Microsoft Entra ID 和 PCI-DSS 需求 7

發行項
10/15/2024

需求 7：依商務需求限制系統元件和持卡人資料的存取權
定義方法需求

7.1 定義並了解根據業務須知限制存取系統元件和持卡人資料的程序與機制。

PCI-DSS 定義的方法需求	Microsoft Entra 指導和建議
7.1.1 需求 7 中識別的所有安全策略和作業程序均為：已記錄保持最新狀態使用中所有受影響的合作方均已知曉	將持卡人數據環境 (CDE) 應用程式的存取權與 Microsoft Entra ID 整合，以進行驗證和授權。文件遠端存取技術的條件式存取原則。使用 Microsoft Graph API 和 PowerShell 自動化。條件式存取：以程式設計方式存取封存 Microsoft Entra 稽核記錄，以記錄安全性原則變更和 Microsoft Entra 租用戶設定。若要記錄使用量，請在安全性資訊和事件管理 (SIEM) 系統中封存 Microsoft Entra 登入記錄。 Azure 監視器中的 Microsoft Entra 活動記錄
7.1.2 需求 7 中執行活動的角色和責任會予以記載、指派及瞭解。	將 CDE 應用程式的存取權與 Microsoft Entra ID 整合，以進行驗證和授權。 - 將使用者角色指派給應用程式或具有群組成員資格 - 使用 Microsoft Graph 列出應用程式指派 - 使用 Microsoft Entra 稽核記錄來追蹤指派變更。列出授與使用者的 appRoleAssignments Get-MgServicePrincipalAppRoleAssignedTo 特殊權限存取權使用 Microsoft Entra 稽核記錄來追蹤目錄角色指派。與此 PCI 需求相關的系統管理員角色： - 全域 - 應用程式 - 驗證 - 驗證原則 - 混合式身分識別若要實作最低權限存取，請使用 Microsoft Entra ID 來建立自訂目錄角色。如果您在 Azure 中建置 CDE 的部分，記錄特殊權限角色指派，例如擁有者、參與者、使用者存取管理員等，以及部署 CDE 資源的訂用帳戶自訂角色。 Microsoft 建議您使用 Privileged Identity Management (PIM) 啟用 Just-In-Time (JIT) 角色的存取權。當群組成員身分代表對 CDE 應用程式或資源的特殊權限存取時，PIM 允許對 Microsoft Entra 安全群組進行 JIT 存取。 Microsoft Entra 內建角色 Microsoft Entra 身分識別與存取管理作業參考指南在 Microsoft Entra ID 建立和指派自訂角色保護 Microsoft Entra ID 混合與雲端部署的特殊存取權什麼是 Microsoft Entra Privileged Identity Management？所有隔離架構的最佳做法群組 PIM

PCI-DSS 定義的方法需求

Microsoft Entra 指導和建議

7.1.1 需求 7 中識別的所有安全策略和作業程序均為：
已記錄
保持最新狀態
使用中
所有受影響的合作方均已知曉

將持卡人數據環境 (CDE) 應用程式的存取權與 Microsoft Entra ID 整合，以進行驗證和授權。
文件遠端存取技術的條件式存取原則。使用 Microsoft Graph API 和 PowerShell 自動化。條件式存取：以程式設計方式存取
封存 Microsoft Entra 稽核記錄，以記錄安全性原則變更和 Microsoft Entra 租用戶設定。若要記錄使用量，請在安全性資訊和事件管理 (SIEM) 系統中封存 Microsoft Entra 登入記錄。 Azure 監視器中的 Microsoft Entra 活動記錄

7.1.2 需求 7 中執行活動的角色和責任會予以記載、指派及瞭解。

將 CDE 應用程式的存取權與 Microsoft Entra ID 整合，以進行驗證和授權。
- 將使用者角色指派給應用程式或具有群組成員資格
- 使用 Microsoft Graph 列出應用程式指派
- 使用 Microsoft Entra 稽核記錄來追蹤指派變更。
列出授與使用者的 appRoleAssignments
Get-MgServicePrincipalAppRoleAssignedTo

