Bewährte Methoden für die CSP-Sicherheit

Alle Partner im CSP-Programm (Cloud Solution Provider) für den Zugriff auf Partner Center - und Partner Center-APIs sollten den Sicherheitsrichtlinien in diesem Artikel folgen, um sich und Kunden zu schützen.

Informationen zur Kundensicherheit finden Sie unter bewährte Methoden für die Kundensicherheit.

Wichtig

Azure Active Directory (Azure AD) Graph ist ab dem 30. Juni 2023 veraltet. In Zukunft investieren wir nicht mehr in Azure AD Graph. Azure AD Graph-APIs haben keine SLA- oder Standard Zusicherung über sicherheitsbezogene Fixes hinaus. Investitionen in neue Features und Funktionalitäten werden nur für Microsoft Graph vorgenommen.

Azure AD Graph wird inkrementellen Schritten eingestellt, sodass Sie genügend Zeit haben, um Ihre Anwendungen zu Microsoft Graph-APIs zu migrieren. Zu einem späteren Zeitpunkt, an dem wir ihnen mitteilen werden, werden wir die Erstellung neuer Anwendungen mit Azure AD Graph blockieren.

Weitere Informationen finden Sie unter "Wichtig": Veraltetes Azure AD Graph- und Powershell-Modul.To learn more, see Important: Azure AD Graph Retirement and Powershell Module Deprecation.

Best Practices für Identitäten

Vorschreiben von Multi-Faktor-Authentifizierung

  • Stellen Sie sicher, dass alle Benutzer in Ihren Partner Center-Mandanten und Ihren Kundenmandanten für die mehrstufige Authentifizierung (Multifactor Authentication, MFA) registriert sind. Es gibt verschiedene Möglichkeiten zum Konfigurieren der MFA. Wählen Sie die Methode aus, die für den Mandanten gilt, den Sie konfigurieren:
    • Der Mandant meines Partner Centers/Kunden verfügt über die Microsoft Entra ID P1
    • Der Mandant meines Partner Centers/Kunden verfügt über die Microsoft Entra ID P2
      • Verwenden Sie bedingten Zugriff , um MFA zu erzwingen.
      • Implementieren Sie risikobasierte Richtlinien mithilfe von Microsoft Entra ID Protection.
      • Für Ihren Partner Center-Mandanten können Sie sich je nach Ihren Vorteilen für interne Nutzungsrechte (Internal Use Rights, IUR) für Microsoft 365 E3 oder E5 qualifizieren. Diese SKUs umfassen die Microsoft Entra ID P1 bzw. 2.
      • Für den Mandanten Ihres Kunden empfehlen wir die Aktivierung von Sicherheitsstandardeinstellungen.
        • Wenn Ihr Kunde Apps verwendet, die eine Legacyauthentifizierung erfordern, funktionieren diese Apps nach dem Aktivieren der Sicherheitsstandardeinstellungen nicht mehr. Wenn die App nicht ersetzt, entfernt oder aktualisiert werden kann, um moderne Authentifizierung zu verwenden, können Sie MFA per Benutzer-MFA erzwingen.
        • Sie können die Verwendung von Sicherheitsstandardeinstellungen Ihres Kunden mithilfe des folgenden Graph-API-Aufrufs überwachen und erzwingen:
  • Stellen Sie sicher, dass die verwendete MFA-Methode phishingsicher ist. Dazu können Sie die kennwortlose Authentifizierung oder den Nummernabgleich verwenden.
  • Wenn ein Kunde MFA nicht verwendet, gewähren Sie ihm keinen Administratorrollenzugriff auf die Microsoft Entra-ID, oder schreiben Sie Berechtigungen für Azure-Abonnements.

App-Zugriff

Geringste Rechte / Kein ständiger Zugriff

  • Benutzer, die über Administratorrollen von Microsoft Entra verfügen, z. B. globaler Administrator oder Sicherheitsadministrator, sollten diese Konten nicht regelmäßig für E-Mail und Zusammenarbeit verwenden. Erstellen Sie ein separates Benutzerkonto ohne Administratorrollen von Microsoft Entra für Zusammenarbeitsaufgaben.
  • Überprüfen Sie die Administrator-Agent-Gruppe, und entfernen Sie Personen, die keinen Zugriff benötigen.
  • Überprüfen Sie regelmäßig den Administratorrollenzugriff in der Microsoft Entra-ID, und beschränken Sie den Zugriff auf so wenige Konten wie möglich. Weitere Informationen finden Sie unter Integrierte Rollen in Microsoft Entra.
  • Benutzer, die das Unternehmen verlassen oder Rollen innerhalb des Unternehmens ändern, sollten aus dem Partner Center-Zugriff entfernt werden.
  • Wenn Sie über Microsoft Entra ID P2 verfügen, verwenden Sie Privileged Identity Management (PIM), um just-in-time (JIT)-Zugriff zu erzwingen. Verwenden Sie das doppelte Sorgerecht, um den Zugriff auf Microsoft Entra-Administratorrollen und Partner Center-Rollen zu überprüfen und zu genehmigen.
  • Informationen zum Schützen privilegierter Rollen finden Sie unter Übersicht über das Sichern des privilegierten Zugriffs.
  • Überprüfen Sie regelmäßig den Zugriff auf Kundenumgebungen.

