Statusrapport beveiligingsvereisten

Juiste rollen: CPV-| Globale beheerder

In dit artikel wordt het statusrapport van de beveiligingsvereisten in Partner Center. Dit rapport bevat metrische gegevens over naleving van de beveiligingsvereisten van partners voor meervoudige verificatie (MFA) voor gebruikers in uw partner-tenant.

Voor toegang tot dit rapport in Partner Center selecteert u het tandwielpictogram Instellingen, vervolgens Accountinstellingen en vervolgens status van beveiligingsvereisten. Het rapport wordt dagelijks bijgewerkt en geeft de aanmeldingsgegevens van de afgelopen zeven dagen weer.

Notitie

Het statusrapport van de beveiligingsvereisten wordt alleen ondersteund in Partner Center. Het is niet beschikbaar in de Microsoft Cloud for US Government of Microsoft Cloud Duitsland. We raden u ten zeerste aan dat alle partners die via een soevereine cloud (Amerikaanse overheid en Duitsland) werken, onmiddellijk aan deze nieuwe beveiligingsvereisten voldoen. Deze partners zijn momenteel echter niet vereist om te voldoen aan de nieuwe beveiligingsvereisten. Microsoft geeft in de toekomst aanvullende informatie over het afdwingen van deze beveiligingsvereisten voor onafhankelijke clouds.

Metrische gegevens van beveiligingsstatus

Het statusrapport van de beveiligingsvereisten biedt inzicht in de implementatie van partner-MFA en biedt metrische gegevens over MFA-configuratie en Partner Center activiteiten op partnerten tenants. In de volgende secties worden deze metrische gegevens gedetailleerder uitgelegd.

MFA-configuratie op een partner-tenant

Het metrische percentage ingeschakelde gebruikersaccounts met MFA dat wordt afgedwongen met behulp van de hier vermelde opties: toont het percentage ingeschakelde gebruikersaccounts op uw partner-tenant dat MFA heeft afgedwongen. U kunt een van deze MFA-opties gebruiken om naleving te bereiken. Deze gegevens worden dagelijks vastgelegd en gerapporteerd. Bijvoorbeeld:

  • Contoso is een CSP-partner met 110 gebruikersaccounts in de tenant. 10 van deze gebruikersaccounts zijn uitgeschakeld.
  • Van de rest van 100 gebruikersaccounts worden 90 MFA afgedwongen met behulp van de opgegeven MFA-opties. De metrische gegevens tonen daarom 90%.

Partner Center aanvragen met MFA

Telkens wanneer uw werknemers zich aanmelden bij Partner Center om te werken of, via API's, gegevens via Partner Center, wordt hun beveiligingsstatus op de proef gesteld en bij te houden. Ook zijn uw toepassingen en toepassingen van configuratieschermleveranciers opgenomen in het bijhouden van de beveiligingsstatus. Deze gegevens worden weergegeven in metrische gegevens onder Percentage aanvragen voor Partner Center met MFA en weerspiegelt de afgelopen zeven dagen.

MFA-verificatie op dashboard

De metriek Via Partner Center-portal is gerelateerd aan activiteiten binnen het Partner Center dashboard. Het meet het percentage bewerkingen dat is uitgevoerd door gebruikers die de MFA-verificatie hebben voltooid. Bijvoorbeeld:

  • Contoso is een CSP-partner met twee beheerdersagenten, Jane en John.
  • Op de eerste dag heeft Jane zich aangemeld bij Partner Center dashboard zonder MFA-verificatie en drie bewerkingen uitgevoerd.
  • Op de tweede dag heeft John zich aangemeld bij Partner Center dashboard zonder MFA-verificatie en vijf bewerkingen uitgevoerd.
  • Op de derde dag heeft Jane zich aangemeld bij Partner Center dashboard met MFA-verificatie en twee bewerkingen uitgevoerd.
  • Er zijn geen bewerkingen uitgevoerd door een van beide agent op de resterende vier dagen.
  • Van de tien bewerkingen die in het venster van zeven dagen zijn uitgevoerd, zijn er twee gemaakt door de gebruiker met MFA-verificatie. De metrische gegevens tonen daarom 20%.

