Požadavky na zabezpečení pro používání rozhraní API Partnerského centra nebo Partnerského centra
Příslušné role: Všichni uživatelé Partnerského centra
Jako poradce, dodavatel ovládacích panelů nebo partner CSP (Cloud Solution Provider) máte rozhodnutí ohledně možností ověřování a dalších aspektů zabezpečení.
Ochrana osobních údajů a zabezpečení pro vás a vaše zákazníky patří mezi naše hlavní priority. Víme, že nejlepší obrana je prevence a že jsme tak silní jako nejslabší spojení. Proto potřebujeme, aby všichni v našem ekosystému zajistili odpovídající ochranu zabezpečení.
Povinné požadavky na zabezpečení
Program CSP umožňuje zákazníkům nakupovat produkty a služby Microsoftu prostřednictvím partnerů. V souladu se smlouvou s Microsoftem jsou partneři povinni spravovat prostředí a poskytovat podporu zákazníkům, kterým prodávají.
Zákazníci, kteří si prostřednictvím tohoto kanálu kupují svůj vztah důvěryhodnosti vy jako partner, protože máte přístup správce s vysokými oprávněními k tenantovi zákazníka.
Partneři, kteří neimplementují povinné požadavky na zabezpečení, nebudou moct provádět transakce v programu CSP ani spravovat tenanty zákazníků pomocí delegovaných práv správce. Kromě toho můžou partneři, kteří neimplementují požadavky na zabezpečení, riskovat účast v programech.
Podmínky přidružené k požadavkům na zabezpečení partnera byly přidány do Smlouva s partnerem Microsoftu. Smlouva s partnerem Microsoftu (MPA) se pravidelně aktualizuje a Microsoft doporučuje pravidelně kontrolovat všechny partnery. Vzhledem k tomu, že souvisí s poradci, budou zavedeny stejné smluvní požadavky.
Všichni partneři musí dodržovat osvědčené postupy zabezpečení, aby mohli zabezpečit prostředí partnerů a zákazníků. Dodržování těchtoosvědčených
Abychom vás a vaše zákazníky ochránili, vyžadujeme, aby partneři okamžitě provedli následující akce:
- Povolení vícefaktorového ověřování pro všechny uživatelské účty
- Přijetí architektury zabezpečeného aplikačního modelu
Povolení vícefaktorového ověřování pro všechny uživatelské účty v partnerském tenantovi
Vícefaktorové ověřování musíte vynutit u všech uživatelských účtů v partnerských tenantech. Uživatelé musí být vyzváni vícefaktorovým ověřováním, když se přihlásí ke komerčním cloudovým službám Microsoftu nebo když budou provádět transakce v programu Cloud Solution Provider prostřednictvím Partnerského centra nebo prostřednictvím rozhraní API.
Vynucování vícefaktorového ověřování se řídí těmito pokyny:
- Partneři, kteří používají vícefaktorové ověřování Microsoft Entra podporované microsoftem. Další informace najdete v tématu Více způsobů povolení vícefaktorového ověřování Microsoft Entra (podporováno vícefaktorové ověřování MFA)
- Partner, který implementoval jakékoli vícefaktorové ověřování třetích stran a část seznamu výjimek, má stále přístup k Partnerskému centru a rozhraním API s výjimkami, ale nemůže spravovat zákazníka pomocí DAP/GDAP (nejsou povoleny žádné výjimky).
- Pokud organizace partnera dříve udělila výjimku pro vícefaktorové ověřování, musí mít uživatelé, kteří spravují tenanty zákazníků v rámci programu CSP, povolené požadavky Microsoft MFA před 1. březnem 2022. Pokud nedodržíte požadavky vícefaktorového ověřování, může dojít ke ztrátě přístupu tenanta zákazníka.
- Přečtěte si další informace o ověřování vícefaktorového ověřování (MFA) pro vašeho partnerského tenanta.
Přijetí architektury zabezpečeného aplikačního modelu
Všichni partneři integrující s rozhraními API Partnerského centra musí přijmout architekturu modelu zabezpečené aplikace pro všechny aplikace a aplikace modelu ověřování uživatelů.
Důležité
Důrazně doporučujeme, aby partneři implementovali model zabezpečené aplikace pro integraci s rozhraním Microsoft API, jako je Azure Resource Manager nebo Microsoft Graph, nebo při využití automatizace, jako je PowerShell pomocí přihlašovacích údajů uživatele, aby se zabránilo přerušení při vynucení vícefaktorového ověřování.
Tyto požadavky na zabezpečení pomáhají chránit infrastrukturu a chránit data vašich zákazníků před potenciálními bezpečnostními riziky, jako je identifikace krádeže nebo jiných incidentů podvodu.
