Sdílet prostřednictvím

Osvědčené postupy zabezpečení CSP

Všichni partneři programu Cloud Solution Provider (CSP), kteří mají přístup k Partnerskému centru a rozhraním API Partnerského centra, by měli dodržovat bezpečnostní pokyny uvedené v tomto článku, aby chránili sebe a své zákazníky.

Pro bezpečnost zákazníků se podívejte na Osvědčené postupy zabezpečení zákazníků. Pro osvědčené postupy pro správu služebních principálů viz Zabezpečení služebních principálů v Microsoft Entra ID.

Důležité

Azure Active Directory (Azure AD) Graph je od 30. června 2023 zastaralý. V budoucnu neplánujeme žádné další investice do Azure AD Graphu. Rozhraní Azure AD Graph API nemají žádné závazky SLA ani údržby kromě oprav souvisejících se zabezpečením. Investice do nových funkcí a funkcí budou provedeny pouze v Microsoft Graphu.

Azure AD Graph vyřadíme v přírůstkových krocích, abyste měli dostatek času na migraci aplikací do rozhraní Microsoft Graph API. Později, kdy budeme oznamovat, zablokujeme vytváření nových aplikací pomocí Azure AD Graphu.

Další informace najdete v tématu Důležité: Vyřazení Azure AD Graphu a ukončení podpory modulu PowerShellu.

Osvědčené postupy pro identitu

Vyžadovat vícefaktorové ověřování

  • Ujistěte se, že všichni uživatelé v tenantech Partnerského centra a tenanti vašich zákazníků jsou zaregistrovaní a vyžadují vícefaktorové ověřování (MFA). Vícefaktorové ověřování můžete nakonfigurovat různými způsoby. Zvolte metodu, která se vztahuje na tenanta, kterého konfigurujete:
    • Moje Partnerské Centrum / Tenant zákazníka má Microsoft Entra ID P1
    • Moje Partnerské centrum / Tenant zákazníka má Microsoft Entra ID P2
      • Použijte podmíněný přístup k vynucení vícefaktorového ověřování.
      • Implementujte zásady založené na rizicích pomocí služby Microsoft Entra ID Protection.
      • V závislosti na výhodách interních práv k používání (IUR) pro vašeho tenanta v Partnerském centru můžete získat nárok na Microsoft 365 E3 nebo E5. Mezi tyto skladové položky patří Microsoft Entra ID P1 nebo 2.
      • Pro nájemce vašeho zákazníka doporučujeme povolit výchozí nastavení zabezpečení.
        • Pokud zákazník používá aplikace, které vyžadují starší ověřování, nebudou tyto aplikace fungovat po povolení výchozích hodnot zabezpečení. Pokud aplikaci nejde nahradit, odebrat nebo aktualizovat tak, aby používala moderní ověřování, můžete vynutit vícefaktorové ověřování pro každého uživatele.
        • Pomocí následujícího volání rozhraní Graph API můžete monitorovat a vynutit použití výchozích hodnot zabezpečení zákazníka:
  • Ujistěte se, že použitá metoda MFA je odolná proti útokům phishing. Můžete to provést pomocí ověřování bez hesla nebo ověření shody čísel.
  • Pokud zákazník odmítne používat vícefaktorové ověřování, nezadávejte jim ani přístup k libovolné administrátorské roli k ID Microsoft Entra, ani oprávnění k zápisu do předplatných Azure.

Přístup k aplikaci

  • Přijměte architekturu zabezpečeného aplikačního modelu. Všichni partneři, kteří integrují rozhraní API Partnerského centra, musí přijmout rámec modelu zabezpečené aplikace pro všechny aplikace a modely ověřování uživatelů.
  • Zakažte souhlas uživatele v tenantech Microsoft Entra v Partnerském centru nebo použijte pracovní postup souhlasu správce.

Nejnižší oprávnění / Bez stálého přístupu

  • Uživatelé, kteří mají privilegované předdefinované role Microsoft Entra, by neměli tyto účty pravidelně používat k e-mailu a spolupráci. Vytvořte samostatný uživatelský účet bez rolí pro správu Microsoft Entra pro úlohy spolupráce.
  • Zkontrolujte skupinu agentů pro správu a odeberte uživatele, kteří nepotřebují přístup.
  • Pravidelně kontrolujte přístup k rolím správy v ID Microsoft Entra a omezte přístup na co nejvíce účtů. Další informace najdete v tématu Vestavěné role Microsoft Entra.
  • Uživatelé, kteří opustí společnost nebo změní role v rámci společnosti, by měli být odebráni z přístupu k Partnerskému centru.
  • Pokud máte Microsoft Entra ID P2, použijte Privileged Identity Management (PIM) k vynucení přístupu systémem just-in-time (JIT). Pomocí duální správy můžete přezkoumat a schválit přístup pro role správců Microsoft Entra a role Partnerského centra.
  • Informace o zabezpečení privilegovaných rolí naleznete v části Přehled zabezpečení privilegovaného přístupu.
  • Pravidelně kontrolujte přístup k zákaznickým prostředím.
    • Odeberte neaktivní delegovaná oprávnění pro správu (DAP).
    • Nejčastější dotazy k GDAP
    • Ujistěte se, že relace GDAP využívají role s nejnižšími potřebnými oprávněními.

Izolace identit

  • Vyhněte se hostování vaší instance Partnerského centra ve stejném tenantovi Microsoft Entra, který hostuje vaše interní IT služby, jako jsou nástroje pro e-mail a spolupráci.
  • Pro privilegované uživatele Partnerského centra, kteří mají přístup zákazníka, použijte samostatné vyhrazené uživatelské účty.
  • Vyhněte se vytváření uživatelských účtů v tenantech Microsoft Entra, jejichž účelem je používat partneři ke správě tenanta zákazníka a souvisejících aplikací a služeb.

Nejlepší postupy pro zařízení

  • Povolit přístup k Partnerskému centru a tenantovi zákazníků pouze z registrovaných pracovních stanic, které mají spravované standardní hodnoty zabezpečení a monitorují se bezpečnostní rizika.
  • U uživatelů Partnerského centra s privilegovaným přístupem k zákaznickým prostředím zvažte, jestli pro tyto uživatele k přístupu k zákaznickým prostředím vyžadují vyhrazené pracovní stanice (virtuální nebo fyzické). Pro více informací si přečtěte Zabezpečení privilegovaného přístupu.

Osvědčené postupy monitorování

Rozhraní API Partnerského centra

  • Všichni dodavatelé Ovládacího panelu by měli povolit zabezpečený aplikační model a zapnout protokolování pro každou aktivitu uživatele.
  • Dodavatelé ovládacích panelů by měli povolit auditování každého partnerského agenta, který se přihlásí k aplikaci, a všech provedených akcí.

Monitorování a auditování procesů přihlašování

  • Partneři s licencí Microsoft Entra ID P2 automaticky mají nárok uchovávat data protokolu auditu a přihlašování až 30 dní.

    Potvrďte, že:

    • Protokolování auditu je zavedeno tam, kde se používají delegované účty správců.
    • Protokoly zachytávají maximální úroveň podrobností poskytovaných službou.
    • Protokoly se uchovávají po přijatelnou dobu (až 30 dnů), která umožňuje detekci neobvyklé aktivity.

    Podrobné protokolování auditu může vyžadovat nákup dalších služeb. Další informace naleznete v tématu „Jak dlouho Microsoft Entra ID ukládá data pro sestavy?“

  • Pravidelně kontrolujte a ověřte e-mailové adresy a telefonní čísla pro obnovení hesla v rámci Microsoft Entra ID pro všechny uživatele s privilegovanými rolemi správce Entra a v případě potřeby aktualizujte.

    • Pokud dojde k ohrožení zabezpečení tenanta zákazníka: partner CSP s přímým vyúčtováním, nepřímý poskytovatel nebo nepřímý prodejce nemůže kontaktovat podporu s žádostí o změnu hesla správce v tenantovi zákazníka. Zákazník musí zavolat na podporu Microsoft podle pokynů v tématu Resetovat moje heslo správce. Téma Resetování mého hesla správce obsahuje odkaz, pomocí kterého můžou zákazníci volat podporu Microsoftu. Požádejte zákazníka, aby uvedl, že poskytovatel CSP už nemá přístup ke svému tenantovi, aby vám pomohl resetovat heslo. Poskytovatel CSP by měl zvážit pozastavení předplatných zákazníka, dokud se znovu nezíská přístup a problémové strany nebudou odstraněny.

  • Implementujte osvědčené postupy protokolování auditu a proveďte rutinní kontrolu aktivity prováděné delegovanými účty správce.

  • Partneři by měli zkontrolovat zprávu o rizikových uživatelích v rámci svého prostředí a řešit účty, které byly vyhodnoceny jako rizikové dle zveřejněných pokynů.

    • Náprava rizik a odblokování uživatelů
    • Uživatelské zkušenosti s Microsoft Entra ID Protection

Související obsah