Gebruik het bestand Portal-aanvragen zonder MFA om te begrijpen welke gebruiker zich heeft aangemeld bij het Partner Center-dashboard zonder MFA-verificatie en het tijdstip waarop de laatste keer is bezocht tijdens het rapportagevenster.

MFA-verificatie voor app en gebruiker

De metrische gegevens via API of SDK zijn gerelateerd aan App+User-verificatie via Partner Center API-aanvragen. Het meet het percentage API-aanvragen dat is gedaan met behulp van een toegangs token met MFA-claim. Bijvoorbeeld:

  • Fabrikam is een CSP-partner en heeft een CSP-toepassing die gebruikmaakt van een combinatie van App+User-verificatie en verificatiemethoden voor alleen apps.
  • Op de eerste dag heeft de toepassing drie API-aanvragen gedaan, die werden gebacked door een toegangs token dat is verkregen via de verificatiemethode App+User zonder MFA-verificatie.
  • Op de tweede dag heeft de toepassing vijf API-aanvragen gedaan, die werden gebacked door een toegangs token dat is verkregen met behulp van verificatie alleen voor apps.
  • Op de derde dag heeft de toepassing twee API-aanvragen gedaan, die werden gebacked door een toegangs token dat is verkregen met behulp van de verificatiemethode App+User met MFA-verificatie.
  • Er zijn geen bewerkingen uitgevoerd door een van beide agent op de resterende vier dagen.
  • De vijf API-aanvragen op de tweede dag, die werden gebacked door een toegangsken dat is verkregen via alleen-app-verificatie, worden weggelaten uit de metrische gegevens omdat deze geen gebruikmaakt van gebruikersreferenties. Van de resterende vijf bewerkingen werden twee van deze bewerkingen gebacked door een toegangs token dat is verkregen met MFA-verificatie. De metrische gegevens tonen daarom 40%.

Als u wilt weten welke app- en gebruikersactiviteiten de niet 100% van deze metrische gegevens opleveren, gebruikt u bestanden:

  • Samenvatting van API-aanvragen om inzicht te krijgen in de algehele MFA-status per toepassing.
  • Alle API-aanvragen om inzicht te krijgen in de details van elke API-aanvraag van gebruikers van uw tenant. Het resultaat is beperkt tot maximaal 10.000 meest recente aanvragen voor een betere downloadervaring.

Acties voor de MFA-status lager dan 100%

Sommige partners die MFA hebben geïmplementeerd, zien mogelijk metrische rapportgegevens van minder dan 100%. Om te begrijpen waarom, zijn hier enkele factoren om rekening mee te houden.

Notitie

U moet samenwerken met iemand uit uw organisatie die bekend is met identiteitsbeheer en MFA-implementatie voor uw partner-tenant.

MFA geïmplementeerd voor uw partner-tenant

U moet MFA implementeren voor uw partner-tenant om naleving te bereiken. Zie Security requirements for using Partner Center or Partner Center APIs (Beveiligingsvereisten voor het gebruik van Partner Center of Partner Center API's) voor meer informatie over het implementeren van MFA.

Notitie

MFA-metrische gegevens worden dagelijks berekend en houden rekening met bewerkingen die in de afgelopen zeven dagen zijn uitgevoerd. Als u de MFA-implementatie voor uw partner-tenant pas onlangs hebt voltooid, geven de metrische gegevens mogelijk nog geen 100% weer.

MFA controleren voor alle gebruikersaccounts

Begrijpen of uw huidige MFA-implementatie alle gebruikersaccounts of slechts enkele omvat. Sommige MFA-oplossingen zijn op beleid gebaseerd en ondersteunen gebruikersuitsluiting, terwijl u voor andere oplossingen mogelijk expliciet MFA per gebruiker moet inschakelen. Controleer of u geen gebruiker hebt uitgesloten van uw huidige MFA-implementatie. Elk gebruikersaccount dat is uitgesloten en zich aanmeldt bij Partner Center om CSP-, CPV- of Advisor-gerelateerde activiteiten uit te voeren, kan ertoe leiden dat de metrische gegevens niet 100% zijn.

