Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication
Informationstillägg: Multi-Factor Authentication v 1.0
Använd följande tabell med autentiseringsmetoder som stöds av Microsoft Entra-ID för att uppfylla kraven i PCI Security Standards Council Information Supplement, Multi-Factor Authentication v 1.0.
| Metod | För att uppfylla kraven | Skydd | MFA-element |
|---|---|---|---|
| Lösenordsfri telefoninloggning med Microsoft Authenticator | Något du har (enhet med en nyckel), något du känner till eller är (PIN-kod eller biometrisk) I iOS lagrar Authenticator Secure Element (SE) nyckeln i nyckelringen. Apple Platform Security, Nyckelringsdataskydd I Android använder Authenticator Trusted Execution Engine (TEE) genom att lagra nyckeln i Keystore. Utvecklare, Android Keystore-system När användare autentiserar med Microsoft Authenticator genererar Microsoft Entra-ID ett slumptal som användaren anger i appen. Den här åtgärden uppfyller kravet på out-of-band-autentisering. |
Kunder konfigurerar enhetsskyddsprinciper för att minska risken för att enheten komprometteras. Till exempel Efterlevnadsprinciper för Microsoft Intune. | Användare låser upp nyckeln med gesten och sedan validerar Microsoft Entra-ID autentiseringsmetoden. |
| översikt över Windows Hello för företag distributionsförutsättning | Något du har (Windows-enhet med en nyckel) och något du vet eller är (PIN-kod eller biometrisk). Nycklar lagras med TPM (Device Trusted Platform Module). Kunder använder enheter med TPM 2.0 eller senare för att uppfylla autentiseringsmetodens oberoende och out-of-band-krav. Certifierade autentiseringsnivåer |
Konfigurera enhetsskyddsprinciper för att minska risken för att enheten komprometteras. Till exempel Efterlevnadsprinciper för Microsoft Intune. | Användare låser upp nyckeln med gesten för windows-enhetsinloggning. |
| Aktivera inloggning med lösenordslös säkerhetsnyckel, aktivera FIDO2-säkerhetsnyckelmetod | Något som du har (FIDO2-säkerhetsnyckel) och något du vet eller är (PIN-kod eller biometrisk). Nycklar lagras med kryptografiska maskinvarufunktioner. Kunder använder FIDO2-nycklar, minst autentiseringscertifieringsnivå 2 (L2) för att uppfylla autentiseringsmetodens oberoende och out-of-band-krav. |
Skaffa maskinvara med skydd mot manipulering och intrång. | Användare låser upp nyckeln med gesten och sedan validerar Microsoft Entra-ID autentiseringsuppgifterna. |
| Översikt över Microsoft Entra-certifikatbaserad autentisering | Något du har (smartkort) och något du vet (PIN-kod). Fysiska smartkort eller virtuella smartkort som lagras i TPM 2.0 eller senare är ett säkert element (SE). Den här åtgärden uppfyller autentiseringsmetodens oberoende och out-of-band-krav. |
Skaffa smartkort med skydd mot manipulering och kompromisser. | Användare låser upp certifikatets privata nyckel med gesten, eller PIN-koden, och sedan validerar Microsoft Entra-ID autentiseringsuppgifterna. |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication (du är här)