Поделиться через


Руководство по многофакторной идентификации Microsoft Entra PCI-DSS

Дополнение к информации: Многофакторная идентификация версии 1.0

Используйте следующую таблицу методов проверки подлинности, поддерживаемых идентификатором Microsoft Entra, чтобы соответствовать требованиям в дополнение к сведениям Совета безопасности PCI, Многофакторной идентификации версии 1.0.

Способ Соответствие требованиям Защита Элемент MFA
Вход без пароля телефона с помощью Microsoft Authenticator У вас есть (устройство с ключом), то, что вы знаете или знаете (ПИН-код или биометрические) в iOS, Authenticator Secure Element (SE)
сохраняет ключ в цепочке ключей. Apple Platform Security, защита
данных цепочки ключей в Android, Authenticator использует доверенный модуль выполнения (TEE), сохраняя ключ в хранилище ключей. Разработчики, система
Хранилища ключей Android, когда пользователи проходят проверку подлинности с помощью Microsoft Authenticator, идентификатор Microsoft Entra создает случайное число, которое пользователь вводит в приложение. Это действие выполняет требование проверки подлинности вне полосы.
Клиенты настраивают политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия Microsoft Intune. Пользователи разблокируйте ключ жестом, а идентификатор Microsoft Entra проверяет метод проверки подлинности.
Обзор необходимых компонентов развертывания Windows Hello для бизнеса У вас есть что-то (устройство Windows с ключом), и то, что вы знаете или являются (ПИН-код или биометрические данные).
Ключи хранятся с помощью доверенного платформенного модуля устройства (TPM). Клиенты используют устройства с аппаратным TPM 2.0 или более поздней версии для удовлетворения требований к методу проверки подлинности и неувязким требованиям.
Уровни сертифицированного аутентификатора
Настройте политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия Microsoft Intune. Пользователи разблокируйте ключ с помощью жеста входа на устройство Windows.
Включение входа ключа безопасности без пароля, включение метода ключа безопасности FIDO2 Что-то, что у вас есть (ключ безопасности FIDO2) и то, что вы знаете или являются (ПИН-код или биометрические данные).
Ключи хранятся с аппаратными функциями шифрования. Клиенты используют ключи FIDO2, по крайней мере уровень сертификации проверки подлинности 2 (L2) для удовлетворения требований к методу проверки подлинности и вне полосы.
Приобретение оборудования с защитой от незаконного изменения и компрометации. Пользователи разблокируйте ключ жестом, а идентификатор Microsoft Entra проверяет учетные данные.
Обзор проверки подлинности на основе сертификата Microsoft Entra У вас есть (смарт-карта) и то, что вы знаете (ПИН-код).
Физические смарт-карты или виртуальные смарт-карты, хранящиеся в TPM 2.0 или более поздней версии, являются безопасным элементом (SE). Это действие соответствует требованиям к методу проверки подлинности и требованиям вне диапазона.
Приобретение смарт-карт с защитой от незаконного изменения и компрометации. Пользователи разблокировки закрытого ключа сертификата с помощью жеста или ПИН-кода, а затем идентификатор Microsoft Entra проверяет учетные данные.

Следующие шаги

Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.