合作伙伴中心的安全性要求

相应的角色：管理员代理

安全要求仪表板是一个功能强大的工具，旨在帮助您评估和增强合作伙伴中心内当前的安全状况。 此功能授予直接帐单和间接提供商对其安全分数的访问权限。 提供的安全要求是基于系统漏洞和常见攻击模式生成的可操作建议。 通过实施这些建议并定期检查更新，可以增强安全防御。 此仪表板将所有安全要求的状态合并到单个综合分数中，使你能够快速评估当前的安全情况。 分数越高，识别的风险级别越低，可以清楚地了解安全准备情况。

管理安全状况

安全要求仪表板提供安全状况的完整概述。 可以通过从此仪表板路由来监视和调整安全设置、策略和过程。 安全要求仪表板使你能够主动管理和增强安全态势，并推动零信任原则。

主要功能

概述

安全分数显示合作伙伴中心内安全状态的快照。

安全要求（概述）显示安全要求总数，包括已完成且未完成的安全要求总数。

安全要求部分

在 “安全要求 ”部分，可以找到一个精选的安全要求和建议列表。 这些要求和建议可帮助你确定安全运行状况改进、解决问题、降低风险以及增强整体安全状况的领域。

安全要求说明：

• 安全要求：简要说明要求。

• 说明：安全要求的详细说明。

• 状态：指示是否完成要求。

• 见解：针对各个要求定制的可操作数据，提供有关需要注意的领域的进一步见解。

• 评分：与每个要求关联的分数，有助于获得总体安全分数。

• 实现说明：包含指向说明资源的直接链接，可帮助你了解和实施每个建议。 这些链接也在“其他资源”下提供。 这些分步指南可帮助你有效地实施每个建议，从而提升安全性。

• 可操作步骤：指向可解决要求的页面的链接。

  注意

  如果没有适当的角色或访问权限，则需要联系组织中的正确人员。

未来要求部分

“ 未来要求 ”部分显示即将在近期实施的要求预览。 未完成的要求将从将来的总分数中扣除积分。

如何计算安全分数

安全分数是介于 0 和 100 之间的小数（浮点整数）值。 分数反映了租户的安全状况。

安全分数是使用单个安全要求的安全分数计算得出的。 每项安全要求都有一个 0 到 20 分的最大分数。 安全性要求的最高分数是根据该要求与其他要求的相对权重来决定的。 最高分数可能会根据业务优先级的变化而变化。

当前计算算法为符合要求授予最大分数，否则为零。

总体安全分数使用以下公式计算：（个人安全要求分数之和）/（个人安全要求最大分数的总和） * 100。

安全要求和实现说明

如何实现实施安全要求？

注意

标识 MFA 建议中不支持第三方 MFA 解决方案，例如 Okta、Ping、Duo 等。 第三方 MFA 解决方案不会纳入要求分数计算。

要求：启用 MFA

安全分数：20

需要管理角色的多重身份验证（MFA）会使攻击者更难访问帐户。 管理员角色具有比典型用户更高的权限。 如果其中任何帐户遭到入侵，则会公开整个组织。

至少保护以下角色：

• 全局管理员
• 身份验证管理员
• 计费管理员
• 条件访问管理员
• Exchange 管理员
• 支持管理员
• 安全管理员
• SharePoint 管理员
• 用户管理员

实现步骤

注意

为满足此要求，需要确保每个管理员用户都通过安全默认值/条件访问/每用户 MFA 涵盖 MFA 要求，并且每个用户实际上都设置了其他验证因素（例如，选择验证提示的设备）。

这包括破窗帐户。 若要了解详细信息，请参阅 管理紧急访问管理员帐户 - Microsoft Entra ID。

1. Microsoft 提供了分步指南，用于在Microsoft 365 管理中心中为组织选择和启用正确的 MFA 方法。 转到 Microsoft 365 MFA 向导。
2. 如果想要自行执行实现，并且使用的是 Microsoft Entra ID Free，请启用安全默认值。 注意：安全默认值和条件访问不能并排使用。 若要了解详细信息，请参阅 “启用安全默认值”
3. 如果你已投资 Microsoft Entra ID P1 或 P2 许可证，则可以从头开始或使用模板创建条件访问策略。 按照以下步骤从头开始或使用模板创建条件访问策略。
4. 通过转到 Microsoft Entra ID 安全>身份验证方法用户注册详细信息（需要 Microsoft Entra ID > P1 或 P2 许可证），跟踪管理员注册身份验证方法>的进度。 转到 用户注册详细信息。

资源

• MFA 工作原理
• 规划 Microsoft Entra 多重身份验证部署
• 什么是安全默认值？
• 在 Microsoft Entra ID 中管理紧急访问帐户

要求：对警报的响应平均为 24 小时或更少

安全分数：20

警报必须经过会审，并在合作伙伴中心出现后 24 小时内做出响应，目标是在 1 小时内做出响应。 这可确保立即保护客户租户，并最大程度地减少财务损失。 从合作伙伴中心中显示的警报到合作伙伴用户对警报进行更改（例如更新其状态或原因代码）的响应时间。 平均响应时间是根据过去 30 天的活动计算的。

实现步骤

1. 确保你已配置合作伙伴中心安全联系人，因为此电子邮件地址默认会收到警报通知。 可以使用共享邮箱或提供票证系统的邮箱。
2. 维护记录的事件响应 playbook，用于定义角色、职责、响应计划和联系信息。
3. 为每个警报指定原因代码。 Microsoft 使用你的反馈来衡量生成的警报的有效性。

资源

• 合作伙伴中心警报
• Azure 欺诈检测和通知
• CSP 安全联系人

要求：提供安全联系人

安全分数：10

当云解决方案提供商（CSP）合作伙伴租户发生任何与安全相关的问题时，Microsoft 应能够传达问题，并向合作伙伴组织中的指定安全联系人推荐适当的步骤，该联系人将立即采取行动，以尽快缓解和修正安全问题。

合作伙伴中心内的全局管理员或其他角色没有必要的专业知识或联系才能处理与安全相关的重要事件。 所有合作伙伴都应更新其合作伙伴租户的安全联系人。

安全联系人是负责合作伙伴组织内安全问题的个人或一组人员。

实现步骤

填充负责响应公司中安全事件的个人或共享邮箱的电子邮件、电话号码和名称。

资源

• 云解决方案提供商安全联系人

要求：所有 Azure 订阅都有支出预算

安全分数：10

跟踪客户的 Azure 订阅使用情况有助于帮助客户管理其 Azure 使用情况，并避免产生高于预期费用。 应与客户讨论其每月支出预期，并为其订阅设置支出预算。 当客户使用超过 80% 或更多配置的支出预算时，还可以将通知配置为发送给你。 支出预算不会对支出设置上限，因此，在客户达到 80% 的使用量时通知客户，以便他们可以计划关闭资源或预期更高的账单，这一点很重要。

注意

在 NCE（新商业体验）上设置支出预算的合作伙伴将获得满足此要求的分数。 但是，旧版上的合作伙伴不会收到任何积分。

实现步骤

请参阅 为客户设置 Azure 支出预算