Raport o stanie wymagań zabezpieczeń

  • Artykuł

Odpowiednie role: administrator CPV | Administrator globalny

W tym artykule wyjaśniono raport o stanie wymagań dotyczących zabezpieczeń w Centrum partnerskim.

Raport o stanie wymagań dotyczących zabezpieczeń:

  • Udostępnia metryki dotyczące zgodności uwierzytelniania wieloskładnikowego (MFA). (Zgodność uwierzytelniania wieloskładnikowego to wymaganie zabezpieczeń partnera dla użytkowników w dzierżawie partnera).
  • Wyświetla działania Centrum partnerskiego w dzierżawach partnerów.

Stan wymagań dotyczących zabezpieczeń jest aktualizowany codziennie i odzwierciedla dane logowania z poprzednich siedmiu dni.

Uzyskiwanie dostępu do raportu o stanie wymagań dotyczących zabezpieczeń

Aby uzyskać dostęp do raportu o stanie wymagań dotyczących zabezpieczeń, wykonaj następujące czynności:

  1. Zaloguj się do Centrum partnerskiego i wybierz ikonę Ustawienia (koła zębatego).
  2. Wybierz obszar roboczy Ustawienia konta, a następnie stan wymagań dotyczących zabezpieczeń.

Uwaga

Raport o stanie wymagań dotyczących zabezpieczeń jest obsługiwany tylko w Centrum partnerskim. Nie jest ona dostępna w usłudze Microsoft Cloud for US Government lub Microsoft Cloud Germany.

Zdecydowanie zalecamy, aby wszyscy partnerzy przeprowadzali transakcje za pośrednictwem suwerennej chmury (instytucje rządowe USA i Niemcy), ale nie są wymagane.

Firma Microsoft udostępni więcej szczegółów dotyczących wymuszania tych wymagań dotyczących zabezpieczeń dla suwerennych chmur w przyszłości.

Metryki stanu zabezpieczeń

W poniższych sekcjach opisano metryki w raporcie o stanie wymagań zabezpieczeń bardziej szczegółowo.

Konfiguracja uwierzytelniania wieloskładnikowego w dzierżawie partnera

Metryka Procent włączonych kont użytkowników z wymuszaną usługą MFA przy użyciu opcji wymienionych tutaj: przedstawia procent włączonych kont użytkowników w dzierżawie partnera, które mają wymuszone uwierzytelnianie wieloskładnikowe. Aby osiągnąć zgodność, możesz użyć jednej z tych opcji uwierzytelniania wieloskładnikowego. Te dane są przechwytywane i raportowane codziennie. Przykład:

  • Firma Contoso jest partnerem CSP z 110 kontami użytkowników w dzierżawie. 10 z tych kont użytkowników jest wyłączonych.
  • Spośród pozostałych 100 kont użytkowników 90 ma wymuszaną uwierzytelnianie wieloskładnikowe przy użyciu podanych opcji uwierzytelniania wieloskładnikowego.

W związku z tym metryka wyświetla 90%.

Żądania Centrum partnerskiego z usługą MFA

Za każdym razem, gdy pracownicy logują się do pracy w Centrum partnerskim lub używają interfejsów API, a następnie pobierają lub wysyłają dane za pośrednictwem Centrum partnerskiego, ich stan zabezpieczeń jest kwestionowany i śledzony. Śledzenie stanu zabezpieczeń obejmuje również aplikacje i wszystkie aplikacje dostawcy panelu sterowania. Te dane są wyświetlane w metrykach w obszarze Procent żądań do Centrum partnerskiego za pomocą uwierzytelniania wieloskładnikowego i odzwierciedlają poprzednie siedem dni.

Weryfikacja uwierzytelniania wieloskładnikowego pulpitu nawigacyjnego

Metryka Za pośrednictwem Centrum partnerskiego jest powiązana z działaniami w Centrum partnerskim. Mierzy procent operacji wykonanych przez użytkowników, którzy ukończyli weryfikację uwierzytelniania wieloskładnikowego. Przykład:

  • Firma Contoso jest partnerem CSP z dwoma agentami Administracja, Jane i Johnem.
  • Pierwszego dnia Jane zalogował się do Centrum partnerskiego bez weryfikacji uwierzytelniania wieloskładnikowego i wykonał trzy operacje.
  • Drugi dzień Jan zalogował się do Centrum partnerskiego bez weryfikacji uwierzytelniania wieloskładnikowego i wykonał pięć operacji.
  • W trzecim dniu Jane zalogował się do Centrum partnerskiego przy użyciu weryfikacji uwierzytelniania wieloskładnikowego i wykonał dwie operacje.
  • Żadne operacje nie były wykonywane przez żadnego agenta w ciągu pozostałych czterech dni.
  • Z 10 operacji wykonywanych w siedmiodniowym oknie dwa zostały wykonane przez użytkownika z weryfikacją uwierzytelniania wieloskładnikowego. W związku z tym metryka wyświetla 20%.

