Microsoft Entra ID och PCI-DSS Krav 8
Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter
Definierade metodkrav
8.1 Processer och mekanismer för att identifiera användare och autentisera åtkomst till systemkomponenter definieras och förstås.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.1.1 Alla säkerhetsprinciper och operativa förfaranden som identifieras i krav 8 är: Dokumenterad uppdaterad Användning Känd för alla berörda parter |
Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
| 8.1.2 Roller och ansvarsområden för att utföra aktiviteter i krav 8 dokumenteras, tilldelas och förstås. | Använd vägledningen och länkarna häri för att skapa dokumentationen för att uppfylla kraven baserat på din miljökonfiguration. |
8.2 Användaridentifiering och relaterade konton för användare och administratörer hanteras strikt under ett kontos livscykel.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.2.1 Alla användare tilldelas ett unikt ID innan åtkomst till systemkomponenter eller korthållardata tillåts. | För CDE-program som förlitar sig på Microsoft Entra-ID är det unika användar-ID:t upn-attributet (user principal name). Microsoft Entra UserPrincipalName-population |
| 8.2.2 Grupp, delade eller generiska konton eller andra autentiseringsuppgifter för delad autentisering används endast när det behövs på undantagsbasis och hanteras på följande sätt: Kontoanvändning förhindras såvida det inte behövs i undantagsfall. Användningen är begränsad till den tid som krävs för de exceptionella omständigheterna. Affärsmotivering för användning dokumenteras. Användning godkänns uttryckligen av hantering Individuell användaridentitet bekräftas innan åtkomst till ett konto beviljas. Varje åtgärd som vidtas kan tillskrivas en enskild användare. |
Se till att CDE:er som använder Microsoft Entra-ID för programåtkomst har processer för att förhindra delade konton. Skapa dem som ett undantag som kräver godkännande. För CDE-resurser som distribueras i Azure använder du hanterade identiteter för Azure-resurser för att representera arbetsbelastningsidentiteten i stället för att skapa ett delat tjänstkonto. Vad är hanterade identiteter för Azure-resurser? Om du inte kan använda hanterade identiteter och de resurser som används använder OAuth-protokollet använder du tjänstens huvudnamn för att representera arbetsbelastningsidentiteter. Bevilja identiteter minst privilegierad åtkomst via OAuth-omfång. Administratörer kan begränsa åtkomsten och definiera arbetsflöden för godkännande för att skapa dem. Vad är arbetsbelastningsidentiteter? |
| 8.2.3Ytterligare krav endast för tjänsteleverantörer: Tjänstleverantörer med fjärråtkomst till kundlokal använder unika autentiseringsfaktorer för varje kundlokal. | Microsoft Entra ID har lokala anslutningsappar för att aktivera hybridfunktioner. Anslut orer är identifierbara och använder unikt genererade autentiseringsuppgifter. Microsoft Entra Anslut Sync: Förstå och anpassa synkronisering molnsynkronisering djupdykning Microsoft Entra lokal programetableringsarkitektur Planera moln-HR-program till Microsoft Entra-användaretablering Installera Microsoft Entra Anslut Health-agenter |
| 8.2.4 Tillägg, borttagning och ändring av användar-ID, autentiseringsfaktorer och andra identifierarobjekt hanteras på följande sätt: Auktoriserad med lämpligt godkännande. Implementerad med endast de behörigheter som anges för det dokumenterade godkännandet. |
