Zpráva o stavu požadavků na zabezpečení

Příslušné role: Správce CPV | Globální správce

Tento článek vysvětluje zprávu o stavu požadavků na zabezpečení v Partnerském centru.

Zpráva o stavu požadavků na zabezpečení:

• Poskytuje metriky dodržování předpisů vícefaktorového ověřování (MFA). (Dodržování předpisů MFA je požadavek na zabezpečení partnera pro uživatele ve vašem partnerském tenantovi.)
• Zobrazí aktivity v Partnerském centru u partnerských tenantů.

Stav požadavků na zabezpečení se aktualizuje každý den a odráží přihlašovací data z předchozích sedmi dnů.

Přístup ke zprávě o stavu požadavků na zabezpečení

Pokud chcete získat přístup ke zprávě o stavu požadavků na zabezpečení, postupujte následovně:

1. Přihlaste se k Partnerskému centru a vyberte ikonu Nastavení (ozubené kolo).
2. Vyberte pracovní prostor Nastavení účtu a pak stav Požadavků na zabezpečení.

Poznámka:

Sestava stavu požadavků na zabezpečení se podporuje jenom v Partnerském centru. Není k dispozici v microsoft cloudu pro státní správu USA ani v cloudu Microsoft Cloud Germany.

Důrazně doporučujeme, aby všichni partneři, kteří provádějí transakce prostřednictvím suverénního cloudu (STÁTNÍ SPRÁVA USA a Německo), přijali tyto nové požadavky na zabezpečení, ale nevyžaduje se to.

Microsoft poskytne další podrobnosti týkající se vynucování těchto požadavků na zabezpečení pro suverénní cloudy v budoucnu.

Metriky stavu zabezpečení

Následující části popisují metriky ve zprávě o stavu požadavků na zabezpečení podrobněji.

Konfigurace vícefaktorového ověřování v partnerském tenantovi

Procento metrik povolených uživatelských účtů s vynuceným vícefaktorovým ověřováním pomocí zde uvedených možností: zobrazuje procento povolených uživatelských účtů ve vašem partnerském tenantovi, u kterého se vynucuje vícefaktorové ověřování. K dosažení dodržování předpisů můžete použít jednu z těchto možností vícefaktorového ověřování. Tato data se zaznamenávají a hlásí každý den. Příklad:

• Contoso je partner CSP s 110 uživatelskými účty v tenantovi. 10 těchto uživatelských účtů je zakázáno.
• Z zbývajících 100 uživatelských účtů se vynucuje 90 vícefaktorového ověřování pomocí poskytnutých možností vícefaktorového ověřování.

Proto metrika zobrazuje 90 %.

Žádosti v Partnerském centru s vícefaktorovým ověřováním

Pokaždé, když se vaši zaměstnanci přihlásí, aby mohli pracovat na Partnerském centru nebo používat rozhraní API, a pak získat nebo odeslat data prostřednictvím Partnerského centra, jejich stav zabezpečení se zobrazí a sleduje. Součástí sledování stavu zabezpečení jsou také vaše aplikace a všechny aplikace dodavatelů ovládacích panelů. Tato data se zobrazují v metrikách v procentech požadavků na Partnerské centrum s vícefaktorovým ověřováním a odrážejí předchozí sedm dnů.

Ověření vícefaktorového ověřování řídicího panelu

Metrika prostřednictvím Partnerského centra souvisí s aktivitami v Partnerském centru. Měří procento operací provedených uživateli, kteří dokončili ověřování vícefaktorového ověřování. Příklad:

• Contoso je partner CSP se dvěma agenty Správa, Jane a Johnem.
• Jane se poprvé přihlásil k Partnerskému centru bez ověření vícefaktorového ověřování a provedl tři operace.
• Druhý den se Jan přihlásil k Partnerskému centru bez ověření vícefaktorového ověřování a provedl pět operací.
• Třetí den se Jane přihlásil k Partnerskému centru s ověřením vícefaktorového ověřování a provedl dvě operace.
• Zbývající čtyři dny neprováděl žádný agent.
• Z 10 operací provedených v sedmidenním intervalu provedl uživatel s ověřováním vícefaktorového ověřování dva. Proto metrika zobrazuje 20 %.

