Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Дополнение к информации: Многофакторная идентификация версии 1.0
Используйте следующую таблицу методов проверки подлинности, поддерживаемых Microsoft Entra ID для удовлетворения требований в Совете по стандартам безопасности PCI Information Supplement, Multi-Factor Authentication версии 1.0.
| Способ | Соответствие требованиям | Защита | Элемент MFA |
|---|---|---|---|
| Вход с телефона без пароля с помощью Microsoft Authenticator | Устройство с ключом (то, что у вас есть), ПИН-код или биометрические данные (то, что вы знаете или кем вы являетесь) В iOS модуль Authenticator Secure Element (SE) сохраняет ключ в “Связке ключей”. Apple Platform Security, защита данных цепочки ключей в Android, Authenticator использует доверенный модуль выполнения (TEE), сохраняя ключ в хранилище ключей. Developers, система Android Keystore Когда пользователи проходят проверку подлинности с помощью Microsoft Authenticator, Microsoft Entra ID создает случайное число, которое пользователь вводит в приложение. Это действие выполняет требование проверки подлинности вне канала. |
Клиенты настраивают политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия требованиям Microsoft Intune. | Пользователи разблокируют ключ жестом, а затем Microsoft Entra ID проверяет метод проверки подлинности. |
| Обзор требований для развертывания Windows Hello для бизнеса | У вас есть что-то, например, устройство с ОС Windows с ключом, и что-то, что вы знаете или чем-то являетесь, например, ПИН-код или биометрические данные.
Ключи хранятся с помощью доверенного платформенного модуля устройства (TPM). Клиенты используют устройства с аппаратным модулем TPM 2.0 или более поздние версии для удовлетворения требований к методу проверки подлинности и внеполосным требованиям. Уровни сертифицированного аутентификатора |
Настройте политики защиты устройств для устранения риска компрометации устройств. Например, политики соответствия требованиям Microsoft Intune. | Пользователи разблокируют ключ с помощью жеста для входа в устройство Windows. |
| Включение входа ключа безопасности без пароля, включение метода ключа безопасности FIDO2 | Что-то, что у вас есть (ключ безопасности FIDO2) и то, что вы знаете или чем вы являетесь (ПИН-код или биометрические данные).
Ключи хранятся с аппаратными функциями шифрования. Клиенты используют ключи FIDO2, минимум уровня сертификации проверки подлинности 2 (L2), чтобы соответствовать требованиям к независимости метода аутентификации и аутентификации вне основного канала. |
Приобретение оборудования с защитой от незаконного изменения и компрометации. | Пользователи разблокируют ключи посредством жеста, а затем Microsoft Entra ID проверяет идентификационные данные. |
| Обзор проверки подлинности на основе сертификата Microsoft Entra | У вас есть смарт-карта и известный только вам ПИН-код.
Физические смарт-карты или виртуальные смарт-карты, хранящиеся в TPM 2.0 или более поздней версии, являются безопасным элементом (SE). Это действие соответствует требованиям к независимости метода аутентификации и внеполосным требованиям. |
Приобретение смарт-карт с защитой от незаконного изменения и компрометации. | Пользователи разблокируют приватный ключ сертификата с помощью жеста или ПИН-кода, а затем Microsoft Entra ID проверяет учетные данные. |
Следующие шаги
требованияPCI-DSS 34, 9 и 12 не применимы к Microsoft Entra ID, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке Microsoft Entra ID соответствия требованиям PCI-DSS см. в следующих статьях.
- Руководство Microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7: ограничение доступа к системным компонентам и данным держателей карт на основе служебной необходимости
- Требование 8: Определение пользователей и аутентификация доступа к системным компонентам
- Требование 10: ведение журнала и мониторинг всех доступов к системным компонентам и данным держателей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной аутентификации Microsoft Entra PCI-DSS (Вы здесь)