Microsoft Entra ID har automatiserad etablering av användarkonton från HR-system. Använd den här funktionen för att skapa en livscykel. Vad är HR-driven etablering? Microsoft Entra ID har livscykelarbetsflöden för att aktivera anpassad logik för kopplings-, flytt- och leaver-processer. Vad är livscykelarbetsflöden? Microsoft Entra ID har ett programmatiskt gränssnitt för att hantera autentiseringsmetoder med Microsoft Graph. Vissa autentiseringsmetoder, till exempel Windows Hello för företag- och FIDO2-nycklar, kräver användarintervention för att registrera sig. Kom igång med Graph-autentiseringsmetoderna API-administratörer och/eller automatisering genererar autentiseringsuppgifterna för tillfälligt åtkomstpass med graph-API:et. Använd den här autentiseringsuppgiften för lösenordsfri registrering. Konfigurera ett tillfälligt åtkomstpass i Microsoft Entra-ID för att registrera autentiseringsmetoder utan lösenord |
| 8.2.5 Åtkomst för avslutade användare återkallas omedelbart. | Om du vill återkalla åtkomsten till ett konto inaktiverar du lokala konton för hybridkonton som synkroniserats från Microsoft Entra-ID, inaktiverar konton i Microsoft Entra-ID och återkallar token. Återkalla användaråtkomst i Microsoft Entra-ID Använd utvärdering av kontinuerlig åtkomst (CAE) för kompatibla program för att ha en dubbelriktad konversation med Microsoft Entra-ID. Appar kan meddelas om händelser, till exempel kontoavslut och avvisa token. Utvärdering av kontinuerlig åtkomst |
| 8.2.6 Inaktiva användarkonton tas bort eller inaktiveras inom 90 dagar efter inaktivitet. | För hybridkonton kontrollerar administratörer aktivitet i Active Directory och Microsoft Entra var 90:e dag. För Microsoft Entra-ID använder du Microsoft Graph för att hitta det senaste inloggningsdatumet. Anvisningar: Hantera inaktiva användarkonton i Microsoft Entra-ID |
| 8.2.7 Konton som används av tredje part för åtkomst, support eller underhåll av systemkomponenter via fjärråtkomst hanteras på följande sätt: Aktiveras endast under den tidsperiod som behövs och inaktiveras när de inte används. Användning övervakas för oväntad aktivitet. |
Microsoft Entra ID har funktioner för extern identitetshantering. Använd den reglerade gästlivscykeln med berättigandehantering. Externa användare registreras i kontexten för appar, resurser och åtkomstpaket, som du kan bevilja under en begränsad period och kräva regelbundna åtkomstgranskningar. Granskningar kan leda till att kontot tas bort eller inaktiveras. Styra åtkomsten för externa användare i berättigandehantering Microsoft Entra-ID genererar riskhändelser på användar- och sessionsnivå. Lär dig att skydda, identifiera och svara på oväntade aktiviteter. Vad är risker? |
| 8.2.8 Om en användarsession har varit inaktiv i mer än 15 minuter måste användaren autentisera igen för att återaktivera terminalen eller sessionen. | Använd principer för slutpunktshantering med Intune och Microsoft Endpoint Manager. Använd sedan villkorlig åtkomst för att tillåta åtkomst från kompatibla enheter. Använd efterlevnadsprinciper för att ange regler för enheter som du hanterar med Intune Om din CDE-miljö förlitar sig på grupprincipobjekt (GPO) konfigurerar du grupprincipobjekt för att ange en tidsgräns för inaktivitet. Konfigurera Microsoft Entra-ID för att tillåta åtkomst från Hybrid-anslutna Microsoft Entra-enheter. Microsoft Entra Hybrid-anslutna enheter |
