Bewährte Methoden für die CSP-Sicherheit

Alle Partner im CSP-Programm (Cloud Solution Provider) für den Zugriff auf Partner Center - und Partner Center-APIs sollten den Sicherheitsrichtlinien in diesem Artikel folgen, um sich und Kunden zu schützen.

Informationen zur Kundensicherheit finden Sie unter bewährte Methoden für die Kundensicherheit.

Wichtig

Azure Active Directory (Azure AD) Graph ist ab dem 30. Juni 2023 veraltet. In Zukunft investieren wir nicht mehr in Azure AD Graph. Azure AD Graph-APIs haben keine SLA- oder Wartungsverpflichtungen, die über sicherheitsbezogene Fixes hinausgehen. Investitionen in neue Features und Funktionalitäten werden nur für Microsoft Graph vorgenommen.

Azure AD Graph wird inkrementellen Schritten eingestellt, sodass Sie genügend Zeit haben, um Ihre Anwendungen zu Microsoft Graph-APIs zu migrieren. Zu einem späteren Zeitpunkt, an dem wir ihnen mitteilen werden, werden wir die Erstellung neuer Anwendungen mit Azure AD Graph blockieren.

Weitere Informationen finden Sie unter "Wichtig": Veraltetes Azure AD Graph- und Powershell-Modul.To learn more, see Important: Azure AD Graph Retirement and Powershell Module Deprecation.

Dringend empfohlene Schritte in Ihren Mandanten

• Fügen Sie einen Sicherheitskontakt für sicherheitsbezogene Problembenachrichtigungen im Partner Center-Mandanten hinzu.
• Überprüfen Sie Ihre Identitätssicherheitsbewertung in der Microsoft Entra-ID, und ergreifen Sie die entsprechenden Aktionen, um Ihre Bewertung zu erhöhen.
• Überprüfen und implementieren Sie die Anleitungen, die bei der Verwaltung von Nichtzahlung, Betrug oder Missbrauch dokumentiert sind.
• Machen Sie sich mit dem NOBELIUM-Bedrohungsakteur und verwandten Materialien vertraut:
  • Gezielte NOBELIUM-Angriffe über delegierte Administratorrechte für breiter gefasste Angriffe
  • NOBELIUM Response Training
  • Sichern des Kanals: Reise zu null Vertrauen

Best Practices für Identitäten

Erzwingen der mehrstufigen Authentifizierung

• Stellen Sie sicher, dass alle Benutzer in Ihren Partner Center-Mandanten und Ihren Kundenmandanten für die mehrstufige Authentifizierung (Multifactor Authentication, MFA) registriert sind. Es gibt verschiedene Möglichkeiten zum Konfigurieren der MFA. Wählen Sie die Methode aus, die für den Mandanten gilt, den Sie konfigurieren:
  • Der Mandant meines Partner Centers/Kunden verfügt über die Microsoft Entra ID P1
    • Verwenden Sie bedingten Zugriff , um MFA zu erzwingen.
  • Der Mandant meines Partner Centers/Kunden verfügt über die Microsoft Entra ID P2
    • Verwenden Sie bedingten Zugriff , um MFA zu erzwingen.
    • Implementieren Sie risikobasierte Richtlinien mithilfe von Microsoft Entra ID Protection.
    • Für Ihren Partner Center-Mandanten können Sie sich je nach Ihren Vorteilen für interne Nutzungsrechte (Internal Use Rights, IUR) für Microsoft 365 E3 oder E5 qualifizieren. Diese SKUs umfassen die Microsoft Entra ID P1 bzw. 2.
    • Für den Mandanten Ihres Kunden empfehlen wir die Aktivierung von Sicherheitsstandardeinstellungen.
      • Wenn Ihr Kunde Apps verwendet, die eine Legacyauthentifizierung erfordern, funktionieren diese Apps nach dem Aktivieren der Sicherheitsstandardeinstellungen nicht mehr. Wenn die App nicht ersetzt, entfernt oder aktualisiert werden kann, um moderne Authentifizierung zu verwenden, können Sie MFA per Benutzer-MFA erzwingen.
      • Sie können die Verwendung von Sicherheitsstandardeinstellungen Ihres Kunden mithilfe des folgenden Graph-API-Aufrufs überwachen und erzwingen:
        • identitySecurityDefaultsEnforcementPolicy-Ressourcentyp – Microsoft Graph v1.0 | Microsoft Learn
• Stellen Sie sicher, dass die verwendete MFA-Methode phishingsicher ist. Dazu können Sie die kennwortlose Authentifizierung oder den Nummernabgleich verwenden.
• Wenn ein Kunde MFA nicht verwendet, gewähren Sie ihm keinen Administratorrollenzugriff auf die Microsoft Entra-ID, oder schreiben Sie Berechtigungen für Azure-Abonnements.