Pomocí žádosti portálu souborů bez vícefaktorového ověřování můžete zjistit, který uživatel se přihlásil k Partnerskému centru, aniž by se musel ověřit vícefaktorové ověřování a čas poslední návštěvy během okna generování sestav.

Ověření vícefaktorového ověřování aplikací a uživatelů

Metrika prostřednictvím rozhraní API nebo sady SDK souvisí s ověřováním aplikací a uživatelů prostřednictvím požadavků rozhraní API Partnerského centra. Měří procento požadavků rozhraní API provedených pomocí přístupového tokenu s deklarací vícefaktorového ověřování. Příklad:

• Fabrikam je partner CSP a má aplikaci CSP, která používá kombinaci ověřování app+user a metod ověřování jen pro aplikace.
• V prvním dni aplikace provedla tři požadavky rozhraní API, které byly zajištěny přístupovým tokenem získaným prostřednictvím metody ověřování app+user bez ověření vícefaktorového ověřování.
• Ve druhém dni aplikace provedla pět požadavků rozhraní API, které byly podporovány přístupovým tokenem získaným pomocí ověřování jen pro aplikaci.
• Třetí den aplikace provedla dva požadavky rozhraní API, které byly podporovány přístupovým tokenem získaným metodou ověřování app+user s ověřováním vícefaktorového ověřování.
• Zbývající čtyři dny neprovedal žádný agent.
• Pět požadavků rozhraní API ve druhém dni, které byly podporovány přístupovým tokenem získaným prostřednictvím ověřování jen pro aplikace, se z metriky vynechávají, protože nepoužívá přihlašovací údaje uživatele. Ze zbývajících pěti operací byly dva z nich zajištěny přístupovým tokenem získaným s ověřením vícefaktorového ověřování. Proto metrika zobrazuje 40 %.

Pokud chcete zjistit, které aktivity aplikací a uživatelů mají za následek ne100 % na této metrice, použijte soubory:

• Souhrn požadavků rozhraní API pro pochopení celkového stavu vícefaktorového ověřování podle aplikace
• Všechny požadavky rozhraní API, aby porozuměly podrobnostem jednotlivých požadavků rozhraní API provedených uživateli vašeho tenanta. Výsledek je omezený na maximálně 10 000 nejnovějších požadavků, aby se zajistilo dobré prostředí stahování.

Akce, které se mají provést, když je stav vícefaktorového ověřování menší než 100 %

Někteří partneři, kteří implementovali vícefaktorové ověřování, můžou vidět metriky sestavy nižší než 100 %. Abychom pochopili proč, tady jsou některé faktory, které je potřeba vzít v úvahu.

Poznámka:

Budete muset spolupracovat s někým z vaší organizace, která je obeznámená se správou identit a implementací vícefaktorového ověřování pro vašeho partnerského tenanta.

Implementace vícefaktorového ověřování pro vašeho partnerského tenanta

Abyste dosáhli dodržování předpisů, musíte pro svého partnerského tenanta implementovat vícefaktorové ověřování. Informace o tom, jak implementovat vícefaktorové ověřování, najdete v tématu Požadavky na zabezpečení pro použití rozhraní API Partnerského centra nebo Partnerského centra.

Poznámka:

Metriky vícefaktorového ověřování se počítají denně a berou v úvahu operace prováděné v předchozích sedmi dnech. Pokud jste nedávno dokončili implementaci vícefaktorového ověřování pro vašeho partnerského tenanta, metriky se zatím nemusí zobrazovat 100 %.

Ověření vícefaktorového ověřování u všech uživatelských účtů

Zjistěte, jestli vaše aktuální implementace vícefaktorového ověřování pokrývá všechny uživatelské účty nebo jenom některé. Některá řešení vícefaktorového ověřování jsou založená na zásadách a podporují vyloučení uživatelů, jiné můžou vyžadovat explicitní povolení vícefaktorového ověřování pro jednotlivé uživatele.

Ověřte, že jste z aktuální implementace vícefaktorového ověřování nevyloučí žádného uživatele. Jakýkoli uživatelský účet, který je vyloučený a přihlásí se k Partnerskému centru za účelem provedení jakékoli aktivity související s CSP, CPV nebo Advisorem, může způsobit, že metriky budou nižší než 100 %.

