Rapport sur l’état des exigences de sécurité

Rôles appropriés : Administrateur CPV | Administrateur général

Cet article explique le rapport d’état des exigences de sécurité dans l’Espace partenaires.

Rapport d’état des exigences de sécurité :

  • Fournit des métriques sur la conformité de l’authentification multifacteur (MFA). (La conformité MFA est une exigence de sécurité de partenaire pour les utilisateurs de votre locataire partenaire.)
  • Affiche les activités de l’Espace partenaires sur les locataires partenaires.

L’état des exigences de sécurité est mis à jour quotidiennement et reflète les données de connexion des sept jours précédents.

Accéder au rapport d’état des exigences de sécurité

Pour accéder au rapport d’état des exigences de sécurité, procédez comme suit :

  1. Connectez-vous à l’Espace partenaires et sélectionnez l’icône Paramètres (engrenage).
  2. Sélectionnez l’espace de travail Paramètres du compte, puis l’état des exigences de sécurité.

Remarque

Le rapport d’état des exigences de sécurité est pris en charge uniquement dans l’Espace partenaires. Il n’est pas disponible dans Microsoft Cloud for US Government ni Microsoft Cloud Allemagne.

Nous recommandons vivement que tous les partenaires qui effectuent des transactions via un cloud souverain (gouvernement des États-Unis et Allemagne) adoptent ces nouvelles exigences de sécurité, mais cela n’est pas nécessaire.

Microsoft fournira plus de détails sur l’application de ces exigences de sécurité pour les clouds souverains à l’avenir.

Métriques d’état de la sécurité

Les sections suivantes expliquent les métriques dans le rapport d’état des exigences de sécurité plus en détail.

Configuration de MFA sur un locataire partenaire

La métrique Pourcentage de comptes utilisateurs activés avec MFA appliquée utilisant les options répertoriées ici indique le pourcentage de comptes d’utilisateur activés sur votre locataire partenaire pour lesquels MFA est appliquée. Vous pouvez utiliser l’une de ces options MFA pour vous mettre en conformité. Ces données sont capturées et signalées quotidiennement. Par exemple :

  • Contoso est un partenaire CSP avec 110 comptes d’utilisateur dans le locataire. 10 de ces comptes d’utilisateur sont désactivés.
  • Parmi les 100 comptes d’utilisateur restants, 90 ont appliqué l’authentification multifacteur à l’aide des options MFA fournies.

Par conséquent, la métrique affiche 90 %.

Demandes adressées à l’Espace partenaires avec MFA

Chaque fois que vos employés se connectent pour travailler dans l’Espace partenaires ou utiliser des API, puis obtenir ou envoyer des données via l’Espace partenaires, leur état de sécurité est contesté et suivi. Vos applications et les applications de tout fournisseur de panneau de contrôle sont également incluses dans le suivi du statut de sécurité. Ces données sont affichées dans les métriques sous Pourcentage de demandes adressées à l’Espace partenaires avec MFA et reflètent les sept jours précédents.

Vérification de MFA dans le tableau de bord

La métrique Via l’Espace partenaires est liée aux activités de l’Espace partenaires. Elle mesure le pourcentage des opérations effectuées par les utilisateurs qui ont effectué la vérification MFA. Par exemple :

  • Contoso est un partenaire CSP avec deux agents Administration, Jane et John.
  • Le premier jour, Jane s’est connecté à l’Espace partenaires sans vérification MFA et a effectué trois opérations.
  • Le deuxième jour, John s’est connecté à l’Espace partenaires sans vérification MFA et a effectué cinq opérations.
  • Le troisième jour, Jane s’est connecté à l’Espace partenaires avec vérification MFA et a effectué deux opérations.
  • Aucune opération n’a été effectuée par l’un ou l’autre agent sur les quatre jours restants.
  • Sur les 10 opérations effectuées dans la fenêtre de sept jours, deux ont été effectuées par un utilisateur avec vérification MFA. Par conséquent, la métrique affiche 20 %.

Utilisez les demandes du portail de fichiers sans authentification multifacteur pour comprendre l’utilisateur connecté à l’Espace partenaires sans avoir de vérification MFA et l’heure de la dernière visite pendant la fenêtre de création de rapports.

Vérification de MFA dans Application+Utilisateur

La métrique Via l’API ou le SDK est liée à l’authentification Application+Utilisateur par le biais de demandes d’API de l’Espace partenaires. Elle mesure le pourcentage de demandes d’API effectuées en utilisant un jeton d’accès avec la revendication MFA. Par exemple :

  • Fabrikam est un partenaire fournisseur de solutions Cloud et possède une application CSP qui utilise une combinaison de méthodes d’authentification Application+Utilisateur et d’authentification d’application uniquement.
  • Le premier jour, cette application a effectué trois demandes d’API qui ont été appuyées par un jeton d’accès obtenu par le biais de la méthode d’authentification Application+Utilisateur sans vérification MFA.
  • Le deuxième jour, l’application a effectué cinq demandes d’API, qui ont été appuyées par un jeton d’accès obtenu à l’aide de l’authentification d’application uniquement.
  • Le troisième jour, l’application a effectué deux demandes d’API, qui ont été appuyées par un jeton d’accès obtenu par le biais de la méthode d’authentification Application+Utilisateur avec vérification MFA.
  • Aucune opération n’a été effectuée par ces agents les quatre jours restants.
  • Les cinq demandes d’API le deuxième jour, qui ont été sauvegardées par un jeton d’accès obtenu via l’authentification App uniquement, sont omises de la métrique, car elles n’utilisent pas les informations d’identification de l’utilisateur. Parmi les cinq opérations restantes, deux ont été appuyées par un jeton d’accès obtenu avec la vérification MFA. Par conséquent, la métrique affiche 40 %.

Si vous souhaitez comprendre quelles activités App+utilisateur entraînent le non-100 % sur cette métrique, utilisez les fichiers :

  • Le fichier de synthèse des demandes d’API (API requests summary) pour comprendre l’état d’authentification MFA global par application.
  • Toutes les demandes d’API pour comprendre les détails de chaque demande d’API effectuées par les utilisateurs de votre locataire. Le résultat est limité à un maximum de 10 000 demandes les plus récentes pour garantir une bonne expérience de téléchargement.

Actions à entreprendre lorsque l’état de l’authentification multifacteur est inférieur à 100 %

Certains partenaires qui ont implémenté MFA peuvent constater des métriques inférieures à 100 % dans le rapport. Pour comprendre pourquoi, voici quelques facteurs à prendre en compte.

Remarque

Vous devrez travailler avec une personne de votre organisation qui connaît la gestion des identités et l’implémentation MFA pour votre locataire partenaire.

MFA implémentée pour votre locataire partenaire

Vous devez implémenter MFA pour votre locataire partenaire afin de vous mettre en conformité. Pour plus d’informations sur l’implémentation de l’authentification multifacteur, consultez Les exigences de sécurité pour l’utilisation de l’Espace partenaires ou des API de l’Espace partenaires.

Remarque

Les métriques MFA sont calculées quotidiennement et prennent en compte les opérations effectuées au cours des sept derniers jours. Si vous avez récemment terminé l’implémentation de l’authentification multifacteur pour votre locataire partenaire, les métriques peuvent ne pas afficher encore 100 %.

Vérifier MFA sur tous les comptes d’utilisateur

Déterminez si votre implémentation de l’authentification multifacteur actuelle couvre tous les comptes d’utilisateur ou seulement certains. Certaines solutions MFA sont basées sur des stratégies et prennent en charge l’exclusion des utilisateurs, tandis que d’autres peuvent vous obliger à activer explicitement MFA pour chaque utilisateur.

Vérifiez que vous n’avez exclu aucun utilisateur de votre implémentation MFA actuelle. Tout compte d’utilisateur exclu et connecté à l’Espace partenaires pour effectuer n’importe quelle activité CSP, CPV ou Advisor peut entraîner la mise en place des métriques inférieures à 100 %.

Passer en revue les conditions de MFA

Déterminez si votre implémentation actuelle applique uniquement l’authentification multifacteur dans des conditions spécifiques. Certaines solutions MFA offrent la flexibilité nécessaire pour appliquer l’authentification multifacteur uniquement lorsque certaines conditions sont remplies. Par exemple, lorsqu’un utilisateur accède à partir d’un appareil inconnu ou d’un emplacement inconnu, ce qui peut déclencher l’application de l’authentification multifacteur. Un utilisateur qui est activé pour l’authentification multifacteur, mais qui n’est pas obligé d’effectuer la vérification MFA lors de l’accès à l’Espace partenaires peut entraîner l’utilisation des métriques inférieures à 100 %.

Remarque

Pour les partenaires qui ont implémenté l’authentification multifacteur à l’aide des paramètres de sécurité Microsoft Entra par défaut, il est important de noter que pour les comptes d’utilisateur non administrateurs, l’authentification multifacteur est appliquée en fonction du risque. Les utilisateurs sont invités à utiliser l’authentification multifacteur uniquement pendant les tentatives de connexion risquées (par exemple, si un utilisateur se connecte à partir d’un autre emplacement). En outre, les utilisateurs ont jusqu’à 14 jours pour s’inscrire à l’authentification multifacteur. Les utilisateurs qui n’ont pas terminé l’inscription de l’authentification multifacteur ne sont pas contestés pour la vérification MFA pendant la période de 14 jours. Par conséquent, on s’attend à ce que les métriques soient inférieures à 100 % pour les partenaires qui ont implémenté l’authentification multifacteur à l’aide des paramètres de sécurité Microsoft Entra par défaut.

Passer en revue les configurations MFA tierces

Si vous utilisez une solution MFA tierce, identifiez la façon dont vous l’intégrez à l’ID Microsoft Entra. En général, il existe deux méthodes :

  • Fédération d’identité : lorsque l’ID Microsoft Entra reçoit une demande d’authentification, l’ID Microsoft Entra redirige l’utilisateur vers le fournisseur d’identité fédéré pour l’authentification. Une fois l’authentification réussie, le fournisseur d’identité fédéré redirige l’utilisateur vers Microsoft Entra ID avec un jeton SAML. Pour que Microsoft Entra ID reconnaisse que l’utilisateur a effectué la vérification MFA lors de l’authentification auprès du fournisseur d’identité fédéré, le jeton SAML doit inclure la revendication authenticationmethodsreferences (avec la valeur multipleauthn). Vérifiez si le fournisseur d’identité fédéré prend en charge l’émission d’une telle revendication. Si c’est le cas, vérifiez si le fournisseur d’identité fédérée a été configuré pour cela. Si la revendication est manquante, l’ID Microsoft Entra (et par conséquent, l’Espace partenaires) ne sait pas que l’utilisateur a effectué la vérification MFA. L’absence de la revendication peut entraîner la métrique sous 100 %.

  • Contrôle personnalisé - Microsoft Entra Custom Control ne peut pas être utilisé pour identifier si un utilisateur a effectué la vérification MFA via une solution MFA tierce. Par conséquent, tout utilisateur qui a effectué la vérification MFA par le biais d’un contrôle personnalisé apparaît toujours à l’ID Microsoft Entra (et à son tour, à l’Espace partenaires) comme n’ayant pas terminé la vérification MFA. Dans la mesure du possible, il est recommandé de passer à l’utilisation de la fédération d’identité par opposition au contrôle personnalisé lors de l’intégration à l’ID Microsoft Entra.

Identifier les utilisateurs qui se sont connectés à l’Espace partenaires sans MFA

Il peut être utile d’identifier les utilisateurs qui se connectent à l’Espace partenaires sans vérification MFA et de les vérifier par rapport à votre implémentation MFA actuelle. Vous pouvez utiliser le rapport de connexion Microsoft Entra pour déterminer si un utilisateur a effectué la vérification MFA ou non. Le rapport de connexion Microsoft Entra est disponible uniquement pour les partenaires qui ont souscrit à Microsoft Entra ID P1 ou P2 ou toute référence SKU Microsoft 365, qui inclut Microsoft Entra ID P1 ou P2 (par exemple, EMS).

Étapes suivantes