8.3 Stark autentisering för användare och administratörer upprättas och hanteras.
Mer information om Microsoft Entra-autentiseringsmetoder som uppfyller PCI-kraven finns i: Informationstillägg: Multi-Factor Authentication.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.3.1 All användaråtkomst till systemkomponenter för användare och administratörer autentiseras via minst en av följande autentiseringsfaktorer: Något du vet, till exempel ett lösenord eller lösenfras. Något du har, till exempel en tokenenhet eller ett smartkort. Något du är, till exempel ett biometriskt element. |
Microsoft Entra-ID kräver lösenordslösa metoder för att uppfylla PCI-kraven Se holistisk lösenordslös distribution. Planera en distribution av lösenordslös autentisering i Microsoft Entra-ID |
| 8.3.2 Stark kryptografi används för att göra alla autentiseringsfaktorer olästa under överföring och lagring på alla systemkomponenter. | Kryptografi som används av Microsoft Entra ID är kompatibelt med PCI-definitionen av stark kryptografi. Överväganden för Microsoft Entra-dataskydd |
| 8.3.3 Användaridentitet verifieras innan någon autentiseringsfaktor ändras. | Microsoft Entra-ID kräver att användarna autentiserar för att uppdatera sina autentiseringsmetoder med självbetjäning, till exempel mysecurityinfo-portalen och SSPR-portalen (självbetjäning av lösenordsåterställning). Konfigurera säkerhetsinformation från en inloggningssida Gemensam princip för villkorsstyrd åtkomst: Skydda registrering av säkerhetsinformation Microsoft Entra självbetjäning av lösenordsåterställning Administratörer med privilegierade roller kan ändra autentiseringsfaktorer: Global, Lösenord, Användare, Autentisering och Privilegierad autentisering. Minst privilegierade roller per uppgift i Microsoft Entra-ID. Microsoft rekommenderar att du aktiverar JIT-åtkomst och -styrning för privilegierad åtkomst med Microsoft Entra Privileged Identity Management |
| 8.3.4 Ogiltiga autentiseringsförsök begränsas av: Lås användar-ID:t efter högst 10 försök. Ange varaktigheten för utelåsning till minst 30 minuter eller tills användarens identitet har bekräftats. |
Distribuera Windows Hello för företag för Windows-enheter som stöder TPM(Trusted Platform Modules) 2.0 eller senare för maskinvara. För Windows Hello för företag gäller utelåsning enheten. Gesten, PIN-koden eller biometrisk kod låser upp åtkomsten till den lokala TPM:n. Administratörer konfigurerar utelåsningsbeteendet med grupprincipobjekt eller Intune-principer. Grupprincipinställningar för TPM Hantera Windows Hello för företag på enheter när enheter registreras med grunderna i Intune TPM Windows Hello för företag fungerar för lokal autentisering till Active Directory och molnresurser på Microsoft Entra-ID. För FIDO2-säkerhetsnycklar är brute-force-skydd relaterat till nyckeln. Gesten, PIN-koden eller biometrin, låser upp åtkomsten till den lokala nyckellagringen. Administratörer konfigurerar Microsoft Entra-ID för att tillåta registrering av FIDO2-säkerhetsnycklar från tillverkare som överensstämmer med PCI-kraven. Aktivera lösenordslös inloggning av säkerhetsnycklar i Microsoft Authenticator-appen För att minimera råstyrkeattacker med lösenordslös inloggning i Microsoft Authenticator-appen aktiverar du nummermatchning och mer kontext. Microsoft Entra-ID genererar ett slumptal i autentiseringsflödet. Användaren skriver den i autentiseringsappen. Autentiseringsprompten för mobilappar visar platsen, IP-adressen för begäran och programbegäran. Använda nummermatchning i MFA-meddelanden Så här använder du ytterligare kontext i Microsoft Authenticator-meddelanden |
| 8.3.5 Om lösenord/lösenfraser används som autentiseringsfaktorer för att uppfylla krav 8.3.1 ställs de in och återställs för varje användare enligt följande: Ange ett unikt värde för första gången och vid återställning. Tvingas att ändras omedelbart efter den första användningen. |