Další požadavky na zabezpečení
Zákazníci vám jako partnerovi důvěřují za poskytování služeb s přidanou hodnotou. Je nezbytné, abyste podnikli všechna bezpečnostní opatření k ochraně důvěry zákazníka a vaší pověsti partnera.
Microsoft nadále přidává vynucovací opatření, aby všichni partneři museli dodržovat zabezpečení svých zákazníků a určovat jejich prioritu. Tyto požadavky na zabezpečení pomáhají chránit infrastrukturu a chránit data vašich zákazníků před potenciálními bezpečnostními riziky, jako je identifikace krádeže nebo jiných incidentů podvodu.
Partner zodpovídá za zajištění, že přijímá zásady nulové důvěry, konkrétně za následující.
Delegovaná oprávnění správce (DAP)
Delegovaná oprávnění správce (DAP) poskytují možnost spravovat službu nebo předplatné zákazníka svým jménem. Zákazník musí této službě udělit oprávnění správce partnera. Vzhledem k tomu, že oprávnění poskytnutá partnerovi pro správu zákazníka jsou vysoce zvýšená, Microsoft doporučuje, aby všichni partneři odebrali neaktivní DAPs. Všichni partneři, kteří spravují tenanta zákazníka pomocí delegovaných oprávnění správce, by měli z Partnerského centra odebrat neaktivní daP, aby se zabránilo jakémukoli dopadu na tenanta zákazníka a jejich prostředky.
Další informace naleznete v tématu Monitorování vztahů správy a průvodce odebráním samoobslužného daP, nejčastější dotazy k oprávněním delegované správy a průvodce pro delegovaná oprávnění správce s cílem NOBELOVAIUM zaměřeného na delegovaná oprávnění správce.
DaP se navíc brzy přestane používat. Důrazně doporučujeme všem partnerům, kteří aktivně používají DAP ke správě svých tenantů zákazníků, a přejít k modelu s nejnižšími oprávněními Granular Delegovaná oprávnění správce, aby mohli bezpečně spravovat tenanty svých zákazníků.
Přechod na role s nejnižšími oprávněními pro správu tenantů zákazníků
Vzhledem k tomu, že daP bude brzy zastaralá, Microsoft důrazně doporučí přechod od aktuálního modelu DAP (který poskytuje agentům správy trvalý nebo trvalý přístup globálního správce) a nahradí ho jemně odstupňovaným delegovaným modelem přístupu. Jemně odstupňovaný model delegovaného přístupu snižuje rizika zabezpečení pro zákazníky a vliv těchto rizik na ně. Poskytuje také kontrolu a flexibilitu omezení přístupu pro jednotlivé zákazníky na úrovni úloh vašich zaměstnanců, kteří spravují služby a prostředí vašich zákazníků.
Další informace najdete v přehledu podrobných delegovaných oprávnění správce (GDAP), informací o rolích s nejnižšími oprávněními a nejčastějších dotazech k GDAP.
Sledování oznámení o podvodech v Azure
Jako partner v programu CSP zodpovídáte za spotřebu Azure zákazníka, takže je důležité, abyste věděli o všech potenciálních aktivitách dolování v předplatných Azure vašich zákazníků. Díky tomuto povědomí můžete okamžitě provést akci, abyste zjistili, jestli je chování legitimní nebo podvodné, a v případě potřeby pozastaví ovlivněné prostředky Azure nebo předplatné Azure, aby se problém zmírnit.
Další informace najdete v tématu Detekce a oznámení o podvodech Azure.
Registrace k Microsoft Entra ID P2
Všichni agenti pro správu v tenantovi CSP by měli posílit kybernetickou bezpečnost implementací Microsoft Entra ID P2 a využít různé možnosti k posílení vašeho tenanta CSP. Microsoft Entra ID P2 poskytuje rozšířený přístup k protokolům přihlašování a prémiovým funkcím, jako je Microsoft Entra Privileged Identity Management (PIM) a možnosti podmíněného přístupu založené na rizicích za účelem posílení kontrolních mechanismů zabezpečení.
Dodržování osvědčených postupů zabezpečení CSP
Je důležité dodržovat všechny osvědčené postupy CSP pro zabezpečení. Další informace najdete v osvědčených postupech zabezpečení Cloud Solution Provider.
Implementace vícefaktorového ověřování
Pokud chcete splnit požadavky na zabezpečení partnera, musíte implementovat a vynutit vícefaktorové ověřování pro každý uživatelský účet v partnerském tenantovi. Můžete to udělat jedním z následujících způsobů:
- Implementujte výchozí nastavení zabezpečení Microsoft Entra. Další informace najdete v další části s výchozími nastaveními zabezpečení.
- Kupte si Microsoft Entra ID P1 nebo P2 pro každý uživatelský účet. Další informace naleznete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra.
