要求 8:标识用户并对系统组件的访问进行身份验证定义的方法要求
8.1 定义和理解用于标识用户和对系统组件的访问进行身份验证的过程和机制。
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.1.1 要求 8 中确定的所有安全策略和操作过程包括:已记录保持最新状态正在使用所有受影响方已知 | 根据环境配置,使用此处的指导和链接生成文档以满足要求。 |
| 8.1.2 记录、分配和理解要求 8 中执行活动的角色和职责。 | 根据环境配置,使用此处的指导和链接生成文档以满足要求。 |
8.2 在帐户的整个生命周期内严格管理用户和管理员的用户标识和相关帐户。
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.2.1 在允许对系统组件或持卡人数据进行访问之前,为所有用户分配唯一 ID。 | 对于依赖于Microsoft Entra ID的 CDE 应用程序,唯一的用户 ID 是用户主体名称 (UPN) 属性。 Microsoft Entra UserPrincipalName 生成 |
| 8.2.2 组帐户、共享帐户或通用帐户,或其他共享身份验证凭据仅在例外情况下按需使用,并按如下方式进行管理:除非在特殊情况下需要,否则禁止使用帐户。 使用仅限于特殊情况所需的时间。 使用的业务理由已记录。 使用由管理层明确批准在授予对帐户的访问权限之前,确认单个用户标识。 所执行的每个操作可以归因于某个用户。 | 确保使用 Microsoft Entra ID 进行应用程序访问的 CDE 具有阻止共享帐户的进程。 将它们创建为需要批准的例外。
对于在 Azure 上部署的 CDE 资源,请使用 Azure 资源的托管标识作为工作负载的标识,而不是创建共享服务帐户。 Azure资源的托管标识是什么?如果无法使用托管标识,并且访问的资源使用的是 OAuth 协议,可使用服务主体来表示工作负载标识。 通过 OAuth 范围授予标识最低特权访问权限。 管理员可以限制访问并定义审批工作流来创建它们。 什么是工作负荷标识? |
| 8.2.3仅面向服务提供商的其他要求:具有对客户服务场所远程访问权限的服务提供商为每个客户场所使用唯一的身份验证因素。 | Microsoft Entra ID具有本地连接器来启用混合功能。 连接器是可识别的,并使用唯一生成的凭据。
Microsoft Entra Connect Sync:了解和自定义同步 云同步深入探讨 Microsoft Entra 本地应用程序预配体系结构 计划将云 HR 应用程序到 Microsoft Entra 用户预配 安装 Microsoft Entra Connect Health 代理 |
| 8.2.4 添加、删除和修改用户 ID、身份验证因素和其他标识符对象的管理方式如下:通过相应审批授权。 仅使用记录在案的审批中指定的权限实现。 | Microsoft Entra ID从 HR 系统自动预配用户帐户。 使用此功能创建生命周期。 HR 驱动的预配是什么?
Microsoft Entra ID具有生命周期工作流,可为联接器、移动器和离开器进程启用自定义逻辑。 什么是生命周期工作流? Microsoft Entra ID 有一个编程化接口,用于通过 Microsoft Graph 管理身份验证方法。 某些身份验证方法(例如Windows Hello 企业版和 FIDO2 密钥)需要用户干预才能注册。 开始使用图形身份验证方法 API 管理员和/或自动化使用 图形 API 生成临时访问凭据。 使用此凭据进行无密码加入。 在 Microsoft Entra ID 中配置临时访问凭证以注册无密码身份验证方法 |
| 8.2.5 立即撤销离职用户的访问权限。 | 若要撤销对帐户的访问权限,请禁用从Microsoft Entra ID同步的混合帐户的本地帐户,禁用Microsoft Entra ID中的帐户,并撤销令牌。
撤销 Microsoft Entra ID 中用户的访问权限 对兼容应用程序使用持续访问评估(CAE),以便与 Microsoft Entra ID 进行双向对话。 可向应用通知帐户终止和拒绝令牌等事件。 连续访问评估 |
| 8.2.6 非活动的用户帐户将在 90 天内被禁用或移除。 | 对于混合帐户,管理员每 90 天检查一次 Active Directory 和 Microsoft Entra 中的活动。 对于Microsoft Entra ID,请使用Microsoft Graph查找上次登录日期。 如何执行:管理 Microsoft Entra ID 中的非活动用户帐户 |
