Läs på engelska

Dela via


Vägledning för Microsoft Entra PCI-DSS Multi-Factor Authentication

Informationstillägg: Multi-Factor Authentication v 1.0

Använd följande tabell med autentiseringsmetoder som stöds av Microsoft Entra-ID för att uppfylla kraven i PCI Security Standards Council Information Supplement, Multi-Factor Authentication v 1.0.

Metod För att uppfylla kraven Skydd MFA-element
Lösenordsfri telefoninloggning med Microsoft Authenticator Något du har (enhet med en nyckel), något du känner till eller är (PIN-kod eller biometrisk)
I iOS lagrar Authenticator Secure Element (SE) nyckeln i nyckelringen. Apple Platform Security, Nyckelringsdataskydd
I Android använder Authenticator Trusted Execution Engine (TEE) genom att lagra nyckeln i Keystore. Utvecklare, Android Keystore-system
När användare autentiserar med Microsoft Authenticator genererar Microsoft Entra-ID ett slumptal som användaren anger i appen. Den här åtgärden uppfyller kravet på out-of-band-autentisering.
Kunder konfigurerar enhetsskyddsprinciper för att minska risken för att enheten komprometteras. Till exempel Efterlevnadsprinciper för Microsoft Intune. Användare låser upp nyckeln med gesten och sedan validerar Microsoft Entra-ID autentiseringsmetoden.
översikt över Windows Hello för företag distributionsförutsättning Något du har (Windows-enhet med en nyckel) och något du vet eller är (PIN-kod eller biometrisk).
Nycklar lagras med TPM (Device Trusted Platform Module). Kunder använder enheter med TPM 2.0 eller senare för att uppfylla autentiseringsmetodens oberoende och out-of-band-krav.
Certifierade autentiseringsnivåer
Konfigurera enhetsskyddsprinciper för att minska risken för att enheten komprometteras. Till exempel Efterlevnadsprinciper för Microsoft Intune. Användare låser upp nyckeln med gesten för windows-enhetsinloggning.
Aktivera inloggning med lösenordslös säkerhetsnyckel, aktivera FIDO2-säkerhetsnyckelmetod Något som du har (FIDO2-säkerhetsnyckel) och något du vet eller är (PIN-kod eller biometrisk).
Nycklar lagras med kryptografiska maskinvarufunktioner. Kunder använder FIDO2-nycklar, minst autentiseringscertifieringsnivå 2 (L2) för att uppfylla autentiseringsmetodens oberoende och out-of-band-krav.
Skaffa maskinvara med skydd mot manipulering och intrång. Användare låser upp nyckeln med gesten och sedan validerar Microsoft Entra-ID autentiseringsuppgifterna.
Översikt över Microsoft Entra-certifikatbaserad autentisering Något du har (smartkort) och något du vet (PIN-kod).
Fysiska smartkort eller virtuella smartkort som lagras i TPM 2.0 eller senare är ett säkert element (SE). Den här åtgärden uppfyller autentiseringsmetodens oberoende och out-of-band-krav.
Skaffa smartkort med skydd mot manipulering och kompromisser. Användare låser upp certifikatets privata nyckel med gesten, eller PIN-koden, och sedan validerar Microsoft Entra-ID autentiseringsuppgifterna.

Nästa steg

PCI-DSS-kraven 3, 4, 9 och 12 gäller inte för Microsoft Entra-ID, därför finns det inga motsvarande artiklar. Om du vill se alla krav går du till pcisecuritystandards.org: Officiell PCI Security Standards Council Site.

Information om hur du konfigurerar Microsoft Entra-ID för att följa PCI-DSS finns i följande artiklar.