Exigences de sécurité de l’Espace partenaires
Rôles appropriés : Agent d’administration
Le tableau des exigences en matière de sécurité est un outil puissant conçu pour vous aider à évaluer et à améliorer votre posture de sécurité actuelle au sein du Centre des partenaires. Cette fonctionnalité accorde à la fois aux fournisseurs direct et indirect l’accès à leur score de sécurité. Les exigences de sécurité fournies sont des recommandations actionnables générées en fonction des vulnérabilités système et des modèles d’attaque courants. En implémentant ces recommandations et en case activée régulièrement pour les mises à jour, vous pouvez renforcer vos défenses de sécurité. Ce tableau de bord consolide l’état de toutes les exigences de sécurité en un score complet unique, ce qui vous permet d’évaluer rapidement votre situation de sécurité actuelle. Plus le score est élevé, plus le niveau de risque identifié est faible, ce qui vous donne une compréhension claire de votre préparation à la sécurité.
Gérer votre posture de sécurité
Le tableau de bord exigences de sécurité vous fournit une vue d’ensemble complète de votre posture de sécurité. Vous pouvez surveiller et ajuster vos paramètres de sécurité, stratégies et procédures en effectuant un routage à partir de ce tableau de bord. Le tableau de bord exigences de sécurité vous permet de gérer et d’améliorer de manière proactive votre posture de sécurité et de vous orienter vers les principes de Confiance Zéro.
Fonctionnalités clés
Vue d’ensemble
Le score de sécurité affiche une instantané de votre état de sécurité dans l’Espace partenaires.
Les exigences de sécurité (vue d’ensemble) indiquent le nombre total d’exigences de sécurité, y compris les totaux pour ceux qui sont terminés et non terminés.
Section Exigences de sécurité
Dans la section Exigences de sécurité, vous trouverez une liste organisée des exigences de sécurité et des recommandations. Ces exigences et recommandations peuvent vous aider à identifier les domaines d’amélioration de l’intégrité de la sécurité, à résoudre les problèmes, à atténuer les risques et à améliorer votre posture de sécurité globale.
Description des exigences de sécurité :
Exigence de sécurité : brève description de l’exigence.
Description : explication détaillée de l’exigence de sécurité.
État : indique si l’exigence est terminée ou non.
Recommandations : données actionnables adaptées aux exigences individuelles, offrant d’autres insights sur les domaines nécessitant une attention particulière.
Score : score associé à chaque exigence, contribuant à votre score de sécurité global.
Instructions d’implémentation : contient des liens directs vers les ressources d’instruction qui vous aident à comprendre et à implémenter chaque recommandation. Ces liens sont également fournis ci-dessous sous Ressources supplémentaires. Ces guides pas à pas vous aident à implémenter efficacement chaque recommandation, augmentant ainsi votre sécurité.
Étapes actionnables : liens vers une page dans laquelle l’exigence peut être résolue.
Remarque
Si vous n’avez pas le bon rôle ou l’accès, vous devrez contacter la personne appropriée dans votre organisation.
Section Exigences futures
La section Exigences futures présente un aperçu des exigences qui seront implémentées dans un avenir proche. Les exigences qui ne sont pas complètes déduitront les points du score global à une date ultérieure.
Calcul de votre score de sécurité
Le score de sécurité est une valeur décimale (entier à virgule flottante) comprise entre 0 et 100. Le score reflète la posture de sécurité de votre locataire.
Le score de sécurité est calculé à partir des scores de sécurité individuels des exigences de sécurité. Chaque exigence de sécurité se voit attribuer un score maximal compris entre zéro et 20. Le score maximal pour une exigence de sécurité est déterminé en fonction du poids relatif de cette exigence par rapport aux autres exigences. Le score maximal est susceptible de changer en fonction des priorités commerciales changeantes.
L’algorithme de calcul actuel accorde un score maximal pour une exigence conforme, zéro sinon.
Le score de sécurité global est calculé à l’aide de la formule suivante : (somme des scores d’exigences de sécurité individuelles) / (somme des scores max des exigences de sécurité individuelles) * 100.
Exigences de sécurité et instructions d’implémentation
Comment faire implémenter les exigences de sécurité ?
Remarque
Les solutions MFA tierces telles que Okta, Ping, Duo, etc. ne sont pas prises en charge dans les recommandations d’authentification multifacteur d’identité. Les solutions MFA tierces ne sont pas prise en compte dans les calculs de score d’exigence.
Condition requise : activer l’authentification multifacteur
Points de score de sécurité : 20
L’exigence d’authentification multifacteur (MFA) pour les rôles d’administration rend plus difficile pour les attaquants d’accéder aux comptes. Administration rôlesistratifs disposent d’autorisations supérieures aux utilisateurs classiques. Si l’un de ces comptes est compromis, toute votre organisation est exposée.
Au minimum, protégez les rôles suivants :
- Administrateur global
- Administrateur d’authentification
- Administrateur de facturation
- Administrateur de l’accès conditionnel
- Administrateur Exchange
- Administrateur du support technique
- Administrateur de sécurité
- Administrateur SharePoint
- Administrateur d’utilisateurs
Étapes d'implémentation
Remarque
Pour être considéré comme complet pour cette exigence, vous devez vous assurer que chaque utilisateur administrateur a été couvert par l’exigence de l’authentification multifacteur via les paramètres de sécurité par défaut / accès conditionnel / MFA par utilisateur et que chacun d’eux a réellement configuré des facteurs de vérification supplémentaires (par exemple, un appareil de leur choix pour les invites de vérification).
