat de gebruiker invoert in de app. Deze actie voldoet aan de out-of-band-verificatievereiste.
Klanten configureren beleidsregels voor apparaatbeveiliging om risico's voor inbreuk op apparaten te beperken. Bijvoorbeeld microsoft Intune-nalevingsbeleid. Gebruikers ontgrendelen de sleutel met het gebaar en vervolgens valideert Microsoft Entra ID de verificatiemethode.
Overzicht van vereisten voor Windows Hello voor Bedrijven-implementatie Iets dat u hebt (Windows-apparaat met een sleutel) en iets wat u weet of bent (pincode of biometrie).
Sleutels worden opgeslagen met TPM (Trusted Platform Module). Klanten gebruiken apparaten met hardware TPM 2.0 of hoger om te voldoen aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereisten.
Gecertificeerde verificatorniveaus
Configureer apparaatbeveiligingsbeleid om risico's voor apparaatinbreuk te beperken. Bijvoorbeeld microsoft Intune-nalevingsbeleid. Gebruikers ontgrendelen de sleutel met het gebaar voor aanmelding van Windows-apparaten.
Aanmelden met wachtwoordloze beveiligingssleutel inschakelen, FIDO2-beveiligingssleutelmethode inschakelen Iets dat u hebt (FIDO2-beveiligingssleutel) en iets wat u weet of die (pincode of biometrie) zijn.
Sleutels worden opgeslagen met cryptografische hardwarefuncties. Klanten gebruiken FIDO2-sleutels, ten minste verificatiecertificeringsniveau 2 (L2) om te voldoen aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereiste.
Hardware aanschaffen met bescherming tegen manipulatie en inbreuk. Gebruikers ontgrendelen de sleutel met de beweging en vervolgens valideert Microsoft Entra ID de referentie.
Overzicht van verificatie op basis van Microsoft Entra-certificaten Iets wat u hebt (smartcard) en iets wat u weet (pincode).
Fysieke smartcards of virtuele smartcards die zijn opgeslagen in TPM 2.0 of hoger, zijn een beveiligd element (SE). Deze actie voldoet aan de onafhankelijkheid van de verificatiemethode en out-of-band-vereiste.
Smartcards aanschaffen met bescherming tegen manipulatie en inbreuk. Gebruikers ontgrendelen de persoonlijke sleutel van het certificaat met de beweging of pincode en vervolgens valideert Microsoft Entra ID de referentie.

Volgende stappen

PCI-DSS-vereisten 3, 4, 9 en 12 zijn niet van toepassing op Microsoft Entra-id, daarom zijn er geen bijbehorende artikelen. Als u alle vereisten wilt zien, gaat u naar pcisecuritystandards.org: officiële site van de PCI Security Standards Council.

Zie de volgende artikelen voor het configureren van Microsoft Entra ID om te voldoen aan PCI-DSS.