Gäller inte för Microsoft Entra-ID. |
| 8.3.6 Om lösenord/lösenfraser används som autentiseringsfaktorer för att uppfylla krav 8.3.1, uppfyller de följande minsta komplexitetsnivå: En minsta längd på 12 tecken (eller om systemet inte stöder 12 tecken, en minsta längd på åtta tecken). Innehåller både numeriska och alfabetiska tecken. |
Gäller inte för Microsoft Entra-ID. |
| 8.3.7 Enskilda användare får inte skicka in ett nytt lösenord/lösenfras som är detsamma som något av de senaste fyra lösenorden/lösenfraserna som används. | Gäller inte för Microsoft Entra-ID. |
| 8.3.8 Autentiseringsprinciper och -procedurer dokumenteras och förmedlas till alla användare, inklusive: Vägledning för att välja starka autentiseringsfaktorer. Vägledning för hur användare ska skydda sina autentiseringsfaktorer. Instruktioner för att inte återanvända tidigare använda lösenord/lösenfraser. Instruktioner för att ändra lösenord/lösenfraser om det finns någon misstanke eller kunskap om att lösenordet/lösenfraserna har komprometterats och hur du rapporterar incidenten. |
Dokumentera principer och procedurer och kommunicera sedan med användare enligt detta krav. Microsoft tillhandahåller anpassningsbara mallar i Download Center. |
| 8.3.9 Om lösenord/lösenfraser används som den enda autentiseringsfaktorn för användaråtkomst (d.v.s. i en implementering av en faktorautentisering) så antingen: Lösenord/lösenfraser ändras minst en gång var 90:e dag, ELLER Kontonas säkerhetsstatus analyseras dynamiskt och realtidsåtkomst till resurser bestäms automatiskt i enlighet med detta. |
Gäller inte för Microsoft Entra-ID. |
| 8.3.10Ytterligare krav endast för tjänstleverantörer: Om lösenord/lösenfraser används som den enda autentiseringsfaktorn för kundanvändares åtkomst till korthållardata (det vill: i en implementering av enfaktorautentisering) ges vägledning till kundanvändare, inklusive: Vägledning för kunder att ändra sina användarlösenord/lösenfraser regelbundet. Vägledning om när och under vilka omständigheter lösenord/lösenfraser ska ändras. |
Gäller inte för Microsoft Entra-ID. |
| 8.3.10.1 Ytterligare krav endast för tjänstleverantörer: Om lösenord/lösenfraser används som den enda autentiseringsfaktorn för kundanvändaråtkomst (dvs. i en implementering av en faktorautentisering) så antingen: Lösenord/lösenfraser ändras minst en gång var 90:e dag, ELLER Kontonas säkerhetsstatus analyseras dynamiskt och realtidsåtkomst till resurser bestäms automatiskt. |
Gäller inte för Microsoft Entra-ID. |
| 8.3.11 När autentiseringsfaktorer som fysiska eller logiska säkerhetstoken, smartkort eller certifikat används: Faktorer tilldelas till en enskild användare och delas inte mellan flera användare. Fysiska och/eller logiska kontroller säkerställer att endast den avsedda användaren kan använda den faktorn för att få åtkomst. |
Använd lösenordslösa autentiseringsmetoder som Windows Hello för företag, FIDO2-säkerhetsnycklar och Microsoft Authenticator-appen för telefoninloggning. Använd smartkort baserat på offentliga eller privata keypairs som är associerade med användare för att förhindra återanvändning. |
8.4 Multifaktorautentisering (MFA) implementeras för säker åtkomst till korthållardatamiljön (CDE)
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.4.1 MFA implementeras för all icke-konsulatåtkomst till CDE för personal med administrativ åtkomst. | Använd villkorlig åtkomst för att kräva stark autentisering för att få åtkomst till CDE-resurser. Definiera principer som ska riktas mot en administrativ roll eller en säkerhetsgrupp som representerar administrativ åtkomst till ett program. För administrativ åtkomst använder du Microsoft Entra Privileged Identity Management (PIM) för att aktivera jit-aktivering (just-in-time) av privilegierade roller. Vad är villkorlig åtkomst? Mallar för villkorsstyrd åtkomst Börja använda PIM |