App-Zugriff

• Übernehmen Sie das Framework Sicheres Anwendungsmodell. Alle Partner, die eine Integration mit Partner Center-APIs durchführen, müssen das Framework „Sicheres Anwendungsmodell“ für alle Anwendungs- und Benutzerauthentifizierungsmodelle implementieren.
• Deaktivieren Sie die Benutzerzustimmung in Partner Center Microsoft Entra-Mandanten, oder verwenden Sie den Administratorzustimmungsworkflow.

Geringste Rechte / Kein ständiger Zugriff

• Benutzer, die über Administratorrollen von Microsoft Entra verfügen, z. B. globaler Administrator oder Sicherheitsadministrator, sollten diese Konten nicht regelmäßig für E-Mail und Zusammenarbeit verwenden. Erstellen Sie ein separates Benutzerkonto ohne Administratorrollen von Microsoft Entra für Zusammenarbeitsaufgaben.
• Überprüfen Sie die Administrator-Agent-Gruppe, und entfernen Sie Personen, die keinen Zugriff benötigen.
• Überprüfen Sie regelmäßig den Administratorrollenzugriff in der Microsoft Entra-ID, und beschränken Sie den Zugriff auf so wenige Konten wie möglich. Weitere Informationen finden Sie unter Integrierte Rollen in Microsoft Entra.
• Benutzer, die das Unternehmen verlassen oder Rollen innerhalb des Unternehmens ändern, sollten aus dem Partner Center-Zugriff entfernt werden.
• Wenn Sie über Microsoft Entra ID P2 verfügen, verwenden Sie Privileged Identity Management (PIM), um just-in-time (JIT)-Zugriff zu erzwingen. Verwenden Sie das doppelte Sorgerecht, um den Zugriff auf Microsoft Entra-Administratorrollen und Partner Center-Rollen zu überprüfen und zu genehmigen.
• Informationen zum Schützen privilegierter Rollen finden Sie unter Übersicht über das Sichern des privilegierten Zugriffs.
• Überprüfen Sie regelmäßig den Zugriff auf Kundenumgebungen.
  • Entfernen Sie inaktive delegierte Administratorrechte (DAP).
  • Häufig gestellte Fragen zur GDAP.
  • Stellen Sie sicher, dass GDAP-Beziehungen Rollen mit den geringsten Berechtigungen verwenden.

Identitätsisolation

• Vermeiden Sie das Hosten Ihrer Partner Center-Instanz in demselben Microsoft Entra-Mandanten, der Ihre internen IT-Dienste hostet, z. B. E-Mail- und Zusammenarbeitstools.
• Verwenden Sie separate, dedizierte Benutzerkonten für privilegierte Partner Center-Benutzer, die Kundenzugriff haben.
• Vermeiden Sie das Erstellen von Benutzerkonten in Microsoft Entra-Mandanten des Kunden, die von Partnern zum Verwalten des Kundenmandanten und zugehöriger Apps und Dienste verwendet werden sollen.