Kontrola podmínek vícefaktorového ověřování

Zjistěte, jestli vaše aktuální implementace vynucuje vícefaktorové ověřování pouze za určitých podmínek. Některá řešení MFA poskytují flexibilitu vynucování vícefaktorového ověřování pouze v případech, kdy jsou splněny určité podmínky. Pokud například uživatel přistupuje z neznámého zařízení nebo neznámého umístění, může aktivovat vynucení vícefaktorového ověřování. Uživatel, který má povolené vícefaktorové ověřování, ale při přístupu k Partnerskému centru nemusí dokončit ověřování vícefaktorového ověřování, může způsobit, že metriky budou nižší než 100 %.

Poznámka:

U partnerů, kteří implementovali vícefaktorové ověřování pomocí výchozích hodnot zabezpečení Microsoft Entra, je důležité poznamenat, že u uživatelských účtů bez oprávnění správce se vícefaktorové ověřování vynucuje na základě rizika. Uživatelům se zobrazí výzva k vícefaktorovém ověřování jenom během rizikových pokusů o přihlášení (například pokud se uživatel přihlašuje z jiného umístění). Kromě toho mají uživatelé k registraci vícefaktorového ověřování až 14 dní. Uživatelé, kteří nedokončili registraci vícefaktorového ověřování, nejsou během 14denního období vyzváni k ověření vícefaktorového ověřování. Proto se očekává, že metriky budou nižší než 100 % pro partnery, kteří implementovali vícefaktorové ověřování pomocí výchozích hodnot zabezpečení Microsoft Entra.

Kontrola konfigurací vícefaktorového ověřování třetích stran

Pokud používáte řešení MFA třetí strany, zjistěte, jak ho integrujete s ID Microsoft Entra. Obecně platí, že existují dvě metody:

• Federace identit – když MICROSOFT Entra ID obdrží žádost o ověření, Microsoft Entra ID přesměruje uživatele na federovaného zprostředkovatele identity k ověření. Po úspěšném ověření přesměruje federovaný zprostředkovatel identity uživatele zpět na Microsoft Entra ID spolu s tokenem SAML. Aby služba Microsoft Entra ID poznala, že uživatel dokončil ověřování vícefaktorového ověřování při ověřování u zprostředkovatele federované identity, musí token SAML obsahovat deklaraci identity authenticationmethodsreferences (s hodnotou multipleauthn). Zkontrolujte, jestli zprostředkovatel federované identity podporuje vydávání takových deklarací identity. Pokud ano, zkontrolujte, jestli je nakonfigurovaný zprostředkovatel federované identity. Pokud deklarace identity chybí, MICROSOFT Entra ID (a proto Partnerské centrum) nebude vědět, že uživatel dokončil ověření vícefaktorového ověřování. Chybějící deklarace identity může způsobit, že metrika klesne pod 100 %.

• Vlastní ovládací prvek – Vlastní ovládací prvek Microsoft Entra se nedá použít k identifikaci, jestli uživatel dokončil ověřování vícefaktorového ověřování prostřednictvím řešení vícefaktorového ověřování třetí strany. V důsledku toho se všem uživatelům, kteří dokončili ověření vícefaktorového ověřování prostřednictvím vlastního ovládacího prvku, vždy zobrazí ID Microsoft Entra (a následně do Partnerského centra), protože nedokončil vícefaktorové ověřování. Pokud je to možné, doporučujeme při integraci s ID Microsoft Entra přepnout na použití federace identit místo vlastního ovládacího prvku.

Určení uživatelů, kteří se přihlásili k Partnerskému centru bez vícefaktorového ověřování

Může být užitečné zjistit, kteří uživatelé se přihlašují k Partnerskému centru bez ověření vícefaktorového ověřování, a ověřit je v aktuální implementaci vícefaktorového ověřování. Pomocí sestavy přihlášení Microsoft Entra můžete zjistit, jestli uživatel dokončil ověření vícefaktorového ověřování, nebo ne. Sestava přihlášení k Microsoft Entra je dostupná jenom partnerům, kteří se přihlásili k odběru předplatného Microsoft Entra ID P1 nebo P2 nebo jakékoli skladové položky Microsoft 365, která zahrnuje Microsoft Entra ID P1 nebo P2 (například EMS).

Další kroky

• Komunita skupin s pokyny k zabezpečení v Partnerském centru
• Požadavky na zabezpečení Partnerského centra
• Nejčastější dotazy k požadavkům na zabezpečení v Partnerském centru