Użyj żądań portalu plików bez uwierzytelniania wieloskładnikowego , aby zrozumieć, który użytkownik zalogował się do Centrum partnerskiego bez weryfikacji uwierzytelniania wieloskładnikowego i czasu ostatniej wizyty w oknie raportowania.

Weryfikacja uwierzytelniania wieloskładnikowego aplikacji i użytkownika

Metryka za pośrednictwem interfejsu API lub zestawu SDK jest powiązana z uwierzytelnianiem aplikacji i użytkownika za pośrednictwem żądań interfejsu API Centrum partnerskiego. Mierzy procent żądań interfejsu API wysyłanych przy użyciu tokenu dostępu z oświadczeniem uwierzytelniania wieloskładnikowego. Przykład:

  • Firma Fabrikam jest partnerem CSP i ma aplikację CSP korzystającą z kombinacji metod uwierzytelniania App+User i uwierzytelniania tylko dla aplikacji.
  • W pierwszym dniu aplikacja złożyła trzy żądania interfejsu API, które zostały objęte tokenem dostępu uzyskanym za pomocą metody uwierzytelniania App+User bez weryfikacji uwierzytelniania wieloskładnikowego.
  • W drugim dniu aplikacja złożyła pięć żądań interfejsu API, które zostały objęte tokenem dostępu uzyskanym przy użyciu uwierzytelniania tylko dla aplikacji.
  • W trzecim dniu aplikacja złożyła dwa żądania interfejsu API, które zostały poparte tokenem dostępu uzyskanym przy użyciu metody uwierzytelniania App+User z weryfikacją uwierzytelniania wieloskładnikowego.
  • W pozostałych czterech dniach nie wykonano żadnych operacji przez żadnego z agentów.
  • Pięć żądań interfejsu API w drugim dniu, które zostały wspierane przez token dostępu uzyskany za pośrednictwem uwierzytelniania tylko dla aplikacji, są pomijane z metryki, ponieważ nie korzysta z poświadczeń użytkownika. Z pozostałych pięciu operacji dwa z nich zostały objęte tokenem dostępu uzyskanym przy użyciu weryfikacji uwierzytelniania wieloskładnikowego. W związku z tym metryka pokazuje 40%.

Jeśli chcesz zrozumieć, które działania aplikacji i użytkownika będą skutkować wartością inną niż 100% tej metryki, użyj plików:

  • Podsumowanie żądań interfejsu API w celu zrozumienia ogólnego stanu uwierzytelniania wieloskładnikowego według aplikacji.
  • Wszystkie żądania interfejsu API umożliwiające zrozumienie szczegółów poszczególnych żądań interfejsu API wysyłanych przez użytkowników dzierżawy. Wynik jest ograniczony do maksymalnie 10 000 najnowszych żądań, aby zapewnić dobre środowisko pobierania.

Akcje do wykonania, gdy stan uwierzytelniania wieloskładnikowego jest mniejszy niż 100%

Niektórzy partnerzy, którzy zaimplementowali uwierzytelnianie wieloskładnikowe, mogą zobaczyć metryki raportu poniżej 100%. Aby zrozumieć, dlaczego warto wziąć pod uwagę niektóre czynniki.

Uwaga

Musisz pracować z osobą z organizacji, która jest zaznajomiona z zarządzaniem tożsamościami i implementacją uwierzytelniania wieloskładnikowego dla dzierżawy partnera.

Zaimplementowano uwierzytelnianie wieloskładnikowe dla dzierżawy partnera

Aby osiągnąć zgodność, należy zaimplementować uwierzytelnianie wieloskładnikowe dla dzierżawy partnera. Aby uzyskać informacje o sposobie implementowania uwierzytelniania wieloskładnikowego, zobacz Wymagania dotyczące zabezpieczeń dotyczące korzystania z Centrum partnerskiego lub interfejsów API Centrum partnerskiego.

Uwaga

Metryki uwierzytelniania wieloskładnikowego są obliczane codziennie i uwzględniają operacje wykonywane w ciągu ostatnich siedmiu dni. Jeśli tylko niedawno ukończono implementację uwierzytelniania wieloskładnikowego dla dzierżawy partnera, metryki mogą jeszcze nie pokazywać 100%.

Weryfikowanie uwierzytelniania wieloskładnikowego na wszystkich kontach użytkowników

Dowiedz się, czy bieżąca implementacja uwierzytelniania wieloskładnikowego obejmuje wszystkie konta użytkowników, czy tylko niektóre. Niektóre rozwiązania uwierzytelniania wieloskładnikowego są oparte na zasadach i obsługują wykluczanie użytkowników, a inne mogą wymagać jawnego włączenia uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.

Sprawdź, czy żaden użytkownik nie został wykluczony z bieżącej implementacji usługi MFA. Każde konto użytkownika, które jest wykluczone i loguje się do Centrum partnerskiego w celu wykonania dowolnego działania związanego z programem CSP, CPV lub Advisor, może spowodować, że metryki będą poniżej 100%.

