信息补充:多重身份验证 v 1.0
使用Microsoft Entra ID支持的身份验证方法表满足 PCI 安全标准委员会信息补充、多重身份验证 v 1.0 的要求。
| 方法 | 满足要求的条件 | 保护 | MFA 元素 |
|---|---|---|---|
| 使用 Microsoft Authenticator 实现手机无密码登录 | 您拥有的设备(具有密钥)、您知道或是的身份信息(PIN 或生物识别特征) 在 iOS 中,Authenticator 安全元素 (SE) 会将密钥存储在 iOS 钥匙串中。 Apple 平台安全保护:钥匙串数据保护 在 Android 中,Authenticator 会通过将密钥存储在密钥库中来使用受信任的执行引擎 (TEE)。 开发者、Android Keystore 系统 当用户使用 Microsoft Authenticator 进行身份验证时,Microsoft Entra ID 会生成用户需要在应用中输入的随机数。 此操作满足带外身份验证要求。 |
客户配置设备保护策略,以降低设备入侵风险。 例如,Microsoft Intune 的合规策略。 | 用户使用手势解锁密钥,然后Microsoft Entra ID验证身份验证方法。 |
| 适用于业务部署先决条件概述Windows Hello | 你拥有的(具有密钥的 Windows 设备)以及你知道或属于你的(PIN 或生物识别特征)。
密钥通过设备的可信平台模块 (TPM) 进行存储。 客户使用具有硬件 TPM 2.0 或更高版本的设备来满足身份验证方法独立性和带外要求。 认证验证器级别 |
配置设备保护策略,以降低设备入侵风险。 例如,Microsoft Intune 合规性策略。 | 用户通过 Windows 设备登录手势解锁密钥。 |
| 启用无密码安全密钥登录:启用 FIDO2 安全密钥方法 | 您持有的东西(FIDO2 安全密钥)和您知道或是的东西(PIN 或生物识别)。
密钥通过硬件加密功能进行存储。 客户使用 FIDO2 密钥(至少身份验证认证级别 2 [L2])来满足身份验证方法独立性和带外要求。 |
采购可防止篡改和入侵的硬件。 | 用户使用手势解锁密钥,然后Microsoft Entra ID验证凭据。 |
| Microsoft Entra 基于证书的身份验证概述 | 您拥有的(智能卡)和您知道的(PIN)。
物理智能卡或存储在 TPM 2.0 或更高版本中的虚拟智能卡是安全元素 (SE)。 此操作满足身份验证方法独立性和带外要求。 |
采购可防止篡改和入侵的智能卡。 | 用户使用手势或 PIN 解锁证书私钥,然后Microsoft Entra ID验证凭据。 |
后续步骤
PCI-DSS 要求3, 4、9和12不适用于Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
若要配置Microsoft Entra ID以符合 PCI-DSS,请参阅以下文章。