Identitätsisolation

  • Vermeiden Sie das Hosten Ihrer Partner Center-Instanz in demselben Microsoft Entra-Mandanten, der Ihre internen IT-Dienste hostet, z. B. E-Mail- und Zusammenarbeitstools.
  • Verwenden Sie separate, dedizierte Benutzerkonten für privilegierte Partner Center-Benutzer, die Kundenzugriff haben.
  • Vermeiden Sie das Erstellen von Benutzerkonten in Microsoft Entra-Mandanten des Kunden, die von Partnern zum Verwalten des Kundenmandanten und zugehöriger Apps und Dienste verwendet werden sollen.

Bewährte Methoden für Geräte

  • Nur den Zugriff auf Partner Center und Kundenmandanten von registrierten, fehlerfreien Arbeitsstationen mit verwalteten Sicherheitsgrundwerten zulassen und auf Sicherheitsrisiken überwacht werden.
  • Für Partner Center-Benutzer mit privilegiertem Zugriff auf Kundenumgebungen sollten Dedizierte Arbeitsstationen (virtuell oder physisch) erforderlich sein, damit diese Benutzer auf Kundenumgebungen zugreifen können. Weitere Informationen finden Sie unter Sichern des privilegierten Zugriffs.

Bewährte Methoden für die Überwachung

Partner Center-APIs

  • Alle Systemsteuerung Anbieter sollten das sichere Anwendungsmodell aktivieren und die Protokollierung für jede Benutzeraktivität aktivieren.
  • Systemsteuerung Anbieter sollten die Überwachung jedes Partner-Agents, der sich bei der Anwendung anmeldet, und alle ausgeführten Aktionen aktivieren.

Anmeldeüberwachung und -überwachung

  • Partner mit einer Microsoft Entra ID P2-Lizenz qualifizieren sich automatisch, um Überwachungs- und Anmeldeprotokolldaten bis zu 30 Tage aufzubewahren.

    Bestätigen Sie folgendes:

    • Die Überwachungsprotokollierung befindet sich an der Stelle, an der delegierte Administratorkonten verwendet werden.
    • Protokolle erfassen die maximale Anzahl von Details, die vom Dienst bereitgestellt werden.
    • Protokolle werden für einen akzeptablen Zeitraum (bis zu 30 Tage) aufbewahrt, der die Erkennung von Anomalieaktivitäten ermöglicht.

    Detaillierte Überwachungsprotokollierung erfordert möglicherweise den Kauf weiterer Dienste. Weitere Informationen finden Sie unter Wie lange speichert Microsoft Entra ID Berichtsdaten?

  • Überprüfen und überprüfen Sie regelmäßig E-Mail-Adressen und Telefonnummern für die Kennwortwiederherstellung innerhalb der Microsoft Entra-ID für alle Benutzer mit den Rollen des globalen Administrators, und aktualisieren Sie sie bei Bedarf.

    • Wenn der Mandant eines Kunden kompromittiert ist: der CSP Direct Bill Partner, der indirekte Anbieter oder Ihr indirekter Vertriebspartner kann sich nicht an den Support wenden, der eine Änderung des Administratorkennworts im Mandanten des Kunden anfordert. Der Kunde muss den Microsoft-Support anrufen, indem er den Anweisungen im Thema "Mein Administratorkennwort zurücksetzen" folgt. Das Thema zum Zurücksetzen meines Administratorkennworts enthält einen Link, über den Kunden Microsoft-Support anrufen können. Weisen Sie den Kunden an, Erwähnung, dass der CSP keinen Zugriff mehr auf seinen Mandanten hat, um das Kennwort zurückzusetzen. Der CSP sollte in Erwägung ziehen, die Abonnements des Kunden auszusetzen, bis der Zugriff wiedererlangt wird und die beleidigenden Parteien entfernt werden.
  • Implementieren Sie bewährte Methoden für die Überwachungsprotokollierung, und führen Sie routinemäßige Überprüfungen der Aktivitäten durch, die von delegierten Administratorkonten ausgeführt werden.

  • Partner sollten den bericht über riskante Benutzer in ihrer Umgebung überprüfen und die Konten adressieren, die erkannt werden, um risiken gemäß veröffentlichten Anleitungen darzustellen.