Поделиться через

Отчет о соблюдении требований к безопасности

  • Статья

Соответствующие роли: администратор CPV | глобальный администратор

В этой статье объясняется отчет о состоянии требований к безопасности в Центре партнеров.

Отчет о состоянии требований к безопасности:

  • Предоставляет метрики по соответствию многофакторной проверки подлинности (MFA). (Соответствие MFA — это требование безопасности партнера для пользователей в клиенте партнера.)
  • Отображает действия Центра партнеров в клиентах партнеров.

Состояние требований к безопасности обновляется ежедневно и отражает данные входа за предыдущие семь дней.

Доступ к отчету о состоянии требований к безопасности

Чтобы получить доступ к отчету о состоянии требований безопасности, выполните следующие действия.

  1. Войдите в Центр партнеров и щелкните значок параметров (шестеренки).
  2. Выберите рабочую область параметров учетной записи, а затем состояние требований к безопасности.

Примечание.

Отчет о состоянии требований к безопасности поддерживается только в Центре партнеров. Он недоступен в Microsoft Cloud for US Government и Microsoft Cloud Germany.

Настоятельно рекомендуется, чтобы все партнеры, выполняющие транзакции через суверенное облако (правительство США и Германия) приняли эти новые требования к безопасности, но это не требуется.

Корпорация Майкрософт предоставит дополнительные сведения о применении этих требований к безопасности для национальных облаков в будущем.

Метрики состояния безопасности

В следующих разделах подробно описаны метрики в отчете о состоянии требований к безопасности.

Конфигурация MFA в арендаторе клиента

Метрика Доля включенных учетных записей пользователей с принудительным применением MFA с использованием приведенных здесь вариантов: отображает данные о доле включенных учетных записей пользователей в арендаторе клиента, для которых принудительно применяется MFA. Для обеспечения соответствия вы можете использовать один из таких вариантов MFA. Эти данные сохраняются и формируются в отчет ежедневно. Например:

  • Contoso является партнером CSP с 110 учетными записями пользователей в клиенте. 10 из этих учетных записей пользователей отключены.
  • Из оставшихся 100 учетных записей пользователей 90 применяют MFA с помощью указанных параметров MFA.

Таким образом, метрика отображает 90%.

Запросы с MFA к Центру партнеров

Каждый раз, когда сотрудники входят в Центр партнеров или используют API, а затем получают или отправляют данные через Центр партнеров, их состояние безопасности оспаривается и отслеживается. Кроме того, отслеживание состояния безопасности охватывает ваши приложения и все приложения поставщиков панелей управления. Эти данные отображаются в метриках в соответствии с процентом запросов к Центру партнеров с MFA и отражают предыдущие семь дней.

Проверка с MFA на панели мониторинга

Метрика через Центр партнеров связана с действиями в Центре партнеров. Она измеряет процент операций, выполненных пользователями, которые прошли проверку MFA. Например:

  • Contoso является партнером CSP с двумя агентами администрирования, Джейн и Джон.
  • В первый день Джейн вошел в Центр партнеров без проверки MFA и выполнил три операции.
  • Во второй день Джон вошел в Центр партнеров без проверки MFA и выполнил пять операций.
  • В третий день Джейн вошел в Центр партнеров с проверкой MFA и выполнил две операции.
  • Никакие операции не выполнялись агентом в течение оставшихся четырех дней.
  • Из 10 операций, выполненных в семидневном окне, два были выполнены пользователем с проверкой MFA. Таким образом, метрика отображает 20%.

Используйте запросы на портал файлов без MFA, чтобы понять, какой пользователь вошел в Центр партнеров, не проверив проверку MFA и время последнего посещения в окне отчетов.

Проверка с MFA для приложений и пользователей

Метрика Использование API или пакета SDK связана с аутентификацией приложений и пользователей с помощью запросов API Центра партнеров. Она измеряет процент запросов к API, выполненных с помощью маркера доступа с утверждением MFA. Например:

  • Компания Fabrikam является партнером CSP и использует приложение CSP, которое сочетает методы проверки подлинности приложения и пользователя и проверки подлинности только приложения.
  • В первый день приложение отправило три запроса API, снабженных маркером доступа, который получен с использованием метода проверки подлинности приложения и пользователя без проверки MFA.
  • На второй день приложение отправило пять запросов API, снабженных маркером доступа, который получен с использованием метода проверки подлинности только приложения.
  • На третий день приложение отправило два запроса API, снабженных маркером доступа, который получен с использованием метода проверки подлинности приложения и пользователя с проверкой MFA.
  • Ни один из агентов не выполнял никаких операций в течение оставшихся четырех дней.
  • Пять запросов API во второй день, поддерживаемые маркером доступа, полученным с помощью проверки подлинности только для приложений, опущены из метрики, так как они не используют учетные данные пользователя. Две из оставшихся пяти операций снабжены маркером доступа, полученным с использованием проверки MFA. Таким образом, метрика показывает 40%.

