Biztonsági követelmények állapotjelentése

  • Cikk

Megfelelő szerepkörök: CPV-rendszergazda | Globális rendszergazda

Ez a cikk a Partnerközpont Biztonsági követelmények állapotjelentését ismerteti.

A biztonsági követelmények állapotjelentése:

  • Metrikákat biztosít a többtényezős hitelesítés (MFA) megfelelőségéről. (Az MFA-megfelelőség partnerbiztonsági követelmény a partnerbérlében lévő felhasználók számára.)
  • Partnerközpont-tevékenységeket jelenít meg a partnerbérlokon.

A biztonsági követelmények állapota naponta frissül, és az előző hét nap bejelentkezési adatait tükrözi.

Hozzáférés a biztonsági követelmények állapotjelentéséhez

A biztonsági követelmények állapotjelentésének eléréséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Partnerközpontba, és válassza a Gépház (fogaskerék) ikont.
  2. Válassza ki a Fiókbeállítások munkaterületet, majd a Biztonsági követelmények állapotát.

Megjegyzés:

A biztonsági követelmények állapotjelentése csak a Partnerközpontban támogatott. Nem érhető el a Microsoft Cloud for US Government vagy a Microsoft Cloud Germany alkalmazásban.

Határozottan javasoljuk, hogy minden, szuverén felhőn keresztül áthaladó partner (az EGYESÜLT Államok kormánya és Németország) fogadja el ezeket az új biztonsági követelményeket, de erre nincs szükség.

A Microsoft a jövőben további részleteket nyújt a szuverén felhőkre vonatkozó biztonsági követelmények betartatásáról.

Biztonsági állapotmetrikák

A következő szakaszok részletesebben ismertetik a biztonsági követelmények állapotjelentésében szereplő metrikákat.

MFA-konfiguráció partnerbérlokon

Az MFA-val rendelkező engedélyezett felhasználói fiókok metrikaaránya az itt felsorolt lehetőségek használatával: az engedélyezett felhasználói fiókok százalékos aránya az MFA-val rendelkező partnerbérlelőn. Ezen MFA-lehetőségek egyikével érheti el a megfelelőséget. Ezeket az adatokat a rendszer naponta rögzíti és jelenti. Például:

  • A Contoso egy CSP-partner, amely 110 felhasználói fiókkal rendelkezik a bérlőben. Ezek közül 10 felhasználói fiók le van tiltva.
  • A fennmaradó 100 felhasználói fiók közül 90-nek van MFA kényszerítve a megadott MFA-beállítások használatával.

Ezért a metrika 90%-ot jelenít meg.

Partnerközpont-kérelmek az MFA-val

Minden alkalommal, amikor az alkalmazottak bejelentkeznek a Partnerközpontba, vagy API-kat használnak, majd adatokat kapnak vagy küldenek a Partnerközponton keresztül, a rendszer megkérdőjelezi és nyomon követi a biztonsági állapotukat. A biztonsági állapotkövetés részét képezik az alkalmazások és a vezérlőpult gyártói alkalmazásai is. Ezek az adatok a Partnerközpontnak az MFA-val történő kérések százalékos aránya területen jelennek meg a metrikákban, és az előző hét napot tükrözik.

Irányítópult MFA-ellenőrzése

A Partnerközponton keresztüli metrika a Partnerközponton belüli tevékenységekhez kapcsolódik. Az MFA-ellenőrzést végző felhasználók által végrehajtott műveletek százalékos arányát méri. Például:

  • A Contoso egy CSP-partner két Rendszergazda ügynökkel, Jane-nel és Johnnal.
  • Az első napon Jane MFA-ellenőrzés nélkül jelentkezett be a Partnerközpontba, és három műveletet hajtott végre.
  • A második napon John MFA-ellenőrzés nélkül jelentkezett be a Partnerközpontba, és öt műveletet hajtott végre.
  • A harmadik napon Jane MFA-ellenőrzéssel jelentkezett be a Partnerközpontba, és két műveletet hajtott végre.
  • Egyik ügynök sem hajtott végre műveleteket a hátralévő négy napban.
  • A hétnapos ablakban végrehajtott 10 művelet közül kettőt egy MFA-ellenőrzéssel rendelkező felhasználó hajtott végre. Ezért a metrika 20%-ot jelenít meg.