| 8.2.7 第三方用于通过远程访问来访问、支持或维护系统组件的帐户管理方式如下:仅在所需的时间段内启用,在不使用时禁用。 监控使用情况,以检测异常活动。 | Microsoft Entra ID具有外部标识管理功能。 将受治理的来宾生命周期与权利管理结合使用。 外部用户是在应用、资源和访问包的背景下引入的,可以在有限的时间内进行许可,并需要定期审核访问权限。 评审可能会导致帐户移除或禁用。
在权利管理中为外部用户授予访问权限 Microsoft Entra ID在用户和会话级别生成风险事件。 了解如何保护、检测和响应意外活动。 什么是风险? |
| 8.2.8 如果用户会话处于空闲状态超过 15 分钟,则要求用户重新进行身份验证,以重新激活终端或会话。 | 将终结点管理策略与 Microsoft Intune 配合使用。 然后,使用条件访问允许从合规设备进行访问。 使用合规性策略通过 Intune 为您管理的设备设定规则 如果 CDE 环境依赖于组策略对象 (GPO),可配置 GPO 以设置空闲超时。 配置 Microsoft Entra ID,允许从 Microsoft Entra 混合加入设备进行访问。 Microsoft Entra 混合加入设备 |
8.3 建立和管理面向用户和管理员的强身份验证。
有关满足 PCI 要求的Microsoft Entra身份验证方法的详细信息,请参阅:信息补充:多重身份验证。
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.3.1 所有用户和管理员对系统组件的访问均需通过以下至少一个身份验证因素进行身份验证:您所知道的某个内容,例如密码或通行短语。 你拥有的物品,例如令牌设备或智能卡。 你拥有的特征,例如生物识别元素。 |
Microsoft Entra ID需要无密码方法来满足 PCI 要求 请参阅整体无密码部署。 在 Microsoft Entra ID 中规划无密码身份验证部署。 |
| 8.3.2 使用强加密在所有系统组件上传输和存储期间将所有身份验证因素设为不可读。 | Microsoft Entra ID使用的加密符合强加密的 PCI 定义。 Microsoft Entra 数据保护注意事项 |
| 8.3.3 在修改任何身份验证因素之前验证用户标识。 | Microsoft Entra ID 要求用户通过身份验证以使用自助服务来更新其身份验证方法,例如 mysecurityinfo 门户和自助密码重置(SSPR)门户。 |
| 8.3.4 无效的身份验证尝试受以下因素限制:在不超过 10 次尝试后锁定用户 ID。 将锁定持续时间设置为至少 30 分钟或直到确认用户标识为止。 | 为支持硬件受信任的平台模块 (TPM) 2.0 或更高版本的Windows设备部署Windows Hello 企业版。
对于Windows Hello 企业版,锁定与设备相关。 手势、PIN 或生物识别可解锁对本地 TPM 的访问权限。 管理员可使用 GPO 或 Intune 策略配置锁定行为。 TPM 组策略设置 在设备注册 Intune 时管理 Windows Hello 企业版 TPM 基础知识 Windows Hello 企业版 适用于本地身份验证到 Active Directory 以及 Microsoft Entra ID 上的云资源。 对于 FIDO2 安全密钥,暴力破解保护与密钥相关。 手势、PIN 或生物识别可解锁对本地密钥存储的访问权限。 管理员配置Microsoft Entra ID,以允许注册符合 PCI 要求的制造商提供的 FIDO2 安全密钥。 启用无密码安全密钥登录 Microsoft Authenticator App 若要使用Microsoft Authenticator应用无密码登录来缓解暴力攻击,请启用数字匹配和其他上下文。 Microsoft Entra ID在身份验证流中生成随机数。 用户可在验证器应用中键入它。 移动应用身份验证提示会显示位置、请求 IP 地址和请求应用程序。 如何在 MFA 通知中使用数字匹配 如何在Microsoft Authenticator通知中使用其他上下文 |
| 8.3.5 如果将密码/通行短语用作身份验证因素来满足要求 8.3.1,则为每个用户设置和重置它们,如下所示:首次使用及重置时设置为唯一值。 首次使用后立即强制更改。 | 不适用于Microsoft Entra ID。 |
| 8.3.6 如果将密码/通行短语用作身份验证因素来满足要求 8.3.1,则它们应满足以下最低复杂性级别:长度至少为 12 个字符(或者如果系统不支持 12 个字符,则长度至少为 8 个字符)。 同时包含数字和字母字符。 | 不适用于Microsoft Entra ID。 |
| 8.3.7 用户提交的新密码/通行短语不得与其最近使用的四个密码/通行短语中的任何一个相同。 | 不适用于Microsoft Entra ID。 |
| 8.3.8 记录身份验证策略和过程并传达给所有用户,包括:有关选择强身份验证因素的指导。 有关用户应如何保护其身份验证因素的指导。 有关不得重用以前使用过的密码的说明。 有关更改密码/通行短语(如果怀疑或知道密码/通行短语已被盗用)以及如何报告事件的说明。 | 记录策略和过程,然后根据此要求向用户传达。 Microsoft 在下载中心内提供了可自定义的模板。 |
| 8.3.9 如果将密码/通行短语用作用户访问的唯一身份验证因素(即在任何单因素身份验证实现中),则:密码/通行短语应至少每 90 天更改一次,或动态分析帐户的安全状况,并相应地自动确定对资源的实时访问权限。 | 不适用于Microsoft Entra ID。 |
| 8.3.10仅面向服务提供商的其他要求:如果将密码/通行短语用作客户用户访问持卡人数据的唯一身份验证因素(即在任何单因素身份验证实现中),则向客户提供指导,其中包括:有关客户定期更改其用户密码/通行短语的指导。 关于何时以及在什么情况下应更改密码/通行短语的指导方针。 | 不适用于Microsoft Entra ID。 |
| 8.3.10.1 仅面向服务提供商的其他要求:如果将密码/密码用作客户用户访问的唯一身份验证因素(即在任何单因素身份验证实现中),则:密码/通行短语应至少每 90 天更改一次,或动态分析帐户的安全状况,并相应地自动确定对资源的实时访问权限。 | 不适用于Microsoft Entra ID。 |
| 8.3.11 如果使用的是物理或逻辑安全令牌、智能卡或证书等身份验证因素:将因素分配给单个用户,而不是在多个用户之间共享。 物理和/或逻辑控件可确保只有目标用户可以使用该因素获取访问权限。 | 使用无密码身份验证方法,例如Windows Hello 企业版、FIDO2 安全密钥和Microsoft Authenticator应用进行手机登录。 使用基于与用户关联的公钥或私钥对的智能卡,以防止重用。 |
8.4 实施多重身份验证 (MFA),以保护对持卡人数据环境的访问 (CDE)
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.4.1 对于具有管理权限的人员对 CDE 进行的所有非控制台访问,应实施 MFA。 | 使用条件访问要求进行强身份验证才能访问 CDE 资源。 定义针对管理角色或表示对应用程序具有管理访问权限的安全组的策略。
若要实现管理访问,请使用 Microsoft Entra 特权身份管理 (PIM) 启用特权角色的按需 (JIT) 激活。 What is Conditional Access?(什么是条件访问?)条件访问模板开始使用 PIM |
| 8.4.2 面向 CDE 的所有访问实施 MFA。 | 阻止访问不支持强身份验证的旧式协议。 通过Microsoft Entra ID的条件访问阻止旧式身份验证 |
| 8.4.3 面向源自实体网络外部、可访问或影响 CDE 的所有远程网络访问实施 MFA,如下所示:源自实体网络外部的所有人员(包括用户和管理员)的所有远程访问。 第三方及供应商的所有远程访问。 | 将虚拟专用网络(VPN)、远程桌面和网络接入点等访问技术与身份验证和授权Microsoft Entra ID集成。 使用条件访问要求进行强身份验证才能访问远程访问应用程序。 条件访问模板 |
8.5 配置多重身份验证 (MFA) 系统以防止滥用。
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.5.1 按如下所示实现 MFA 系统:MFA 系统不容易受到重播攻击。 除非专门记录并由管理层在有限时间段内按例外授权,否则任何用户(包括管理用户)都无法绕过 MFA 系统。 使用至少两种不同类型的身份验证因素。 在授予访问权限之前,必须成功完成所有身份验证因素。 | 建议使用的 Microsoft Entra 身份验证方法应用随机数或质询。 这些方法抵制重播攻击,因为Microsoft Entra ID检测到重播的身份验证事务。
Windows Hello 企业版、FIDO2 和用于无密码手机登录的 Microsoft Authenticator 应用使用 nonce 标识请求并检测重播尝试。 对 CDE 中的用户使用无密码凭据。 基于证书的身份验证通过使用质询来检测重播尝试。 使用 Microsoft Entra ID 的 NIST 验证器保证级别 2 通过使用 Microsoft Entra ID 的 NIST 验证器保证级别 3 |
8.6 严格管理应用程序和系统帐户的使用以及关联的身份验证因素。
| PCI-DSS 定义的方法要求 | Microsoft Entra指南和建议 |
|---|---|
| 8.6.1 如果系统或应用程序使用的帐户可用于交互式登录,则按如下方式对其进行管理:除非在特殊情况下需要,否则将阻止交互式使用。 交互式使用仅限于特殊情况所需的时间。 文档记录了交互式使用的业务理由。 交互式使用由管理层显式批准。 在授予对帐户的访问权限之前确认单个用户标识。 所执行的每个操作可以归因于某个用户。 | 对于具有新式身份验证的 CDE 应用程序,对于使用新式身份验证的Azure中部署的 CDE 资源,Microsoft Entra ID具有两种应用程序服务帐户类型:托管标识和服务主体。
了解Microsoft Entra服务帐户治理:规划、预配、管理生命周期、监控、访问审查等治理Microsoft Entra服务帐户 以保护Microsoft Entra服务帐户。 在 Microsoft Entra ID 中保护受管理的身份 在 Microsoft Entra ID 中保护服务主体 对于需要访问 Azure 外部资源的 CDE,无需管理机密或交互式登录,即可配置工作负载身份联合。 Workload identity federation 若要启用审批和跟踪流程以满足要求,请使用 IT Service Management(ITSM)和配置管理数据库(CMDB)协调工作流。这些工具使用 MS 图形 API 与Microsoft Entra ID交互并管理服务帐户。 对于需要与本地 Active Directory兼容的服务帐户、使用组托管服务帐户(GMSA)和独立托管服务帐户(sMSA)、计算机帐户或用户帐户的 CDE。 保护本地服务帐户 |
| 8.6.2 可用于交互式登录的任何应用程序和系统帐户的密码/通行短语不会在脚本、配置/属性文件,或定制和自定义源代码中硬编码。 | 使用现代服务帐户,例如 Azure 托管标识和不需要密码的服务主体。
Microsoft Entra托管标识凭据被预配并在云中轮换,从而避免使用共享机密(如密码和短语口令)。 使用系统分配的托管标识时,生命周期将绑定到基础Azure资源生命周期。 使用服务主体以将证书用作凭据,这可以防止使用密码和通行短语等共享机密。 如果证书不可行,请使用Azure 密钥保管库来存储服务主体客户端机密。 使用 Azure 密钥保管库 的最佳实践 对于需要访问 Azure 外部资源的 CDE,可以在不管理机密或交互式登录的情况下配置工作负载身份联邦。 工作负载联合身份验证 部署工作负载标识的条件访问,以根据位置和/或风险级别控制授权。 适用于工作负载标识的条件访问 除了前面的指导,还可以使用代码分析工具检测代码和配置文件中的硬编码机密。 检测代码中公开的机密安全规则 |
| 8.6.3 按如下所示保护任何应用程序和系统帐户的密码/通行短语以防止滥用:定期(按实体的目标风险分析中定义的频率更改,该分析根据要求 12.3.1 中指定的所有元素执行),并在怀疑或确认被盗用时更改密码/通行短语。 密码/通行短语的构造应具备根据实体更改密码/通行短语频率而决定的足够复杂性。 | 使用现代服务账户,例如,Azure托管身份和不需要密码的服务主体。 对于需要具有机密的服务主体的例外情况,可通过工作流和自动化来抽象机密生命周期,这些工作流和自动化可将随机密码设置为服务主体,定期轮换这些密码,并对风险事件做出反应。
安全运营团队可以查看和修正Microsoft Entra(例如风险工作负荷标识)生成的报告。 使用 Microsoft Entra ID 保护 保护工作负荷标识 |
后续步骤
PCI-DSS 要求3, 4、9和12不适用于Microsoft Entra ID,因此没有相应的文章。 若要查看所有要求,请转到 pcisecuritystandards.org:官方 PCI 安全标准委员会网站。
若要配置Microsoft Entra ID以符合 PCI-DSS,请参阅以下文章。
- Microsoft Entra PCI-DSS 指南
- 要求 1:安装并维护网络安全控件
- 要求 2:将安全配置应用于所有系统组件
- 要求 5:保护所有系统和网络免受恶意软件侵害
- 要求 6:开发和维护安全系统及软件
- 要求 7:按业务须知限制对系统组件和持卡人数据的访问
- 要求 8:标识用户并对系统组件的访问进行身份验证(你在此处)
- 要求 10:记录和监视对系统组件和持卡人数据的所有访问
- 要求 11:定期测试系统和网络的安全性
- Microsoft Entra PCI-DSS多重身份验证指南