Przeglądanie warunków uwierzytelniania wieloskładnikowego

Dowiedz się, czy bieżąca implementacja wymusza tylko uwierzytelnianie wieloskładnikowe w określonych warunkach. Niektóre rozwiązania uwierzytelniania wieloskładnikowego zapewniają elastyczność wymuszania uwierzytelniania wieloskładnikowego tylko wtedy, gdy zostaną spełnione określone warunki. Na przykład gdy użytkownik uzyskuje dostęp z nieznanego urządzenia lub nieznanej lokalizacji, może to wyzwolić wymuszanie uwierzytelniania wieloskładnikowego. Użytkownik, który jest włączony dla uwierzytelniania wieloskładnikowego, ale nie jest wymagany do ukończenia weryfikacji uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do Centrum partnerskiego, może spowodować, że metryki będą poniżej 100%.

Uwaga

W przypadku partnerów, którzy zaimplementowali uwierzytelnianie wieloskładnikowe przy użyciu ustawień domyślnych zabezpieczeń firmy Microsoft Entra, należy pamiętać, że w przypadku kont użytkowników niebędących administratorami uwierzytelnianie wieloskładnikowe jest wymuszane na podstawie ryzyka. Użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe tylko podczas ryzykownych prób logowania (na przykład jeśli użytkownik loguje się z innej lokalizacji). Ponadto użytkownicy muszą zarejestrować się do 14 dni na potrzeby uwierzytelniania wieloskładnikowego. Użytkownicy, którzy nie ukończyli rejestracji uwierzytelniania wieloskładnikowego, nie są kwestionowani podczas weryfikacji uwierzytelniania wieloskładnikowego w ciągu 14 dni. W związku z tym oczekuje się, że metryki będą poniżej 100% dla partnerów, którzy zaimplementowali uwierzytelnianie wieloskładnikowe przy użyciu domyślnych ustawień zabezpieczeń firmy Microsoft Entra.

Przeglądanie konfiguracji uwierzytelniania wieloskładnikowego innej firmy

Jeśli używasz rozwiązania MFA innej firmy, zidentyfikuj sposób integracji go z identyfikatorem Entra firmy Microsoft. Ogólnie rzecz biorąc, istnieją dwie metody:

  • Federacja tożsamości — gdy identyfikator Entra firmy Microsoft odbiera żądanie uwierzytelniania, identyfikator Entra firmy Microsoft przekierowuje użytkownika do dostawcy tożsamości federacyjnej na potrzeby uwierzytelniania. Po pomyślnym uwierzytelnieniu dostawca tożsamości federacyjnej przekierowuje użytkownika z powrotem do identyfikatora Entra firmy Microsoft wraz z tokenem SAML. Aby identyfikator entra firmy Microsoft rozpoznał, że użytkownik ukończył weryfikację uwierzytelniania wieloskładnikowego podczas uwierzytelniania u dostawcy tożsamości federacyjnej, token SAML musi zawierać oświadczenie authenticationmethodsreferences (z wartością multipleauthn). Sprawdź, czy dostawca tożsamości federacyjnej obsługuje wystawianie takiego oświadczenia. Jeśli tak, sprawdź, czy dostawca tożsamości federacyjnej został skonfigurowany do tego celu. Jeśli nie ma oświadczenia, identyfikator entra firmy Microsoft (i w związku z tym Centrum partnerskie) nie będzie wiedział, że użytkownik ukończył weryfikację uwierzytelniania wieloskładnikowego. Brak oświadczenia może spowodować, że metryka będzie niższa niż 100%.

  • Kontrolka niestandardowa — nie można użyć kontrolki niestandardowej firmy Microsoft do określenia, czy użytkownik ukończył weryfikację uwierzytelniania wieloskładnikowego za pośrednictwem rozwiązania MFA innej firmy. W związku z tym każdy użytkownik, który wykonał weryfikację uwierzytelniania wieloskładnikowego za pomocą niestandardowej kontrolki, zawsze będzie wyświetlany jako identyfikator Entra firmy Microsoft (i z kolei w Centrum partnerskim), ponieważ nie ukończył weryfikacji uwierzytelniania wieloskładnikowego. Jeśli to możliwe, zaleca się przełączenie na używanie federacji tożsamości, a nie kontrolki niestandardowej podczas integracji z identyfikatorem Entra firmy Microsoft.

Identyfikowanie użytkowników, którzy zalogowali się do Centrum partnerskiego bez uwierzytelniania wieloskładnikowego

Pomocne może być zidentyfikowanie użytkowników logujący się do Centrum partnerskiego bez weryfikacji uwierzytelniania wieloskładnikowego i zweryfikowanie ich względem bieżącej implementacji uwierzytelniania wieloskładnikowego. Możesz użyć raportu logowania firmy Microsoft Entra, aby dowiedzieć się, czy użytkownik ukończył weryfikację uwierzytelniania wieloskładnikowego, czy nie. Raport logowania firmy Microsoft Entra jest dostępny tylko dla partnerów, którzy zasubskrybowali usługę Microsoft Entra ID P1 lub P2 lub dowolną jednostkę SKU platformy Microsoft 365, która obejmuje microsoft Entra ID P1 lub P2 (na przykład pakiet EMS).

Następne kroki