Если вы хотите понять, какие действия app+user приводят к 100% этой метрики, используйте файлы:

  • Сводка по запросам API, чтобы получить сведения об общем состоянии MFA по приложению.
  • Все запросы API, чтобы понять детали каждого запроса API, сделанных пользователями вашего клиента. Результат ограничен до 10 000 последних запросов, чтобы обеспечить хороший интерфейс загрузки.

Действия, выполняемые, если состояние MFA меньше 100 %

У некоторых партнеров, которые реализовали MFA, метрики отчета могут сообщать о значении менее 100 %. Чтобы понять, почему это так, следует учесть некоторые факторы.

Примечание.

Вам потребуется работать с кем-то из вашей организации, который знаком с реализацией управления удостоверениями и MFA для вашего партнера.

Реализованная проверка MFA для арендатора партнера

Для обеспечения соответствия вы должны реализовать MFA для арендатора партнера. Сведения о реализации MFA см. в разделе "Требования к безопасности" для использования API Центра партнеров или Центра партнеров.

Примечание.

Метрики MFA вычисляются ежедневно и учитывают операции, выполняемые за предыдущие семь дней. Если вы только недавно завершили реализацию MFA для вашего клиента партнера, метрики могут еще не отображать 100 %.

Проверка MFA для всех учетных записей пользователей

Определите, охватывает ли текущая реализация MFA все учетные записи пользователей или только некоторые из них. Некоторые решения MFA основаны на политиках и поддерживают исключение пользователей, а другие могут требовать явного включения MFA для каждого пользователя по отдельности.

Убедитесь, что вы не исключили пользователя из текущей реализации MFA. Любая учетная запись пользователя, которая исключена и входит в Центр партнеров для выполнения любых действий CSP, CPV или Помощника, могут привести к тому, что метрики будут ниже 100 %.

Проверка условий MFA

Понять, применяет ли текущая реализация только MFA в определенных условиях. Некоторые решения MFA обеспечивают гибкость применения MFA только в тех случаях, когда выполняются определенные условия. Например, когда пользователь обращается из неизвестного устройства или неизвестного расположения, который может активировать принудительное применение MFA. Пользователь, который включен для MFA, но не требуется для завершения проверки MFA при доступе к Центру партнеров, может привести к тому, что метрики будут ниже 100 %.

Примечание.

Для партнеров, которые реализовали MFA с помощью по умолчанию безопасности Microsoft Entra, важно отметить, что для учетных записей пользователей, не являющихся администраторами, MFA применяется на основе риска. Пользователи запрашивают MFA только во время рискованных попыток входа (например, если пользователь входит в другое расположение). Кроме того, у пользователей есть до 14 дней для регистрации для MFA. Пользователи, которые не выполнили регистрацию MFA, не оспариваются для проверки MFA в течение 14-дневного периода. Таким образом, ожидается, что метрики будут ниже 100 % для партнеров, которые реализовали MFA с помощью по умолчанию безопасности Microsoft Entra.

Проверка сторонних конфигураций MFA

Если вы используете стороннее решение MFA, определите, как вы интегрируете его с идентификатором Microsoft Entra. Как правило, существует два метода:

  • Федерация удостоверений. Если идентификатор Microsoft Entra ID получает запрос проверки подлинности, идентификатор Microsoft Entra перенаправляет пользователя на федеративный поставщик удостоверений для проверки подлинности. После успешной проверки подлинности федеративный поставщик удостоверений перенаправляет пользователя обратно в идентификатор Microsoft Entra вместе с токеном SAML. Чтобы идентификатор Microsoft Entra распознал, что пользователь завершил проверку MFA при проверке подлинности в федеративном поставщике удостоверений, токен SAML должен включать утверждение authenticationmethodsreferences (со значением multipleauthn). Проверьте, поддерживает ли федеративный поставщик удостоверений выдачу такого утверждения. Если это так, проверьте, настроен ли для этого федеративный поставщик удостоверений. Если утверждение отсутствует, идентификатор Microsoft Entra (и, следовательно, Центр партнеров) не будет знать, что пользователь завершил проверку MFA. Отсутствие утверждения может привести к тому, что метрика будет ниже 100 %.

  • Настраиваемый элемент управления — Пользовательский элемент управления Microsoft Entra нельзя использовать для определения того, завершил ли пользователь проверку MFA через стороннее решение MFA. В результате любой пользователь, завершивший проверку MFA с помощью пользовательского элемента управления, всегда будет отображаться идентификатору Microsoft Entra (и, в свою очередь, в Центре партнеров), так как проверка MFA не завершена. По возможности рекомендуется переключиться на использование федерации удостоверений в отличие от пользовательского элемента управления при интеграции с идентификатором Microsoft Entra.

Определение пользователей, которые вошли в Центр партнеров без MFA

Это может быть полезно, чтобы определить, какие пользователи входить в Центр партнеров без проверки MFA и проверить их в отношении текущей реализации MFA. Вы можете использовать отчет о входе Microsoft Entra, чтобы узнать, завершил ли пользователь проверку MFA. Отчет о входе Microsoft Entra доступен только партнерам, подписавшимся на Microsoft Entra ID P1 или P2 или любой номер SKU Microsoft 365, который включает идентификатор Microsoft Entra ID P1 или P2 (например, EMS).

Связанный контент