特殊權限存取權
使用 Microsoft Entra 稽核記錄來追蹤目錄角色指派。與此 PCI 需求相關的系統管理員角色：
- 全域
- 應用程式
- 驗證
- 驗證原則
- 混合式身分識別
若要實作最低權限存取，請使用 Microsoft Entra ID 來建立自訂目錄角色。
如果您在 Azure 中建置 CDE 的部分，記錄特殊權限角色指派，例如擁有者、參與者、使用者存取管理員等，以及部署 CDE 資源的訂用帳戶自訂角色。
Microsoft 建議您使用 Privileged Identity Management (PIM) 啟用 Just-In-Time (JIT) 角色的存取權。當群組成員身分代表對 CDE 應用程式或資源的特殊權限存取時，PIM 允許對 Microsoft Entra 安全群組進行 JIT 存取。 Microsoft Entra 內建角色
Microsoft Entra 身分識別與存取管理作業參考指南
在 Microsoft Entra ID 建立和指派自訂角色
保護 Microsoft Entra ID 混合與雲端部署的特殊存取權
什麼是 Microsoft Entra Privileged Identity Management？
所有隔離架構的最佳做法
群組 PIM

7.2 適當定義和指派對系統元件與資料的存取。

PCI-DSS 定義的方法需求	Microsoft Entra 指導和建議
7.2.1 定義存取控制模型，並包含授與存取權，如下所示：根據實體的商務和存取需求進行適當的存取。存取以使用者作業分類和函式為基礎的系統元件和資料資源。執行作業功能所需的最低權限 (例如使用者、系統管理員)。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.2 Access 會根據：作業分類和函式，指派給使用者，包括特殊權限使用者。執行作業責任所需的最低權限。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式中的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.3 必要權限由授權人員核准。	權利管理支援核准工作流程，以授與資源的存取權，以及定期存取權檢閱。核准或拒絕權利管理的存取要求檢閱權利管理中存取套件的存取權 PIM 支援核准工作流程，以啟用 Microsoft Entra 目錄角色，以及 Azure 角色和雲端群組。核准或拒絕 PIM 中 Microsoft Entra 角色的要求核准群組成員和擁有者的啟用要求
7.2.4 所有使用者帳戶和相關存取權限，包括第三方/廠商帳戶，都會受到檢閱如下：至少每六個月一次。為了確保使用者帳戶和存取權會根據作業功能保持適當。解決任何不適當的存取。管理會確認存取權仍適用。	如果您使用直接指派或群組成員資格來授與應用程式的存取權，請設定 Microsoft Entra 存取權檢閱。如果您使用權利管理將存取權授與應用程式，請在存取套件層級啟用存取權檢閱。在權利管理中建立存取套件的存取權檢閱針對第三方和廠商帳戶使用 Microsoft Entra 外部 ID。您可以執行以外部身分識別為目標的存取權檢閱，例如第三方或廠商帳戶。使用存取權檢閱來管理來賓存取權
7.2.5 所有應用程式和系統帳戶和相關存取權限都會指派和管理，如下所示：根據系統或應用程式操作性所需的最低權限。 Access 僅限於需要其使用的系統、應用程式或流程。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式中的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.5.1 應用程式和系統帳戶的所有存取權和相關存取權限都會檢閱如下：定期檢閱 (根據實體目標風險分析中定義的頻率，這會根據需求 12.3.1 中指定的所有元素執行)。應用程式/系統存取仍適合執行中的函式。解決任何不適當的存取。管理會確認存取權仍適用。	檢閱服務帳戶權限時的最佳做法。管理 Microsoft Entra 服務帳戶管理內部部署服務帳戶
7.2.6 所有使用者對儲存持卡人資料的查詢存放庫的存取限制如下：透過應用程式或其他程式設計方法，並根據使用者角色和最低權限存取和允許的動作。只有負責任的系統管理員可以直接存取或查詢預存卡持有者資料的存放庫 (CHD)。	新式應用程式可啟用程式設計方法，以限制資料存放庫的存取。使用 OAuth 和 OpenID connect (OIDC) 等新式驗證通訊協定，將應用程式與 Microsoft Entra ID 整合。 Microsoft 身分識別平台上的 OAuth 2.0 和 OIDC 通訊協定定義應用程式特定角色，以建立特殊權限和非特殊權限的使用者存取模型。將使用者或群組指派給角色。將應用程式角色新增至您的應用程式，並在權杖中接收這些角色針對應用程式公開的 API，定義 OAuth 範圍以啟用使用者和系統管理員同意。 Microsoft 身分識別平台的範圍和權限使用下列方法來建立存放庫的特殊權限和非特殊權限存取模型，並避免直接存取存放庫。如果系統管理員和操作員需要存取權，請根據基礎平台授與它。例如，Azure 中的 ARM IAM 指派、存取控制清單 (ACL) 視窗等。請參閱架構指引，包括保護 Azure 中的應用程式平台即服務 (PaaS) 和基礎結構即服務 (IaaS)。 Azure 架構中心