Cela inclut les comptes de brise-glace. Pour plus d’informations, consultez Gérer les comptes d’administrateur d’accès d’urgence - ID Microsoft Entra.
- Microsoft fournit des instructions pas à pas pour sélectionner et activer la méthode MFA appropriée pour votre organisation dans le Centre d’administration Microsoft 365. Accédez à l’Assistant Microsoft 365 MFA.
- Si vous souhaitez effectuer l’implémentation vous-même et que vous utilisez Microsoft Entra ID Free, activez les paramètres de sécurité par défaut. Remarque : Les valeurs par défaut de sécurité et l’accès conditionnel ne peuvent pas être utilisées côte à côte. Pour plus d’informations, consultez Activer les valeurs par défaut de sécurité
- Si vous avez investi dans des licences Microsoft Entra ID P1 ou P2, vous pouvez créer une stratégie d’accès conditionnel à partir de zéro ou à l’aide d’un modèle. Suivez ces étapes pour créer une stratégie d’accès conditionnel à partir de zéro ou à l’aide d’un modèle.
- Suivez la progression de l’inscription des méthodes d’authentification par votre administrateur en accédant aux informations d’inscription des utilisateurs des méthodes > d’authentification Microsoft Entra ID >> (nécessite des licences Microsoft Entra ID P1 ou P2). Accédez aux détails de l’inscription de l’utilisateur.
Ressources
- Fonctionnement de l’authentification multifacteur (MFA)
- Planifier un déploiement d'authentification multifacteur Microsoft Entra
- Présentation des paramètres de sécurité par défaut
- Gérer les comptes d'accès d'urgence dans Microsoft Entra ID
Condition requise : la réponse aux alertes est de 24 heures ou moins en moyenne
Points de score de sécurité : 20
Les alertes doivent être triées et répondues dans les 24 heures suivant l’affichage dans l’Espace partenaires, avec un objectif de réponse dans un délai de 1 heure. Cela garantit une protection immédiate pour les locataires clients et réduit la perte financière. Le temps de réponse est mesuré à partir du moment où l’alerte apparaît dans l’Espace partenaires quand un utilisateur partenaire apporte une modification à l’alerte, par exemple la mise à jour de son état ou de son code de raison. Le temps de réponse moyen est calculé en fonction des 30 derniers jours d’activité.
Étapes d'implémentation
- Vérifiez que vous disposez d’un contact de sécurité de l’Espace partenaires configuré, car cette adresse e-mail reçoit une notification d’alertes par défaut. Vous pouvez utiliser une boîte aux lettres partagée ou une boîte aux lettres qui alimente un système de tickets.
- Gérez un playbook de réponse aux incidents documenté qui définit les rôles, responsabilités, plans de réponse et informations de contact.
- Spécifiez un code de raison pour chaque alerte. Microsoft utilise vos commentaires pour mesurer l’efficacité des alertes générées.
Ressources
Exigence : Fournir un contact de sécurité
Points de score de sécurité : 10
Lorsqu’un problème lié à la sécurité se produit sur un locataire partenaire fournisseur de solutions Cloud (CSP), Microsoft doit être en mesure de communiquer le problème et de recommander les étapes appropriées à un contact de sécurité désigné dans une organisation partenaire qui agira avec urgence pour atténuer et corriger les problèmes de sécurité dès que possible.
Les administrateurs généraux ou d’autres rôles dans l’Espace partenaires n’ont pas l’expertise nécessaire ni la portée nécessaire pour agir sur les incidents importants liés à la sécurité. Tous les partenaires doivent mettre à jour le contact de sécurité pour leur locataire partenaire.
Le contact de sécurité est un individu ou un groupe de personnes responsables des problèmes liés à la sécurité au sein de l’organisation partenaire.
Étapes d'implémentation
Remplissez l’e-mail, le numéro de téléphone et le nom de la boîte aux lettres individuelle ou partagée responsable de la réponse aux incidents de sécurité dans votre entreprise.
Ressources
Condition requise : tous les abonnements Azure ont un budget de dépense
Points de score de sécurité : 10
Le suivi de l’utilisation de l’abonnement Azure de votre client vous aide à aider votre client à gérer son utilisation Azure et à éviter des frais plus élevés que prévu. Vous devez discuter avec vos clients de leurs attentes mensuelles en matière de dépenses et définir un budget de dépense sur leur abonnement. Les notifications peuvent également être configurées pour vous être envoyées lorsqu’un client utilise plus de 80 % ou plus du budget de dépense configuré. Le budget des dépenses n’impose pas de plafond sur les dépenses. Il est donc important de notifier votre client lorsqu’il atteint 80 % d’utilisation afin qu’il puisse planifier l’arrêt des ressources ou s’attendre à une facture plus élevée.
Remarque
Les partenaires qui sont sur NCE (Nouvelle expérience commerciale) et qui ont un budget de dépense configuré recevront des points de score pour cette exigence. Toutefois, les partenaires sur Legacy ne recevront aucun point.
Étapes d'implémentation
Consultez Définition d’un budget de dépense Azure pour vos clients
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour