Sdílet prostřednictvím

Osvědčené postupy zabezpečení CSP

  • Článek

Všichni partneři v programu Cloud Solution Provider (CSP) přistupující k Rozhraním API Partnerského centra a Partnerského centra by měli postupovat podle pokynů k zabezpečení v tomto článku a chránit se sami a zákazníky.

Informace o zabezpečení zákazníka najdete v tématu Osvědčené postupy zabezpečení zákazníka.

Důležité

Azure Active Directory (Azure AD) Graph je od 30. června 2023 zastaralý. V budoucnu nepracujeme do Azure AD Graphu žádné další investice. Rozhraní Azure AD Graph API nemají žádné závazky sla ani údržby nad rámec oprav souvisejících se zabezpečením. Investice do nových funkcí a funkcí budou provedeny pouze v Microsoft Graphu.

Azure AD Graph vyřadíme v přírůstkových krocích, abyste měli dostatek času na migraci aplikací do rozhraní Microsoft Graph API. Později, kdy budeme oznamovat, zablokujeme vytváření nových aplikací pomocí Azure AD Graphu.

Další informace najdete v tématu Důležité: Vyřazení azure AD Graphu a vyřazení modulu PowerShellu.

Osvědčené postupy pro identitu

Vyžadovat vícefaktorové ověřování

  • Ujistěte se, že všichni uživatelé v tenantech Partnerského centra a tenanti vašich zákazníků jsou zaregistrovaní a vyžadují vícefaktorové ověřování (MFA). Vícefaktorové ověřování můžete nakonfigurovat různými způsoby. Zvolte metodu, která se vztahuje na tenanta, kterého konfigurujete:
    • Moje Partnerské centrum / Tenant zákazníka má Microsoft Entra ID P1
    • Moje Partnerské centrum / Tenant zákazníka má Microsoft Entra ID P2
      • K vynucení vícefaktorového ověřování použijte podmíněný přístup .
      • Implementujte zásady založené na rizicích pomocí služby Microsoft Entra ID Protection.
      • V závislosti na výhodách interních práv k používání (IUR) pro vašeho tenanta v Partnerském centru můžete získat nárok na Microsoft 365 E3 nebo E5. Mezi tyto skladové položky patří Microsoft Entra ID P1 nebo 2.
      • Pro tenanta zákazníka doporučujeme povolit výchozí nastavení zabezpečení.
        • Pokud zákazník používá aplikace, které vyžadují starší ověřování, nebudou tyto aplikace fungovat po povolení výchozích hodnot zabezpečení. Pokud aplikaci nejde nahradit, odebrat nebo aktualizovat tak, aby používala moderní ověřování, můžete vícefaktorové ověřování vynutit prostřednictvím vícefaktorového ověřování pro jednotlivé uživatele.
        • Pomocí následujícího volání rozhraní Graph API můžete monitorovat a vynutit použití výchozích hodnot zabezpečení zákazníka:
  • Ujistěte se, že použitá metoda MFA je odolná proti útokům phishing. Můžete to provést pomocí ověřování bez hesla nebo párování čísel.
  • Pokud zákazník odmítne používat vícefaktorové ověřování, nezadávejte jim přístup k ID Microsoft Entra ani oprávnění k zápisu do předplatných Azure.

Přístup k aplikaci

  • Přijměte architekturu zabezpečeného aplikačního modelu. Všichni partneři integrující s rozhraními API Partnerského centra musí přijmout architekturu modelu zabezpečené aplikace pro všechny aplikace a aplikace modelu ověřování uživatelů.
  • Zakažte souhlas uživatele v tenantech Microsoft Entra v Partnerském centru nebo použijte pracovní postup souhlasu správce.

Nejnižší oprávnění / Bez stálého přístupu

  • Uživatelé, kteří mají role pro správu Microsoft Entra, jako je globální správce nebo správce zabezpečení, by tyto účty neměli pravidelně používat k e-mailu a spolupráci. Vytvořte samostatný uživatelský účet bez rolí pro správu Microsoft Entra pro úlohy spolupráce.
  • Zkontrolujte skupinu agentů pro správu a odeberte uživatele, kteří nepotřebují přístup.
  • Pravidelně kontrolujte přístup k rolím správy v ID Microsoft Entra a omezte přístup na co nejvíce účtů. Další informace najdete v tématu Předdefinované role Microsoft Entra.
  • Uživatelé, kteří opustí společnost nebo změní role v rámci společnosti, by měli být odebráni z přístupu k Partnerskému centru.
  • Pokud máte Microsoft Entra ID P2, použijte privileged Identity Management (PIM) k vynucení přístupu za běhu (JIT). Pomocí duální vazby můžete kontrolovat a schvalovat přístup pro role správců Microsoft Entra a role Partnerského centra.
  • Informace o zabezpečení privilegovaných rolí najdete v tématu Přehled zabezpečení privilegovaného přístupu.
  • Pravidelně kontrolujte přístup k zákaznickým prostředím.

Izolace identit

  • Vyhněte se hostování vaší instance Partnerského centra ve stejném tenantovi Microsoft Entra, který hostuje vaše interní IT služby, jako jsou nástroje pro e-mail a spolupráci.
  • Pro privilegované uživatele Partnerského centra, kteří mají přístup zákazníka, použijte samostatné vyhrazené uživatelské účty.
  • Vyhněte se vytváření uživatelských účtů v tenantech Microsoft Entra, jejichž účelem je používat partneři ke správě tenanta zákazníka a souvisejících aplikací a služeb.

Osvědčené postupy pro zařízení

  • Povolit přístup k Partnerskému centru a tenantovi zákazníků pouze z registrovaných pracovních stanic, které mají spravované standardní hodnoty zabezpečení a monitorují se bezpečnostní rizika.
  • U uživatelů Partnerského centra s privilegovaným přístupem k zákaznickým prostředím zvažte, jestli pro tyto uživatele k přístupu k zákaznickým prostředím vyžadují vyhrazené pracovní stanice (virtuální nebo fyzické). Další informace najdete v tématu Zabezpečení privilegovaného přístupu.

Osvědčené postupy monitorování

Rozhraní API Partnerského centra

  • Všichni dodavatelé Ovládací panely by měli povolit zabezpečený aplikační model a zapnout protokolování pro každou aktivitu uživatele.
  • Ovládací panely dodavatelé by měli povolit auditování každého partnerského agenta, který se přihlásí k aplikaci, a všechny provedené akce.

Monitorování a auditování přihlašování

  • Partneři s licencí Microsoft Entra ID P2 se automaticky můžou přihlásit k uchovávání dat protokolu auditu a přihlašování až do 30 dnů.

    Potvrďte, že:

    • Protokolování auditu je na místě, kde se používají delegovaná účty správce.
    • Protokoly zachytávají maximální úroveň podrobností poskytovaných službou.
    • Protokoly se uchovávají po přijatelnou dobu (až 30 dnů), která umožňuje detekci neobvyklé aktivity.

    Podrobné protokolování auditu může vyžadovat nákup dalších služeb. Další informace naleznete v tématu Jak dlouho microsoft Entra ID ukládá data generování sestav?

  • Pravidelně kontrolujte a ověřte e-mailové adresy a telefonní čísla pro obnovení hesla v rámci Microsoft Entra ID pro všechny uživatele s rolemi globálního správce a v případě potřeby je aktualizujte.

    • Pokud dojde k ohrožení zabezpečení tenanta zákazníka: partner CSP s přímým vyúčtováním, nepřímý poskytovatel nebo nepřímý prodejce nemůže kontaktovat podporu s žádostí o změnu hesla správce v tenantovi zákazníka. Zákazník musí zavolat na podporu Microsoftu podle pokynů v tématu Resetování hesla správce. Téma Resetování hesla správce obsahuje odkaz, pomocí kterého můžou zákazníci volat podpora Microsoftu. Požádejte zákazníka, aby uvedl, že poskytovatel CSP už nemá přístup ke svému tenantovi, aby vám pomohl resetovat heslo. Poskytovatel CSP by měl zvážit pozastavení předplatných zákazníka, dokud se přístup znovu nezíská a neodstraní se strany.

  • Implementujte osvědčené postupy protokolování auditu a proveďte rutinní kontrolu aktivity prováděné delegovanými účty správce.

  • Partneři by měli zkontrolovat sestavu rizikových uživatelů v rámci svého prostředí a řešit účty, které jsou zjištěny za účelem prezentace rizika podle publikovaných pokynů.