7.3 透過存取控制系統管理對系統元件和資料的存取。

PCI-DSS 定義的方法需求	Microsoft Entra 指導和建議
7.3.1 存取控制系統已就緒，可根據使用者需要知道並涵蓋所有系統元件來限制存取。	將 CDE 中的應用程式存取權與 Microsoft Entra ID 整合為存取控制系統驗證和授權。條件式存取原則，應用程式指派可控制應用程式的存取。什麼是條件式存取？將使用者和群組指派給應用程式
7.3.2 存取控制系統已設定為根據作業分類和功能，強制執行指派給個人、應用程式及系統的權限。	將 CDE 中的應用程式存取權與 Microsoft Entra ID 整合為存取控制系統驗證和授權。條件式存取原則，應用程式指派可控制應用程式的存取。什麼是條件式存取？將使用者和群組指派給應用程式
7.3.3 存取控制系統預設會設定為「拒絕全部」。	使用條件式存取來根據存取要求條件封鎖存取，例如群組成員資格、應用程式、網路位置、認證強度等。條件式存取：封鎖存取設定錯誤的封鎖原則可能會導致意外鎖定。設計緊急存取策略。在 Microsoft Entra ID 中管理緊急存取管理員帳戶

下一步

PCI-DSS 需求 3、4、9 及 12 不適用於 Microsoft Entra ID，因此沒有對應的文章。若要查看所有需求，請前往 pcisecuritystandards.org：官方 PCI 安全性標準委員會網站。