| 8.4.2 MFA implementeras för all åtkomst till CDE. | Blockera åtkomst till äldre protokoll som inte stöder stark autentisering. Blockera föråldrad autentisering med Microsoft Entra ID med villkorsstyrd åtkomst |
| 8.4.3 MFA implementeras för all fjärrnätverksåtkomst som kommer från utanför entitetens nätverk som kan komma åt eller påverka CDE enligt följande: All fjärråtkomst av all personal, både användare och administratörer, som kommer från utanför entitetens nätverk. All fjärråtkomst från tredje part och leverantörer. |
Integrera åtkomsttekniker som virtuellt privat nätverk (VPN), fjärrskrivbord och nätverksåtkomstpunkter med Microsoft Entra-ID för autentisering och auktorisering. Använd villkorsstyrd åtkomst för att kräva stark autentisering för att få åtkomst till fjärråtkomstprogram. Mallar för villkorsstyrd åtkomst |
8.5 MFA-system (Multi-Factor Authentication) är konfigurerade för att förhindra missbruk.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.5.1 MFA-system implementeras på följande sätt: MFA-systemet är inte mottagligt för reprisattacker. MFA-system kan inte kringgås av några användare, inklusive administrativa användare om de inte uttryckligen dokumenteras och auktoriseras av ledningen på undantagsbasis, under en begränsad tidsperiod. Minst två olika typer av autentiseringsfaktorer används. Alla autentiseringsfaktorer måste lyckas innan åtkomst beviljas. |
De rekommenderade Microsoft Entra-autentiseringsmetoderna använder nonce eller utmaningar. Dessa metoder motstår reprisattacker eftersom Microsoft Entra ID identifierar omspelade autentiseringstransaktioner. Windows Hello för företag, FIDO2 och Microsoft Authenticator-appen för lösenordslös telefoninloggning använder en nonce för att identifiera begäran och identifiera uppspelningsförsök. Använd lösenordslösa autentiseringsuppgifter för användare i CDE. Certifikatbaserad autentisering använder utmaningar för att identifiera återspelningsförsök. NIST-autentiseringsnivå 2 med Microsoft Entra ID NIST-autentiseringsnivå 3 med hjälp av Microsoft Entra ID |
8.6 Användning av program- och systemkonton och associerade autentiseringsfaktorer hanteras strikt.
| Krav för PCI-DSS-definierad metod | Vägledning och rekommendationer för Microsoft Entra |
|---|---|
| 8.6.1 Om konton som används av system eller program kan användas för interaktiv inloggning hanteras de på följande sätt: Interaktiv användning förhindras om det inte behövs i undantagsfall. Interaktiv användning är begränsad till den tid som krävs för exceptionella omständigheter. Affärsmotivering för interaktiv användning dokumenteras. Interaktiv användning godkänns uttryckligen av hanteringen. Individuell användaridentitet bekräftas innan åtkomst till kontot beviljas. Varje åtgärd som vidtas kan tillskrivas en enskild användare. |
För CDE-program med modern autentisering och för CDE-resurser som distribueras i Azure som använder modern autentisering har Microsoft Entra-ID två tjänstkontotyper för program: Hanterade identiteter och tjänstens huvudnamn. Läs mer om styrning av Microsoft Entra-tjänstkonton: planering, etablering, livscykel, övervakning, åtkomstgranskningar osv. Styra Microsoft Entra-tjänstkonton För att skydda Microsoft Entra-tjänstkonton. Skydda hanterade identiteter i Microsoft Entra ID Skydda tjänstens huvudnamn i Microsoft Entra-ID för CDE:er med resurser utanför Azure som kräver åtkomst, konfigurera identitetsfederationer för arbetsbelastningar utan att hantera hemligheter eller interaktiv inloggning. Arbetsbelastningsidentitetsfederation För att aktivera godkännande- och spårningsprocesser för att uppfylla kraven samordnar du arbetsflöden med HJÄLP av IT Service Management (ITSM) och konfigurationshanteringsdatabaser (CMDB) Dessa verktyg använder MS Graph API för att interagera med Microsoft Entra-ID och hantera tjänstkontot. För CDE:er som kräver tjänstkonton som är kompatibla med lokal Active Directory använder du Grupphanterade tjänstkonton (GMSA) och fristående hanterade tjänstkonton (sMSA), datorkonton eller användarkonton. Skydda lokala tjänstkonton |
