Руководство по многофакторной идентификации Microsoft Entra PCI-DSS

Дополнение к информации: Многофакторная идентификация версии 1.0

Используйте следующую таблицу методов проверки подлинности, поддерживаемых Microsoft Entra ID для удовлетворения требований в Совете по стандартам безопасности PCI Information Supplement, Multi-Factor Authentication версии 1.0.

Способ Соответствие требованиям Защита Элемент MFA
Вход с телефона без пароля с помощью Microsoft Authenticator Устройство с ключом (то, что у вас есть), ПИН-код или биометрические данные (то, что вы знаете или кем вы являетесь)
В iOS модуль Authenticator Secure Element (SE) сохраняет ключ в “Связке ключей”. Apple Platform Security, защита
данных цепочки ключей в Android, Authenticator использует доверенный модуль выполнения (TEE), сохраняя ключ в хранилище ключей. Developers, система Android Keystore
Когда пользователи проходят проверку подлинности с помощью Microsoft Authenticator, Microsoft Entra ID создает случайное число, которое пользователь вводит в приложение. Это действие выполняет требование проверки подлинности вне канала.
Клиенты настраивают политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия требованиям Microsoft Intune. Пользователи разблокируют ключ жестом, а затем Microsoft Entra ID проверяет метод проверки подлинности.
Обзор требований для развертывания Windows Hello для бизнеса У вас есть что-то, например, устройство с ОС Windows с ключом, и что-то, что вы знаете или чем-то являетесь, например, ПИН-код или биометрические данные.
Ключи хранятся с помощью доверенного платформенного модуля устройства (TPM). Клиенты используют устройства с аппаратным модулем TPM 2.0 или более поздние версии для удовлетворения требований к методу проверки подлинности и внеполосным требованиям.
Уровни сертифицированного аутентификатора
Настройте политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия требованиям Microsoft Intune. Пользователи разблокируют ключ с помощью жеста для входа в устройство Windows.
Включение входа ключа безопасности без пароля, включение метода ключа безопасности FIDO2 Что-то, что у вас есть (ключ безопасности FIDO2) и то, что вы знаете или чем вы являетесь (ПИН-код или биометрические данные).
Ключи хранятся с аппаратными функциями шифрования. Клиенты используют ключи FIDO2, минимум уровня сертификации проверки подлинности 2 (L2), чтобы соответствовать требованиям к независимости метода аутентификации и аутентификации вне основного канала.
Приобретение оборудования с защитой от незаконного изменения и компрометации. Пользователи разблокируют ключи посредством жеста, а затем Microsoft Entra ID проверяет идентификационные данные.
Обзор проверки подлинности на основе сертификата Microsoft Entra У вас есть смарт-карта и известный только вам ПИН-код.
Физические смарт-карты или виртуальные смарт-карты, хранящиеся в TPM 2.0 или более поздней версии, являются безопасным элементом (SE). Это действие соответствует требованиям к независимости метода аутентификации и внеполосным требованиям.
Приобретение смарт-карт с защитой от незаконного изменения и компрометации. Пользователи разблокируют приватный ключ сертификата с помощью жеста или ПИН-кода, а затем Microsoft Entra ID проверяет учетные данные.

Следующие шаги

требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.

Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.