セキュリティ要件の状態レポート

  • [アーティクル]

対象ロール: CPV 管理者 | グローバル管理者

この記事では、パートナー センターの セキュリティ要件の状態 レポートについて説明します。

セキュリティ要件の状態レポート:

セキュリティ要件の状態 は毎日更新され、過去 7 日間のサインイン データが反映されます。

セキュリティ要件の状態レポートにアクセスする

セキュリティ要件の状態レポートにアクセスするには、次の手順を使用します。

  1. パートナー センターサインインし、設定 (歯車) アイコンを選択します。
  2. [アカウント設定] ワークスペースを選択し、[セキュリティ要件の状態] を選択します

Note

セキュリティ要件の 状態 レポートは、パートナー センターでのみサポートされています。 Microsoft Cloud for US Government または Microsoft Cloud Germany では使用できません。

ソブリン クラウド (米国政府とドイツ) を介して取引するすべてのパートナーに、これらの新しいセキュリティ要件を採用することを強くお勧めしますが、そうする必要はありません。

Microsoft では、今後ソブリン クラウドに対するこれらのセキュリティ要件の適用に関する詳細を提供します。

セキュリティ状態のメトリック

次のセクションでは、セキュリティ要件の状態レポートメトリックについて詳しく説明します。

パートナー テナントでの MFA 構成

メトリック [Percentage of enabled user accounts with MFA enforced using options listed here:]\(こちらに一覧表示されているオプションを使用して MFA が強制された有効なユーザー アカウントの割合:\) には、パートナー テナント上で MFA が強制された有効なユーザー アカウントの割合が示されます。 準拠を達成するには、これらの MFA オプションのいずれかを使用できます。 このデータは毎日キャプチャされ、報告されます。 次に例を示します。

  • Contoso は、テナント内に 110 個のユーザー アカウントを持つ CSP パートナーです。 これらのユーザー アカウントのうち 10 個が無効になっています。
  • 再メイン 100 個のユーザー アカウントのうち、90 個に、指定された MFA オプションを使用して MFA が適用されています。

そのため、メトリックには 90%表示されます。

MFA を使用したパートナー センター要求

従業員がサインインしてパートナー センターで作業したり、API を使用したり、パートナー センターを通じてデータを取得または送信したりするたびに、セキュリティの状態が確認され、追跡されます。 また、セキュリティ状態の追跡には、自社のアプリケーションと、すべてのコントロール パネル ベンダー アプリケーションも含まれます。 このデータは、MFA を使用したパートナー センターへの要求の割合のメトリックに表示され、過去 7 日間が反映されます。

ダッシュボード MFA 検証

パートナー センターを通じたメトリック は、パートナー センター 内のアクティビティに関連しています。 MFA 検証を完了したユーザーによって行われた操作の割合が測定されます。 次に例を示します。

  • Contoso は、Jane と John という 2 つの管理 エージェントを持つ CSP パートナーです。
  • 最初の日に、Jane は MFA 検証なしでパートナー センターにログインし、3 つの操作を実行しました。
  • 2 日目に、John は MFA 検証なしでパートナー センターにログインし、5 つの操作を実行しました。
  • 3 日目に、Jane は MFA 検証を使用してパートナー センターにログインし、2 つの操作を実行しました。
  • 4 日間メインどちらのエージェントでも操作は実行されませんでした。
  • 7 日間のウィンドウで実行された 10 個の操作のうち、2 つは MFA 検証を使用してユーザーによって実行されました。 そのため、メトリックには 20%表示されます。

MFA を使用しないファイル ポータル要求を使用して、MFA 検証を行わずにパートナー センターにログインしたユーザーと、レポート期間中の最後のアクセス時刻を把握します。

アプリ + ユーザー MFA 検証

メトリック [Through API or SDK]\(API または SDK 経由\) は、パートナー センター API 要求を介したアプリ + ユーザー認証に関連しています。 MFA 要求と共にアクセス トークンを使用して行われた API 要求の割合が測定されます。 次に例を示します。

  • Fabrikam は CSP パートナーであり、[App+User authentication]\(アプリ + ユーザー認証\) とアプリのみの認証方法を組み合わせて使用する CSP アプリケーションを持っています。
  • 初日に、アプリケーションでは、MFA 検証を完了せずに、[App+User authentication]\(アプリ + ユーザー認証\) 方法を介して取得されたアクセス トークンを利用して、3 つの API 要求を作成しました。
  • 2 日目に、アプリケーションでは、[App-only authentication]\(アプリのみの認証\) を介して取得されたアクセス トークンを利用して、5 つの API 要求を作成しました。
  • 3 日目に、アプリケーションでは、MFA 検証を完了し、[App+User authentication]\(アプリ + ユーザー認証\) 方法を介して取得されたアクセス トークンを利用して、2 つの API 要求を作成しました。
  • 残りの 4 日間は、どちらのエージェントも操作を行いませんでした。
  • 2 日目の 5 つの API 要求は、アプリ専用認証によって取得されたアクセス トークンによってサポートされ、ユーザー資格情報を使用しないため、メトリックから省略されます。 残りの 5 つの操作のうち、2 つでは MFA 検証を完了して取得されたアクセス トークンを利用しました。 したがって、メトリックは 40% を示します