Bewährte Methoden für Geräte

• Nur den Zugriff auf Partner Center und Kundenmandanten von registrierten, fehlerfreien Arbeitsstationen mit verwalteten Sicherheitsgrundwerten zulassen und auf Sicherheitsrisiken überwacht werden.
• Für Partner Center-Benutzer mit privilegiertem Zugriff auf Kundenumgebungen sollten Dedizierte Arbeitsstationen (virtuell oder physisch) erforderlich sein, damit diese Benutzer auf Kundenumgebungen zugreifen können. Weitere Informationen finden Sie unter Sichern des privilegierten Zugriffs.

Bewährte Methoden für die Überwachung

Partner Center-APIs

• Alle Systemsteuerung Anbieter sollten das sichere Anwendungsmodell aktivieren und die Protokollierung für jede Benutzeraktivität aktivieren.
• Systemsteuerung Anbieter sollten die Überwachung jedes Partner-Agents, der sich bei der Anwendung anmeldet, und alle ausgeführten Aktionen aktivieren.

Anmeldeüberwachung und -überwachung

• Partner mit einer Microsoft Entra ID P2-Lizenz qualifizieren sich automatisch, um Überwachungs- und Anmeldeprotokolldaten bis zu 30 Tage aufzubewahren.

  Bestätigen Sie folgendes:

  • Die Überwachungsprotokollierung befindet sich an der Stelle, an der delegierte Administratorkonten verwendet werden.
  • Protokolle erfassen die maximale Anzahl von Details, die vom Dienst bereitgestellt werden.
  • Protokolle werden für einen akzeptablen Zeitraum (bis zu 30 Tage) aufbewahrt, der die Erkennung von Anomalieaktivitäten ermöglicht.

  Detaillierte Überwachungsprotokollierung erfordert möglicherweise den Kauf weiterer Dienste. Weitere Informationen finden Sie unter Wie lange speichert Microsoft Entra ID Berichtsdaten?

• Überprüfen und überprüfen Sie regelmäßig E-Mail-Adressen und Telefonnummern für die Kennwortwiederherstellung innerhalb der Microsoft Entra-ID für alle Benutzer mit den Rollen des globalen Administrators, und aktualisieren Sie sie bei Bedarf.

  • Wenn der Mandant eines Kunden kompromittiert ist: der CSP Direct Bill Partner, der indirekte Anbieter oder Ihr indirekter Vertriebspartner kann sich nicht an den Support wenden, der eine Änderung des Administratorkennworts im Mandanten des Kunden anfordert. Der Kunde muss den Microsoft-Support anrufen, indem er den Anweisungen im Thema "Mein Administratorkennwort zurücksetzen" folgt. Das Thema zum Zurücksetzen meines Administratorkennworts enthält einen Link, über den Kunden Microsoft-Support anrufen können. Weisen Sie den Kunden an, darauf hinzuweisen, dass der CSP keinen Zugriff mehr auf seinen Mandanten hat, um das Kennwort zurückzusetzen. Der CSP sollte in Erwägung ziehen, die Abonnements des Kunden auszusetzen, bis der Zugriff wiedererlangt wird und die beleidigenden Parteien entfernt werden.

• Implementieren Sie bewährte Methoden für die Überwachungsprotokollierung, und führen Sie routinemäßige Überprüfungen der Aktivitäten durch, die von delegierten Administratorkonten ausgeführt werden.

  • Was sind Microsoft Entra-Berichte?
  • Analysieren von Aktivitätsprotokollen mithilfe von Azure Monitor-Protokollen
  • Referenz zur Microsoft Entra-Überwachungsaktivität

• Partner sollten den bericht über riskante Benutzer in ihrer Umgebung überprüfen und die Konten adressieren, die erkannt werden, um risiken gemäß veröffentlichten Anleitungen darzustellen.

  • Beheben von Risiken und Aufheben der Blockierung von Benutzern
  • Benutzererfahrungen mit Microsoft Entra ID Protection

Verwandte Materialien

• Bewährte Methoden zum Verwalten von Dienstprinzipalen finden Sie unter Sichern von Dienstprinzipalen in Microsoft Entra ID.
• Sicherheitsanforderungen für Partner
• Grundprinzipien von Zero Trust
• Bewährte Methoden zur Kundensicherheit