Microsoft Entra PCI-DSS 多要素認証ガイダンス
補足情報: 多要素認証 v 1.0
PCI Security Standards Council の「補足情報: 多要素認証 v 1.0」の要件を満たすには、Microsoft Entra ID でサポートされている認証方法に関する次の表を使用してください。
| Method | 要件を満たすには | 保護 | MFA 要素 |
|---|---|---|---|
| Microsoft Authenticator でのパスワードレスの電話によるサインイン | ユーザーが持っているもの (キーが格納されたデバイス)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証) iOS では、Authenticator セキュア エレメント (SE) によってキーがキーチェーンに格納されます。 Apple プラットフォームのセキュリティ、キーチェーンのデータ保護 Android では、キーストアにキーを格納することで、Authenticator で Trusted Execution Engine (TEE) を使用します。 デベロッパー、Android Keystore システム ユーザーが Microsoft Authenticator を使用して認証すると、Microsoft Entra ID によって、ユーザーがアプリに入力する乱数が生成されます。 このアクションは、アウトオブバンド認証要件を満たします。 |
お客様は、デバイスの侵害リスクを軽減するために、デバイス保護ポリシーを構成します。 たとえば、Microsoft Intune のコンプライアンス ポリシーです。 | ユーザーがジェスチャを使用してキーのロックを解除すると、Microsoft Entra ID によって認証方法が検証されます。 |
| Windows Hello for Business の展開の前提条件の概要 | ユーザーが持っているもの (キーが格納された Windows デバイス)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証)。 キーは、デバイスのトラステッド プラットフォーム モジュール (TPM) と共に格納されます。 お客様は、ハードウェア TPM 2.0 以降が搭載されたデバイスを使用して、認証方法の独立とアウトオブバンド要件を満たします。 認定 Authenticator のレベル |
デバイスの侵害リスクを軽減するために、デバイス保護ポリシーを構成します。 たとえば、Microsoft Intune のコンプライアンス ポリシーです。 | ユーザーは、Windows デバイスのサインインのジェスチャを使用してキーのロックを解除します。 |
| パスワードなしのセキュリティ キー サインインを有効にする、FIDO2 セキュリティ キーの方法を有効にする | ユーザーが持っているもの (FIDO2 セキュリティ キー)、ユーザーが知っているものまたはユーザー自身 (PIN または生体認証)。 キーは、ハードウェア暗号化機能と共に格納されます。 お客様は、FIDO2 キー (少なくとも認証認定レベル 2 (L2)) を使用して、認証方法の独立とアウトオブバンド要件を満たします。 |
改ざんや侵害から保護されたハードウェアを調達します。 | ユーザーがジェスチャを使用してキーのロックを解除すると、Microsoft Entra ID によって資格情報が検証されます。 |
| Microsoft Entra 証明書ベースの認証の概要 | ユーザーが持っているもの (スマート カード)、ユーザーが知っているもの (PIN)。 TPM 2.0 以降に格納されている物理スマート カードまたは仮想スマート カードは、セキュア エレメント (SE) です。 このアクションは、認証方法の独立とアウトオブバンド要件を満たします。 |
改ざんや侵害から保護されたスマート カードを調達します。 | ユーザーがジェスチャ (PIN) を使用して証明書の秘密キーのロックを解除すると、Microsoft Entra ID によって資格情報が検証されます。 |
次のステップ
PCI-DSS 要件 3、4、9、12 は Microsoft Entra ID には適用されないため、対応する記事はありません。 すべての要件を確認するには、PCI Security Standards Council 公式サイト (pcisecuritystandards.org) にアクセスしてください。
PCI-DSS に準拠するように Microsoft Entra ID を構成するには、次の記事をご覧ください。
- Microsoft Entra PCI-DSS ガイダンス
- 要件 1: ネットワーク セキュリティ制御をインストールして維持する
- 要件 2: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
- 要件 5: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
- 要件 6: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
- 要件 7: 業務上の知る必要によってシステム コンポーネントとカード会員データへのアクセスを制限する
- 要件 8: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
- 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
- 要件 11: システムおよびネットワークのセキュリティを定期的にテストする
- Microsoft Entra PCI-DSS 多要素認証ガイダンス (この記事)
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示