A portál MFA nélküli kéréseinek használatával megtudhatja, hogy melyik felhasználó jelentkezett be a Partnerközpontba MFA-ellenőrzés és a jelentéskészítési időszak utolsó látogatásának időpontja nélkül.

Alkalmazás+felhasználói MFA-ellenőrzés

A metrika API-n vagy SDK-n keresztül az App+User hitelesítéshez kapcsolódik a Partnerközpont API-kérései révén. MFA-jogcímmel rendelkező hozzáférési jogkivonat használatával végrehajtott API-kérések százalékos arányát méri. Például:

  • A Fabrikam egy CSP-partner, és olyan CSP-alkalmazással rendelkezik, amely az App+User és az app-only hitelesítési módszerek kombinációját használja.
  • Az első napon az alkalmazás három API-kérést küldött, amelyeket egy, az App+User hitelesítési módszerrel, MFA-ellenőrzés nélkül beszerzett hozzáférési jogkivonat támogatott.
  • A második napon az alkalmazás öt API-kérést küldött, amelyeket egy csak alkalmazásalapú hitelesítéssel beszerzett hozzáférési jogkivonat támogatott.
  • A harmadik napon az alkalmazás két API-kérést küldött, amelyeket egy, az App+User hitelesítési módszerrel MFA-ellenőrzéssel beszerzett hozzáférési jogkivonat támogatott.
  • Egyik ügynök sem hajtott végre műveleteket a hátralévő négy napban.
  • A második napon az öt API-kérést, amelyeket egy csak alkalmazásalapú hitelesítéssel beszerzett hozzáférési jogkivonat támogatott, a metrika kihagyja, mert nem használja a felhasználói hitelesítő adatokat. A fennmaradó öt művelet közül kettőt egy MFA-ellenőrzéssel beszerzett hozzáférési jogkivonat támogatott. Ezért a metrika 40%-ot mutat.

Ha szeretné megtudni, hogy mely app+felhasználói tevékenységek eredményeznek nem 100%-ot ezen a metrikán, használja a fájlokat:

  • Az API összegzést kér az MFA általános állapotának alkalmazásonkénti megismeréséhez.
  • Minden API-kérés a bérlő felhasználói által küldött api-kérések részleteinek megértéséhez. Az eredmény legfeljebb a 10 000 legutóbbi kérésre korlátozódik, hogy biztosítsa a megfelelő letöltési élményt.

100%-nál kisebb MFA-állapot esetén végrehajtandó műveletek

Az MFA-t implementáló partnerek némelyike 100% alatti jelentésmetrikát láthat. Annak megértéséhez, hogy miért, íme néhány tényezőt kell figyelembe venni.

Megjegyzés:

Olyan munkatárssal kell dolgoznia a szervezetéből, aki ismeri a partnerbérlevő identitáskezelését és MFA-implementációját.

Implementált MFA a partnerbérlevőhöz

A megfelelőség eléréséhez implementálnia kell az MFA-t a partnerbérlében. Az MFA implementálásával kapcsolatos információkért tekintse meg a Partnerközpont vagy a Partnerközpont API-k használatára vonatkozó biztonsági követelményeket.

Megjegyzés:

Az MFA-metrikákat naponta számítjuk ki, és figyelembe vesszük az előző hét napban végrehajtott műveleteket. Ha csak nemrég fejezte be az MFA implementációt a partnerbérlében, előfordulhat, hogy a metrikák még nem 100%-ot mutatnak.

MFA ellenőrzése az összes felhasználói fiókon

Megtudhatja, hogy az MFA jelenlegi implementációja kiterjed-e az összes felhasználói fiókra, vagy csak néhányra. Egyes MFA-megoldások szabályzatalapúak, és támogatják a felhasználók kizárását, míg mások megkövetelik, hogy felhasználónként explicit módon engedélyezze az MFA-t.

Győződjön meg arról, hogy nem zárt ki egyetlen felhasználót sem az aktuális MFA-implementációból. Bármely kizárt felhasználói fiók, és a Partnerközpontba bejelentkezve csP-, CPV- vagy Tanácsadói tevékenységhez kapcsolódik, a metrikák 100% alatt lehetnek.