Výchozí nastavení zabezpečení
Jednou z možností, kterou partneři můžou implementovat požadavky na vícefaktorové ověřování, je povolit výchozí nastavení zabezpečení v Microsoft Entra ID. Výchozí nastavení zabezpečení nabízí základní úroveň zabezpečení bez dalších poplatků. Než povolíte výchozí nastavení zabezpečení, přečtěte si, jak povolit vícefaktorové ověřování pro vaši organizaci s ID Microsoft Entra a klíčovými informacemi níže.
- Partneři, kteří už přijali základní zásady, musí podniknout kroky pro přechod na výchozí nastavení zabezpečení.
- Výchozí nastavení zabezpečení jsou obecná náhrada zásad standardních hodnot preview. Jakmile partner povolí výchozí nastavení zabezpečení, nemůže povolit základní zásady.
- U výchozích hodnot zabezpečení jsou všechny zásady povolené najednou.
- Pro partnery, kteří používají podmíněný přístup, nejsou výchozí nastavení zabezpečení k dispozici.
- Starší ověřovací protokoly jsou blokované.
- Synchronizační účet Microsoft Entra Connect je vyloučený z výchozích hodnot zabezpečení a nebude vyzván k registraci nebo provedení vícefaktorového ověřování. Organizace by tento účet neměly používat pro jiné účely.
Podrobné informace najdete v tématu Přehled vícefaktorového ověřování Microsoft Entra pro vaši organizaci a Co jsou výchozí hodnoty zabezpečení?.
Poznámka:
Výchozí nastavení zabezpečení Microsoft Entra je vývoj standardních zásad ochrany zjednodušený. Pokud jste už povolili zásady základní ochrany, důrazně doporučujeme povolit výchozí nastavení zabezpečení.
Nejčastější dotazy k implementaci
Vzhledem k tomu, že tyto požadavky platí pro všechny uživatelské účty ve vašem partnerském tenantovi, je potřeba zvážit několik věcí, abyste zajistili bezproblémové nasazení. Identifikujte například uživatelské účty v Microsoft Entra ID, které nemůžou provádět vícefaktorové ověřování, a aplikace a zařízení ve vaší organizaci, které nepodporují moderní ověřování.
Před provedením jakékoli akce doporučujeme provést následující ověření.
Máte aplikaci nebo zařízení, které nepodporuje použití moderního ověřování?
Když vynucujete vícefaktorové ověřování, starší verze ověřování používají protokoly, jako jsou IMAP, POP3, SMTP a další, jsou blokované, protože nepodporují vícefaktorové ověřování. Pokud chcete toto omezení vyřešit, použijte funkci hesel aplikací, abyste zajistili, že se aplikace nebo zařízení budou dál ověřovat. Projděte si důležité informace o používání hesel aplikací a zjistěte, jestli se dají použít ve vašem prostředí.
Máte uživatele Office 365 s licencemi přidruženými k partnerskému tenantovi?
Před implementací jakéhokoli řešení doporučujeme určit, které verze systém Microsoft Office uživatelů ve vašem partnerském tenantovi používají. Je možné, že uživatelé budou mít problémy s připojením k aplikacím, jako je Outlook. Před vynucováním vícefaktorového ověřování je důležité zajistit, abyste používali Outlook 2013 SP1 nebo novější a aby vaše organizace povolila moderní ověřování. Další informace najdete v tématu Povolení moderního ověřování v Exchangi Online.
Pokud chcete povolit moderní ověřování pro zařízení s Windows, která mají nainstalovanou systém Microsoft Office 2013, musíte vytvořit dva klíče registru. Viz Povolení moderního ověřování pro Office 2013 na zařízeních s Windows.
Brání některým uživatelům používání mobilních zařízení při práci nějaká zásada?
Je důležité identifikovat všechny firemní zásady, které zaměstnancům brání v používání mobilních zařízení při práci, protože ovlivní, jaké řešení MFA implementujete. Existují řešení, jako je například ta, která se poskytuje prostřednictvím implementace výchozích hodnot zabezpečení Microsoft Entra, která umožňují k ověření pouze použití ověřovací aplikace. Pokud má vaše organizace zásady, které brání použití mobilních zařízení, zvažte jednu z následujících možností:
- Nasaďte jednorázovou aplikaci s jednorázovým heslem (TOTP), která může běžet v zabezpečeném systému.
Jakou automatizaci nebo integraci potřebujete k ověřování použít přihlašovací údaje uživatele?
Vynucení vícefaktorového ověřování pro každého uživatele, včetně účtů služeb, ve vašem partnerském adresáři může ovlivnit jakoukoli automatizaci nebo integraci, která k ověřování používá přihlašovací údaje uživatele. Proto je důležité určit, které účty se v těchto situacích používají. Podívejte se na následující seznam ukázkových aplikací nebo služeb, které byste měli zvážit:
- Ovládací panely používané ke zřizování prostředků jménem vašich zákazníků
- Integrace s libovolnou platformou, která se používá k fakturaci (v souvislosti s programem CSP) a podporou vašich zákazníků
- Skripty PowerShellu, které používají Az, AzureRM, Microsoft Graph PowerShell a další moduly
Předchozí seznam není vyčerpávající, proto je důležité provést úplné posouzení jakékoli aplikace nebo služby ve vašem prostředí, které k ověřování používá přihlašovací údaje uživatele. Pokud se chcete potýkat s požadavkem na vícefaktorové ověřování, měli byste implementovat pokyny v rámci zabezpečeného aplikačního modelu, pokud je to možné.
Přístup k prostředí
Pokud chcete lépe porozumět tomu, co nebo kdo ověřuje bez výzvy pro vícefaktorové ověřování, doporučujeme zkontrolovat přihlašovací aktivitu. Prostřednictvím Microsoft Entra ID P1 nebo P2 můžete použít sestavu přihlášení. Další informace o tomto předmětu najdete v tématu Sestavy aktivit přihlašování v Centru pro správu Microsoft Entra. Pokud nemáte Microsoft Entra ID P1 nebo P2 nebo pokud hledáte způsob, jak získat tuto přihlašovací aktivitu prostřednictvím PowerShellu, musíte použít rutinu Get-PartnerUserSignActivity z modulu PowerShell Partnerského centra.
Jak se požadavky vynucují
Pokud organizace partnera dříve udělila výjimku pro vícefaktorové ověřování, musí mít uživatelé, kteří spravují tenanty zákazníků v rámci programu CSP, povolené požadavky Microsoft MFA před 1. březnem 2022. Pokud nedodržíte požadavky vícefaktorového ověřování, může dojít ke ztrátě přístupu tenanta zákazníka.
Požadavky na zabezpečení partnerů vynucují ID Microsoft Entra a partnerské centrum kontrolou přítomnosti deklarace vícefaktorového ověřování, aby bylo možné zjistit, že proběhlo ověření vícefaktorového ověřování. Od 18. listopadu 2019 microsoft pro partnerské tenanty aktivoval další bezpečnostní opatření (dříve označovaná jako "technické vynucování").
Po aktivaci jsou uživatelé v partnerském tenantovi požádáni o dokončení ověřování vícefaktorového ověřování při provádění jakýchkoli operací správce jménem (AOBO), přístupu k Partnerskému centru nebo volání rozhraní API Partnerského centra. Další informace najdete v tématu Ověřování vícefaktorového ověřování (MFA) pro vašeho partnerského tenanta.
Partneři, kteří nedosáhli požadavků, by měli tato opatření implementovat co nejdříve, aby se zabránilo přerušení provozu. Pokud používáte vícefaktorové ověřování Microsoft Entra nebo výchozí nastavení zabezpečení Microsoft Entra, nemusíte provádět žádné další akce.
Pokud používáte řešení vícefaktorového ověřování třetí strany, je možné, že se deklarace vícefaktorového ověřování nevystaví. Pokud tato deklarace identity chybí, id Microsoft Entra nebude moct určit, jestli žádost o ověření byla vyzvána vícefaktorovým ověřováním. Informace o tom, jak ověřit, že vaše řešení vydává očekávanou deklaraci identity, najdete v tématu Testování požadavků na zabezpečení partnera.
Důležité
Pokud vaše řešení třetí strany nevystaví očekávanou deklaraci identity, budete muset spolupracovat s dodavatelem, který řešení vyvinul, a určit, jaké akce se mají provést.
Zdroje a ukázky
Informace o podpoře a vzorovém kódu najdete v následujících zdrojích informací:
- Komunita Skupiny doprovodných materiálů k zabezpečení v Partnerském centru: Komunita Skupiny doprovodných materiálů k zabezpečení v Partnerském centru je online komunita, kde se můžete dozvědět o nadcházejících událostech a pokládat jakékoli otázky, které byste mohli mít.
- Ukázky pro .NET v Partnerském centru: Toto úložiště GitHubu obsahuje ukázky vyvinuté pomocí .NET, které ukazují, jak můžete implementovat architekturu Zabezpečeného aplikačního modelu.
- Ukázky v Javě v Partnerském centru: Toto úložiště GitHubu obsahuje ukázky vyvinuté pomocí Javy, které ukazují, jak můžete implementovat architekturu Zabezpečeného aplikačního modelu.
- Partnerské centrum PowerShell – vícefaktorové ověřování: Tento článek o vícefaktorovém ověřování obsahuje podrobnosti o tom, jak implementovat architekturu zabezpečeného aplikačního modelu pomocí PowerShellu.
- Funkce a licence pro vícefaktorové ověřování Microsoft Entra
- Plánování vícefaktorového nasazení Microsoft Entra
- Testování požadavků na zabezpečení partnerů pomocí PowerShellu