| 8.6.2 Lösenord/lösenfraser för program- och systemkonton som kan användas för interaktiv inloggning är inte hårdkodade i skript, konfigurations-/egenskapsfiler eller skräddarsydda och anpassade källkoder. | Använd moderna tjänstkonton som Azure Managed Identities och tjänstens huvudnamn som inte kräver lösenord. Autentiseringsuppgifter för Microsoft Entra-hanterade identiteter etableras och roteras i molnet, vilket förhindrar användning av delade hemligheter som lösenord och lösenfraser. När du använder systemtilldelade hanterade identiteter är livscykeln kopplad till den underliggande Azure-resurslivscykeln. Använd tjänstens huvudnamn för att använda certifikat som autentiseringsuppgifter, vilket förhindrar användning av delade hemligheter, till exempel lösenord och lösenfraser. Om certifikat inte är genomförbara använder du Azure Key Vault för att lagra klienthemligheter för tjänstens huvudnamn. Metodtips för att använda Azure Key Vault för CDE:er med resurser utanför Azure som kräver åtkomst, konfigurera identitetsfederationer för arbetsbelastningar utan att hantera hemligheter eller interaktiv inloggning. Arbetsbelastningsidentitetsfederation Distribuera villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att kontrollera auktorisering baserat på plats och/eller risknivå. Villkorlig åtkomst för arbetsbelastningsidentiteter Utöver föregående vägledning använder du verktyg för kodanalys för att identifiera hårdkodade hemligheter i kod- och konfigurationsfiler. Identifiera exponerade hemligheter i kodsäkerhetsregler |
| 8.6.3 Lösenord/lösenfraser för alla program- och systemkonton skyddas mot missbruk enligt följande: Lösenord/lösenfraser ändras regelbundet (med den frekvens som definieras i entitetens målriskanalys, som utförs enligt alla element som anges i krav 12.3.1) och vid misstanke eller bekräftelse av intrång. Lösenord/lösenfraser konstrueras med tillräcklig komplexitet som är lämplig för hur ofta entiteten ändrar lösenord/lösenfraser. |
Använd moderna tjänstkonton som Azure Managed Identities och tjänstens huvudnamn som inte kräver lösenord. För undantag som kräver tjänstens huvudnamn med hemligheter, abstrakt hemlig livscykel med arbetsflöden och automatiseringar som anger slumpmässiga lösenord till tjänstens huvudnamn, roterar dem regelbundet och reagerar på riskhändelser. Säkerhetsteam kan granska och åtgärda rapporter som genereras av Microsoft Entra, till exempel riskfyllda arbetsbelastningsidentiteter. Skydda arbetsbelastningsidentiteter med Identity Protection |
Nästa steg
PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.
Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.
- Vägledning för Microsoft Entra PCI-DSS
- Krav 1: Installera och underhålla nätverkssäkerhetskontroller
- Krav 2: Tillämpa säkra konfigurationer på alla systemkomponenter
- Krav 5: Skydda alla system och nätverk mot skadlig programvara
- Krav 6: Utveckla och underhålla säkra system och programvara
- Krav 7: Begränsa åtkomsten till systemkomponenter och korthållardata per företag behöver veta
- Krav 8: Identifiera användare och autentisera åtkomst till systemkomponenter (du är här)
- Krav 10: Logga och övervaka all åtkomst till systemkomponenter och korthållardata
- Krav 11: Testa säkerheten för system och nätverk regelbundet
- Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication