Microsoft Entra PCI-DSS Multi-Factor Authentication 指引
信息補充:Multi-Factor Authentication v 1.0
使用Microsoft Entra ID 所支持的驗證方法表格,以符合PCI安全性標準委員會 資訊補充、Multi-Factor Authentication v 1.0 中的需求。
| 方法 | 若要符合需求 | 保護 | MFA 元素 |
|---|---|---|---|
| 使用 Microsoft Authenticator 登入無密碼電話 | 您擁有的專案(具有密鑰)、您知道或為 (PIN 或生物特徵辨識) 在 iOS 中,Authenticator Secure Element (SE) 會將密鑰儲存在 Keychain 中。 Apple Platform Security、Keychain 數據保護 在 Android 中,Authenticator 會藉由將密鑰儲存在 Keystore 中,來使用信任的執行引擎 (TEE)。 開發人員、Android Keystore 系統 當使用者使用 Microsoft Authenticator 進行驗證時,Microsoft Entra ID 會產生使用者在應用程式中輸入的隨機數位。 此動作符合頻外驗證需求。 |
客戶會設定裝置保護原則,以降低裝置危害風險。 例如,Microsoft Intune 合規性政策。 | 使用者使用手勢解除鎖定密鑰,然後Microsoft Entra ID 驗證驗證方法。 |
| Windows Hello 企業版 部署必要條件概觀 | 您擁有的專案(具有密鑰的 Windows 裝置),以及您知道或為 (PIN 或生物特徵辨識) 的東西。 金鑰會與裝置信任平台模組 (TPM) 一起儲存。 客戶使用具有硬體 TPM 2.0 或更新版本的裝置,以符合驗證方法獨立性和頻外需求。 認證的驗證器層級 |
設定裝置保護原則以降低裝置入侵風險。 例如,Microsoft Intune 合規性政策。 | 使用者使用 Windows 裝置登入的手勢解除鎖定金鑰。 |
| 啟用無密碼安全性金鑰登入、啟用 FIDO2 安全性金鑰方法 | 您擁有的專案(FIDO2 安全性金鑰)和您知道或的東西(PIN 或生物特徵辨識)。 金鑰會與硬體密碼編譯功能一起儲存。 客戶至少使用 FIDO2 金鑰,至少驗證認證層級 2 (L2) 以符合驗證方法獨立性和頻外需求。 |
採購硬體,防止竄改和入侵。 | 使用者使用手勢解除鎖定密鑰,然後Microsoft Entra ID 驗證認證。 |
| Microsoft Entra 憑證型驗證概觀 | 您擁有的東西(智慧卡)和您知道的東西(PIN)。 儲存在 TPM 2.0 或更新版本中的實體智慧卡或虛擬智慧卡是安全元素(SE)。 此動作符合驗證方法獨立性和頻外需求。 |
購買具有防止竄改和入侵的智慧卡。 | 使用者會使用手勢或 PIN 解除鎖定憑證私鑰,然後Microsoft Entra ID 驗證認證。 |
下一步
PCI-DSS 需求 3、 4、 9 和 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請移至 pcisecuritystandards.org: 官方PCI安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。