合作伙伴中心的安全性要求

适当的角色：管理员代理

安全 要求 仪表板可帮助你评估和增强合作伙伴中心内的当前安全状况。 此功能授予直接计费合作伙伴和间接提供商对其安全分数的访问权限。

在“安全要求”仪表板中，可以监视和调整安全设置、策略和过程。 仪表板使你能够主动管理和增强安全态势，并推动零信任原则。

仪表板提供基于系统漏洞和常见攻击模式的可操作建议。 通过实施这些建议并定期检查更新，可以加强安全防御。

仪表板将所有安全要求的状态合并到单个综合分数中，以便快速评估当前的安全准备情况。 分数越高，识别的风险级别越低。

关键功能

下面是安全要求仪表板的示例。

概述

仪表板顶部显示两个概述框：

• 安全分数 显示合作伙伴中心内安全状态的快照。
• 安全要求 显示安全要求总数，包括已完成和未完成的要求总数。

安全要求部分

“ 安全要求 ”部分显示了一个精选的安全要求和建议表。 这些要求和建议可帮助你确定安全运行状况改进、解决问题、降低风险以及增强整体安全状况的领域。

该表包含以下列：

• 安全要求：安全要求简要说明。

• 说明：安全要求的详细说明。

• 状态：指示是否完成要求。

• 见解：针对各个要求定制的可操作数据，提供有关需要注意的领域的进一步见解。

• 评分：每个要求的分数，这有助于总体安全分数。

• 说明：指向分步指南的直接链接，可帮助你了解和实施每个建议，以便提升安全性。 这些链接也会显示在 “其他资源 ”部分中。

• 操作：指向可解决要求的页面的链接。

  注意

  如果没有适当的角色或访问权限，请联系组织中的正确人员。

未来要求部分

“ 未来要求 ”部分显示了即将实施的要求预览。 未完成的要求将从将来的总分数中扣除积分。

安全分数的计算

安全分数是 0 到 100 之间的小数（浮点整数）值。 分数反映了租户的安全状况。

合作伙伴中心使用单个安全要求的安全分数来计算安全分数。 每个安全要求都获得从 0 到 20 的最大分数。 安全要求的最大分数基于该要求与其他要求相比的相对权重。 根据不断变化的业务优先级，最大分数可能会更改。

当前计算算法为符合要求授予最大分数。 否则，分数为 0。

总体安全分数的计算使用以下公式：（个人安全要求分数之和）/（个人安全要求最大分数的总和） * 100。

安全要求和实现说明

注意

标识 MFA 建议不支持非Microsoft多重身份验证（MFA）解决方案，例如 Okta、Ping 和 Duo。 非Microsoft MFA 解决方案不会纳入要求分数计算。

要求：启用 MFA

安全分数：20

要求对管理角色执行 MFA 会使攻击者更难访问帐户。 管理角色的权限高于典型用户的权限。 如果其中任何帐户遭到入侵，则会公开整个组织。

至少保护以下角色：

• 全局管理员
• 身份验证管理员
• 计费管理员
• 条件访问管理员
• Exchange 管理员
• 支持管理员
• 安全管理员
• SharePoint 管理员
• 用户管理员

实现步骤

注意

若要考虑完成此要求，需要确保 MFA 要求通过安全默认值、条件访问或每用户 MFA 涵盖每个管理员用户。 还需要确保每个管理员用户设置其他验证因素（例如，选择验证提示的设备）。

此要求包括紧急访问帐户。 若要了解详细信息，请参阅 Microsoft Entra ID 中的“管理紧急访问帐户”。

• Microsoft提供了分步指南，用于在Microsoft 365 管理中心中为组织选择和启用正确的 MFA 方法。 转到 Microsoft 365 MFA 向导。
• 如果要自行执行实现，并且正在使用 Microsoft Entra ID Free，请启用安全默认值。 请记住，安全默认值和条件访问不能并排使用。 若要了解详细信息，请参阅 Microsoft Entra ID 中的安全默认值。
• 如果你已投资Microsoft Entra ID P1 或 P2 许可证，则可以从头开始或使用模板创建条件访问策略。 按照步骤创建条件访问策略。
• 转到 Microsoft Entra ID 安全>身份验证方法用户注册详细信息（需要Microsoft Entra ID>P1 或 P2 许可证），跟踪管理员注册身份验证方法>的进度。 转到 用户注册详细信息。

资源

• MFA 工作原理
• 规划 Microsoft Entra 多重身份验证部署
• Microsoft Entra ID 中的安全默认值
• 在 Microsoft Entra ID 中管理紧急访问帐户

要求：对警报的响应平均为 24 小时或更少

安全分数：20

你必须在合作伙伴中心出现后 24 小时内对警报进行会审和响应，目标是在 1 小时内做出响应。 此要求有助于为客户租户提供即时保护，并最大限度地减少财务损失。 响应时间从警报出现在合作伙伴中心的时间到合作伙伴用户对警报进行更改的时间（例如更新其状态或原因代码）进行度量。 平均响应时间是根据过去 30 天的活动计算的。

实现步骤

• 确保已配置合作伙伴中心安全联系人。 默认情况下，此电子邮件地址接收警报通知。 可以使用共享邮箱或提供票证系统的邮箱。
• 维护事件响应 playbook，用于定义角色、职责、响应计划和联系信息。
• 为每个警报指定原因代码。 Microsoft使用反馈来衡量生成的警报的有效性。

资源

• 合作伙伴中心警报
• Azure 欺诈检测和通知
• 云解决方案提供商安全联系人

要求：提供安全联系人

安全分数：10

当云解决方案提供商（CSP）合作伙伴租户发生任何与安全相关的问题时，Microsoft应能够传达此问题，并建议在合作伙伴组织中指定安全联系人采取适当的步骤。 该联系人应采取行动，尽快缓解和修正安全问题。

合作伙伴中心内的某些角色可能没有必要的专业知识或联系才能处理与安全相关的重要事件。 所有合作伙伴都应更新其合作伙伴租户的安全联系人。

安全联系人是负责合作伙伴组织内安全相关问题的个人或一组人员。

实现步骤

填充负责响应公司安全事件的个人或组的电子邮件、电话号码和名称。

资源

• 云解决方案提供商安全联系人

要求：所有 Azure 订阅都有支出预算

安全分数：10

跟踪客户的 Azure 订阅使用情况有助于帮助客户管理其 Azure 使用情况，并避免产生高于预期的费用。 应与客户讨论其每月支出预期，并为其订阅设置支出预算。

当客户使用 80% 或更多配置的支出预算时，可以配置要发送给你的通知。 支出预算不会对支出设置上限。 请务必在客户达到 80% 的使用量时通知客户，以便他们可以计划关闭资源或预期更高的账单。

注意

处于新商务体验并设置支出预算的合作伙伴将获得此要求的分数。 采用传统体验的合作伙伴不会获得任何积分。

实现步骤

请参阅 为客户设置 Azure 支出预算。

要求：客户租户中具有管理角色的用户必须使用 MFA

安全分数：20

要求对客户租户中的管理角色执行 MFA 会使攻击者更难访问帐户。 管理角色的权限高于典型用户的权限。 如果这些帐户中的任何一个遭到入侵，则会公开整个组织。

至少保护以下角色：

• 全局管理员
• 身份验证管理员
• 计费管理员
• 条件访问管理员
• Exchange 管理员
• 支持管理员
• 安全管理员
• SharePoint 管理员
• 用户管理员

实现步骤

转到 客户 MFA 统计信息。 本页重点介绍每个客户的 MFA 安全状况的关键信息：

• 客户：客户姓名。
• 启用了 MFA 的管理员：已启用 MFA 的客户租户中的管理员数。
• 启用了 MFA 的非管理员：已启用 MFA 的客户租户中的非管理员用户数。
• 总用户数：客户租户中的用户总数。

可以使用“搜索”框在同一页上搜索特定客户的统计信息。

有关详细步骤，请参阅 管理客户的 MFA 安全状况。