Az MFA feltételeinek áttekintése

Megtudhatja, hogy a jelenlegi implementáció csak meghatározott feltételek mellett kényszeríti-e ki az MFA-t. Egyes MFA-megoldások rugalmasan kényszerítik az MFA-t csak bizonyos feltételek teljesülése esetén. Ha például egy felhasználó ismeretlen eszközről vagy ismeretlen helyről fér hozzá, az MFA-kényszerítést indíthat el. Az MFA-hoz engedélyezett, de a Partnerközpont elérésekor az MFA-ellenőrzés elvégzéséhez nem szükséges felhasználó a metrikák 100%- nál kisebb arányát okozhatja.

Megjegyzés:

Az MFA-t a Microsoft Entra biztonsági alapértelmezett beállításaival implementáló partnerek számára fontos megjegyezni, hogy a nem rendszergazdai felhasználói fiókok esetében az MFA a kockázat alapján lesz érvényesítve. A rendszer csak kockázatos bejelentkezési kísérletek során kéri a felhasználóktól az MFA-t (például ha egy felhasználó más helyről jelentkezik be). Emellett a felhasználóknak legfeljebb 14 napjuk van regisztrálni az MFA-ra. Azok a felhasználók, akik nem végezték el az MFA-regisztrációt, a 14 napos időszak alatt nem kell MFA-ellenőrzést végezniük. Ezért a metrikák várhatóan 100% alatt lesznek azoknak a partnereknek, akik az MFA-t a Microsoft Entra biztonsági alapértelmezett beállításaival implementálták.

Külső MFA-konfigurációk áttekintése

Ha külső MFA-megoldást használ, azonosítsa, hogyan integrálja azt a Microsoft Entra-azonosítóval. Általában két módszer létezik:

  • Identitás-összevonás – Amikor a Microsoft Entra ID hitelesítési kérést kap, a Microsoft Entra ID átirányítja a felhasználót az összevont identitásszolgáltatóhoz hitelesítés céljából. Sikeres hitelesítés esetén az összevont identitásszolgáltató egy SAML-jogkivonattal együtt visszairányítja a felhasználót a Microsoft Entra-azonosítóra. Ahhoz, hogy a Microsoft Entra-azonosító felismerje, hogy a felhasználó elvégezte az MFA-ellenőrzést az összevont identitásszolgáltatóhoz való hitelesítéskor, az SAML-jogkivonatnak tartalmaznia kell a hitelesítésimethodsreferences jogcímet (multipleauthn értékkel). Ellenőrizze, hogy az összevont identitásszolgáltató támogatja-e az ilyen jogcímek kiállítását. Ha igen, ellenőrizze, hogy az összevont identitásszolgáltató erre van-e konfigurálva. Ha a jogcím hiányzik, a Microsoft Entra-azonosító (és így a Partnerközpont) nem fogja tudni, hogy a felhasználó elvégezte az MFA-ellenőrzést. Ha hiányzik a jogcím, a metrika 100% alatt lehet.

  • Egyéni vezérlő – A Microsoft Entra Egyéni vezérlő nem használható annak azonosítására, hogy egy felhasználó végrehajtotta-e az MFA-ellenőrzést egy külső MFA-megoldáson keresztül. Ennek eredményeképpen minden olyan felhasználó, aki az MFA-ellenőrzést egyéni vezérlőn keresztül végezte el, mindig úgy jelenik meg a Microsoft Entra-azonosítóban (és a Partnerközpontban), hogy nem végezte el az MFA-ellenőrzést. Ahol lehetséges, javasoljuk, hogy a Microsoft Entra ID-val való integráció során az Egyéni vezérlő helyett az Identity Federation használatára váltson.

Annak azonosítása, hogy mely felhasználók jelentkeztek be a Partnerközpontba MFA nélkül

Hasznos lehet azonosítani, hogy mely felhasználók jelentkeznek be a Partnerközpontba MFA-ellenőrzés nélkül, és ellenőrizhetik őket az aktuális MFA-implementációban. A Microsoft Entra bejelentkezési jelentésével megállapíthatja, hogy egy felhasználó elvégezte-e az MFA-ellenőrzést. A Microsoft Entra bejelentkezési jelentés csak azoknak a partnereknek érhető el, akik feliratkoztak a Microsoft Entra ID P1 vagy P2 azonosítójára, illetve bármely Microsoft 365 termékváltozatra, amely tartalmazza a P1 vagy P2 Microsoft Entra azonosítót (például EMS).

Következő lépések