若要設定 Microsoft Entra ID 以符合 PCI-DSS，請參閱下列文章。

PCI-DSS 定義的方法需求	Microsoft Entra 指導和建議
7.2.1 定義存取控制模型，並包含授與存取權，如下所示：根據實體的商務和存取需求進行適當的存取。存取以使用者作業分類和函式為基礎的系統元件和資料資源。執行作業功能所需的最低權限 (例如使用者、系統管理員)。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.2 Access 會根據：作業分類和函式，指派給使用者，包括特殊權限使用者。執行作業責任所需的最低權限。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式中的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.3 必要權限由授權人員核准。	權利管理支援核准工作流程，以授與資源的存取權，以及定期存取權檢閱。核准或拒絕權利管理的存取要求檢閱權利管理中存取套件的存取權 PIM 支援核准工作流程，以啟用 Microsoft Entra 目錄角色，以及 Azure 角色和雲端群組。核准或拒絕 PIM 中 Microsoft Entra 角色的要求核准群組成員和擁有者的啟用要求
7.2.4 所有使用者帳戶和相關存取權限，包括第三方/廠商帳戶，都會受到檢閱如下：至少每六個月一次。為了確保使用者帳戶和存取權會根據作業功能保持適當。解決任何不適當的存取。管理會確認存取權仍適用。	如果您使用直接指派或群組成員資格來授與應用程式的存取權，請設定 Microsoft Entra 存取權檢閱。如果您使用權利管理將存取權授與應用程式，請在存取套件層級啟用存取權檢閱。在權利管理中建立存取套件的存取權檢閱針對第三方和廠商帳戶使用 Microsoft Entra 外部 ID。您可以執行以外部身分識別為目標的存取權檢閱，例如第三方或廠商帳戶。使用存取權檢閱來管理來賓存取權
7.2.5 所有應用程式和系統帳戶和相關存取權限都會指派和管理，如下所示：根據系統或應用程式操作性所需的最低權限。 Access 僅限於需要其使用的系統、應用程式或流程。	使用 Microsoft Entra ID，直接或透過群組成員資格將使用者指派給應用程式中的角色。已實作為屬性的標準化分類組織，可以根據使用者作業分類和函式自動授與存取權。使用具群組成員資格的 Microsoft Entra 群組，以及具動態指派原則的 Microsoft Entra 權利管理存取套件。使用權利管理來定義區分職責以劃定最低權限。 PIM 可讓 JIT 存取 Microsoft Entra 安全群組，以用於自訂案例，其中群組成員資格代表 CDE 應用程式或資源的特殊權限存取。管理組動態成員資格群組規則在權利管理中設定存取套件的自動指派原則在權利管理中設定存取套件的職責區分群組 PIM
7.2.5.1 應用程式和系統帳戶的所有存取權和相關存取權限都會檢閱如下：定期檢閱 (根據實體目標風險分析中定義的頻率，這會根據需求 12.3.1 中指定的所有元素執行)。應用程式/系統存取仍適合執行中的函式。解決任何不適當的存取。管理會確認存取權仍適用。	檢閱服務帳戶權限時的最佳做法。管理 Microsoft Entra 服務帳戶管理內部部署服務帳戶
7.2.6 所有使用者對儲存持卡人資料的查詢存放庫的存取限制如下：透過應用程式或其他程式設計方法，並根據使用者角色和最低權限存取和允許的動作。只有負責任的系統管理員可以直接存取或查詢預存卡持有者資料的存放庫 (CHD)。	新式應用程式可啟用程式設計方法，以限制資料存放庫的存取。使用 OAuth 和 OpenID connect (OIDC) 等新式驗證通訊協定，將應用程式與 Microsoft Entra ID 整合。 Microsoft 身分識別平台上的 OAuth 2.0 和 OIDC 通訊協定定義應用程式特定角色，以建立特殊權限和非特殊權限的使用者存取模型。將使用者或群組指派給角色。將應用程式角色新增至您的應用程式，並在權杖中接收這些角色針對應用程式公開的 API，定義 OAuth 範圍以啟用使用者和系統管理員同意。 Microsoft 身分識別平台的範圍和權限使用下列方法來建立存放庫的特殊權限和非特殊權限存取模型，並避免直接存取存放庫。如果系統管理員和操作員需要存取權，請根據基礎平台授與它。例如，Azure 中的 ARM IAM 指派、存取控制清單 (ACL) 視窗等。請參閱架構指引，包括保護 Azure 中的應用程式平台即服務 (PaaS) 和基礎結構即服務 (IaaS)。 Azure 架構中心

共用方式為

Microsoft Entra ID 和 PCI-DSS 需求 7

7.1 定義並了解根據業務須知限制存取系統元件和持卡人資料的程序與機制。

7.2 適當定義和指派對系統元件與資料的存取。

7.3 透過存取控制系統管理對系統元件和資料的存取。

下一步

意見反應

其他資源