Microsoft Entra PCI-DSS 多重要素驗證指導
資訊補充:Multi-Factor Authentication v 1.0
使用下列由 Microsoft Entra ID 支援的驗證方法表,以符合 PCI 安全性標準委員會資訊補充、Multi-Factor Authentication v 1.0 中的需求。
方法 | 若要符合需求 | 保護 | MFA 元素 |
---|---|---|---|
使用 Microsoft Authenticator 來啟用無密碼手機登入 | 您擁有的東西 (具有金鑰)、您知道或存在的東西 (PIN 或生物特徵辨識) 在 iOS 中,Authenticator Secure Element (SE) 會將金鑰儲存在 Keychain 中。 Apple Platform Security、Keychain 數據保護 在 Android 中,Authenticator 會藉由將密鑰儲存在 Keystore 中,來使用信任的執行引擎 (TEE)。 開發人員、Android Keystore 系統 當使用者使用 Microsoft Authenticator 進行驗證時,Microsoft Entra ID 會產生使用者在應用程式中輸入的隨機數位。 此動作符合頻帶外驗證需求。 |
客戶會設定裝置保護原則,以降低裝置危害風險。 例如,Microsoft Intune 合規性政策。 | 使用者使用手勢解除鎖定金鑰,然後 Microsoft Entra ID 驗證驗證方法。 |
Windows Hello 企業版部署必要條件概觀 | 您擁有的東西 (具有金鑰的 Windows 裝置),以及您知道或存在的東西 (PIN 或生物特徵辨識)。 金鑰會與裝置信任平台模組 (TPM) 一起儲存。 客戶使用具有硬體 TPM 2.0 或更新版本的裝置,以符合驗證方法獨立性和頻帶外需求。 認證的驗證器層級 |
設定裝置保護原則,以降低裝置危害風險。 例如,Microsoft Intune 合規性政策。 | 使用者使用 Windows 裝置登入的手勢解除鎖定金鑰。 |
啟用無密碼安全性金鑰登入、啟用 FIDO2 安全性金鑰方法 | 您擁有的東西 (FIDO2 安全性金鑰) 和您知道或存在的東西 (PIN 或生物特徵辨識)。 金鑰會與硬體密碼編譯功能一起儲存。 客戶至少使用 FIDO2 金鑰,至少驗證認證層級 2 (L2) 以符合驗證方法獨立性和頻帶外需求。 |
採購硬體,防止竄改和入侵。 | 使用者使用手勢解除鎖定金鑰,然後 Microsoft Entra ID 驗證認證。 |
Microsoft Entra 憑證型驗證概觀 | 您擁有的東西 (智慧卡) 和您知道或存在的東西 (PIN)。 儲存在 TPM 2.0 或更新版本中的實體智慧卡或虛擬智慧卡是防護晶片 (SE)。 此動作符合驗證方法獨立性和頻帶外需求。 |
購買具有防止竄改和入侵的智慧卡。 | 使用者會使用手勢或 PIN 解除鎖定憑證私密金鑰,然後Microsoft Entra ID 驗證認證。 |
PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID,因此沒有對應的文章。 若要查看所有需求,請前往 pcisecuritystandards.org:官方 PCI 安全性標準委員會網站。
若要設定 Microsoft Entra ID 以符合 PCI-DSS,請參閱下列文章。