Ler em inglês

Partilhar via


Orientação de autenticação multifator PCI-DSS do Microsoft Entra

Suplemento de informação: Multi-Factor Authentication v 1.0

Use a tabela a seguir de métodos de autenticação suportados pelo Microsoft Entra ID para atender aos requisitos do Suplemento de Informações do PCI Security Standards Council , Multi-Factor Authentication v 1.0.

Método Para atender aos requisitos Proteção Elemento MFA
Login de telefone sem senha com o Microsoft Authenticator Algo que você tem (dispositivo com uma chave), algo que você sabe ou é (PIN ou biometria)
No iOS, o Authenticator Secure Element (SE) armazena a chave no Porta-chaves. Apple Platform Security, Proteção
de dados do Keychain No Android, o Authenticator usa o Trusted Execution Engine (TEE) armazenando a chave no Keystore. Desenvolvedores, sistema
Android Keystore Quando os usuários se autenticam usando o Microsoft Authenticator, o Microsoft Entra ID gera um número aleatório que o usuário insere no aplicativo. Esta ação cumpre o requisito de autenticação fora de banda.
Os clientes configuram políticas de proteção de dispositivos para reduzir o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. Os usuários desbloqueiam a chave com o gesto e, em seguida, o Microsoft Entra ID valida o método de autenticação.
Visão geral dos pré-requisitos de implantação do Windows Hello for Business Algo que você tem (dispositivo Windows com uma chave) e algo que você sabe ou é (PIN ou biometria).
As chaves são armazenadas com o Trusted Platform Module (TPM) do dispositivo. Os clientes usam dispositivos com hardware TPM 2.0 ou posterior para atender aos requisitos de independência do método de autenticação e fora de banda.
Níveis de autenticador certificado
Configure políticas de proteção de dispositivo para reduzir o risco de comprometimento do dispositivo. Por exemplo, políticas de conformidade do Microsoft Intune. Os usuários desbloqueiam a chave com o gesto para entrar no dispositivo Windows.
Ativar login de chave de segurança sem senha, Habilitar método de chave de segurança FIDO2 Algo que você tem (chave de segurança FIDO2) e algo que você sabe ou é (PIN ou biometria).
As chaves são armazenadas com recursos criptográficos de hardware. Os clientes usam chaves FIDO2, pelo menos o Nível de Certificação de Autenticação 2 (L2) para atender à independência do método de autenticação e ao requisito de fora da banda.
Adquira hardware com proteção contra adulteração e comprometimento. Os usuários desbloqueiam a chave com o gesto e, em seguida, o Microsoft Entra ID valida a credencial.
Visão geral da autenticação baseada em certificado do Microsoft Entra Algo que você tem (cartão inteligente) e algo que você sabe (PIN).
Os cartões inteligentes físicos ou cartões inteligentes virtuais armazenados no TPM 2.0 ou posterior são um Elemento Seguro (SE). Essa ação atende à independência do método de autenticação e ao requisito de fora da banda.
Adquira cartões inteligentes com proteção contra adulteração e comprometimento. Os usuários desbloqueiam a chave privada do certificado com o gesto ou PIN e, em seguida, o Microsoft Entra ID valida a credencial.

Próximos passos

Os requisitos 3, 4, 9 e 12 do PCI-DSS não são aplicáveis ao Microsoft Entra ID, portanto, não há artigos correspondentes. Para ver todos os requisitos, acesse pcisecuritystandards.org: Site Oficial do PCI Security Standards Council.

Para configurar o Microsoft Entra ID para estar em conformidade com PCI-DSS, consulte os seguintes artigos.