Uw MFA-voorwaarden controleren

Begrijpen of uw huidige implementatie alleen MFA afdwingt onder specifieke voorwaarden. Sommige MFA-oplossingen bieden flexibiliteit om MFA alleen af te dwingen wanneer aan bepaalde voorwaarden wordt voldaan. De gebruiker heeft bijvoorbeeld toegang vanaf een onbekend apparaat of een onbekende locatie. Een gebruiker die is ingeschakeld voor MFA, maar geen MFA-verificatie hoeft te voltooien bij het openen van Partner Center, kan ertoe leiden dat de metrische gegevens niet 100% zijn.

Notitie

Voor partners die MFA hebben geïmplementeerd met behulp van standaardinstellingen voor Azure AD-beveiliging, is het belangrijk om te weten dat voor niet-beheerdersgebruikersaccounts meervoudige verificatie wordt afgedwongen op basis van risico. Gebruikers wordt alleen tijdens riskante aanmeldingspogingen om MFA gevraagd (bijvoorbeeld wanneer de gebruiker zich aanmeldt vanaf een andere locatie). Bovendien hebben gebruikers maximaal 14 dagen de tijd om zich te registreren voor MFA. Gebruikers die de MFA-registratie niet hebben voltooid, worden niet om MFA-verificatie tijdens de periode van 14 dagen gesteld. Daarom wordt verwacht dat de metrische gegevens mogelijk niet 100% zijn voor partners die MFA hebben geïmplementeerd met behulp van de standaardinstellingen voor Azure AD-beveiliging.

MFA-configuraties van derden controleren

Als u een MFA-oplossing van derden gebruikt, identificeert u hoe u deze integreert met Azure AD. Over het algemeen zijn er twee methoden, waaronder federatie en aangepaste besturingselementen:

  • Identiteitsfederatie : wanneer Azure AD een verificatieaanvraag ontvangt, wordt de gebruiker door Azure AD omgeleid naar de federatie-id-provider voor verificatie. Na een geslaagde verificatie stuurt de federatief-id-provider de gebruiker terug naar Azure AD, samen met een SAML-token. Het SAML-token moet de claim authenticationmethodsreferences (met de waarde multipleauthn) bevatten om ervoor te zorgen dat Azure AD kan herkennen dat de gebruiker de MFA-verificatie heeft voltooid bij het verifiëren bij de federatieve id-provider. Controleer of de federatief-id-provider de uitgifte van een dergelijke claim ondersteunt. Als dat het zo is, controleert u of de federatief-id-provider is geconfigureerd om dit te doen. Als de claim ontbreekt, weet Azure AD (en daarom Partner Center) niet dat de gebruiker de MFA-verificatie heeft voltooid en dat het ontbreken van de claim ertoe kan leiden dat de metrische gegevens niet 100% zijn.

  • Aangepast besturingselement : aangepast besturingselement voor Azure AD kan niet worden gebruikt om te bepalen of een gebruiker de MFA-verificatie heeft voltooid via een MFA-oplossing van derden. Als gevolg hiervan wordt elke gebruiker die de MFA-verificatie via een aangepast besturingselement heeft voltooid, altijd weergegeven bij Azure AD (en op zijn beurt Partner Center) dat de MFA-verificatie niet is voltooid. Indien mogelijk wordt u aangeraden over te schakelen naar identiteitsfederatie in plaats van Aangepast besturingselement wanneer u integreert met Azure AD.

Bepalen welke gebruikers zich hebben aangemeld bij Partner Center zonder MFA

Het kan handig zijn om te bepalen welke gebruikers zich aanmelden bij Partner Center zonder MFA-verificatie en deze te verifiëren op basis van uw huidige MFA-implementatie. U kunt het aanmeldingsrapport van Azure AD gebruiken om erachter te komen of een gebruiker de MFA-verificatie al dan niet heeft voltooid. Azure AD-aanmeldingsrapport is momenteel alleen beschikbaar voor partners die zich hebben geabonneerd op Azure AD Premium of een O365-SKU, waaronder Azure AD Premium (bijvoorbeeld EMS).

Volgende stappen