このメトリックで 100% 以外の結果となる App+ユーザー アクティビティを理解するには、次のファイルを使用します。

  • [API requests summary]\(API 要求の概要\)。アプリケーションごとの全体的な MFA 状態を把握できます。
  • テナントの ユーザーによって行われた各 API 要求の詳細を理解するためのすべての API 要求。 結果は、優れたダウンロード エクスペリエンスを確保するために、最新の要求が最大 10,000 件に制限されます。

MFA の状態が 100% 未満の場合に実行するアクション

MFA を実装したパートナーが 100% を下回るレポート メトリックを受け取る場合があります。 その理由を理解するために、考慮する必要がある要素を次に示します。

Note

パートナー テナントの ID 管理と MFA の実装に精通している組織のユーザーと協力する必要があります。

パートナー テナント用に MFA を実装する

準拠を達成するには、パートナー テナント用に MFA を実装する必要があります。 MFA を実装する方法については、「パートナー センターまたはパートナー センター API を使用するためのセキュリティ要件」を参照してください

Note

MFA メトリックは毎日計算され、過去 7 日間に実行された操作を考慮します。 パートナー テナントの MFA の実装を最近完了した場合、メトリックにはまだ 100% が表示されない可能性があります。

すべてのユーザー アカウントで MFA を検証する

現在の MFA 実装の対象がすべてのユーザー アカウントか一部のみかを把握します。 一部の MFA ソリューションはポリシーベースであり、ユーザーの除外をサポートしますが、ユーザーごとに MFA を明示的に有効にすることが必要な場合もあります。

現在の MFA 実装からユーザーを除外していないことを確認します。 除外され、パートナー センターにログインして CSP、CPV、または Advisor 関連のアクティビティを実行するすべてのユーザー アカウントによって、メトリックが 100% を下回る可能性があります。

MFA の条件を確認する

現在の実装が特定の条件下でのみ MFA を適用するかどうかを理解します。 一部の MFA ソリューションでは、特定の条件が満たされた場合にのみ MFA を適用する柔軟性が提供されます。 たとえば、ユーザーが不明なデバイスまたは不明な場所からアクセスしている場合、MFA の適用をトリガーできます。 MFA が有効になっているが、パートナー センターにアクセスするときに MFA 検証を完了する必要がないユーザーは、メトリックが 100% を下回る可能性があります。

Note

Microsoft Entra セキュリティの既定値を使用して MFA を実装したパートナーの場合は、管理者以外のユーザー アカウントの場合、リスクに基づいて MFA が適用されることに注意することが重要です。 ユーザーは、危険なサインイン試行中にのみ MFA を求められます (たとえば、ユーザーが別の場所からサインインしている場合)。 さらに、ユーザーは MFA に登録するために最大 14 日間かかります。 MFA 登録を完了していないユーザーは、14 日間の MFA 検証にチャレンジされません。 そのため、Microsoft Entra セキュリティの既定値を使用して MFA を実装したパートナーの場合、メトリックは 100% を下回ることが予想されます。

サード パーティの MFA の構成を確認する

サードパーティの MFA ソリューションを使用している場合は、Microsoft Entra ID と統合する方法を特定します。 一般に、次の 2 つの方法があります。

  • ID フェデレーション - Microsoft Entra ID が認証要求を受信すると、Microsoft Entra ID はユーザーを認証用のフェデレーション ID プロバイダーにリダイレクトします。 認証が成功すると、フェデレーション ID プロバイダーは SAML トークンと共にユーザーを Microsoft Entra ID にリダイレクトします。 フェデレーション ID プロバイダーへの認証時にユーザーが MFA 検証を完了したことを Microsoft Entra ID が認識するには、SAML トークンに authenticationmethodsreferences 要求 (値 multipleauthn を使用) が含まれている必要があります。 フェデレーション ID プロバイダーがこのような要求の発行をサポートしているかどうかを確認します。 その場合、この処理を実行するようにフェデレーション ID プロバイダーが構成されているかどうかを確認します。 要求が見つからない場合、Microsoft Entra ID (したがって、パートナー センター) は、ユーザーが MFA 検証を完了したことを認識しません。 要求が見つからないと、メトリックが 100% を下回る可能性があります。

  • カスタム コントロール - Microsoft Entra カスタム コントロールを使用して、ユーザーがサード パーティの MFA ソリューションを使用して MFA 検証を完了したかどうかを識別することはできません。 その結果、カスタム コントロールを使用して MFA 検証を完了したユーザーは、常に Microsoft Entra ID (さらにパートナー センター) に、MFA 検証が完了していないと表示されます。 可能であれば、Microsoft Entra ID と統合する場合は、カスタム コントロールではなく、ID フェデレーションの使用に切り替することをお勧めします。

MFA を完了せずにパートナー センターにサインインしたユーザーを特定する

MFA 検証なしでパートナー センターにログインしているユーザーを特定し、現在の MFA 実装に対して検証すると役立つ場合があります。 Microsoft Entra サインイン レポート使用して、ユーザーが MFA 検証を完了したかどうかを確認できます。 Microsoft Entra サインイン レポートは、Microsoft Entra ID P1 または P2 または Microsoft 365 SKU (Microsoft Entra ID P1 または P2 (EMS など) を含む) をサブスクライブしているパートナーのみが利用できます。

次のステップ