Ajánlott CSP-biztonsági eljárások

A Felhőszolgáltató (CSP) program minden partnerének, aki hozzáfér a Partnerközponthoz és a Partnerközpont API-khoz, kövesse a jelen cikkben szereplő biztonsági útmutatást, hogy megvédje magát és ügyfeleit.

Az ügyfelek biztonsága érdekében tekintse meg az ügyfélbiztonsági ajánlott eljárásokat.

Fontos

Az Azure Active Directory (Azure AD) Graph 2023. június 30-ától elavult. A továbbiakban nem teszünk további befektetéseket az Azure AD Graphban. Az Azure AD Graph API-k nem rendelkeznek SLA-val vagy karbantartási kötelezettségvállalással a biztonsággal kapcsolatos javításokon túl. Az új funkciókba és funkciókba csak a Microsoft Graph-ban lehet befektetni.

Az Azure AD Graphot növekményes lépésekben kivonjuk, hogy elegendő ideje legyen az alkalmazások Microsoft Graph API-kba való migrálására. Egy későbbi időpontban, amikor bejelentjük, letiltjuk az új alkalmazások létrehozását az Azure AD Graph használatával.

További információ: Fontos: Az Azure AD Graph kivonása és a PowerShell-modul elavulása.

Erősen ajánlott lépések a bérlőkben

• Adjon hozzá egy biztonsági kapcsolattartót a partnerközpont bérlőjében a biztonsággal kapcsolatos problémák értesítéseihez.
• Ellenőrizze az identitás biztonságos pontszámát a Microsoft Entra-azonosítóban, és tegye meg a megfelelő műveleteket a pontszám növeléséhez.
• Tekintse át és valósítsa meg a nemfizetés, a csalás vagy a visszaélés kezelésével kapcsolatos útmutatót.
• Ismerkedjen meg a NOBELIUM veszélyforrás-szereplővel és a kapcsolódó anyagokkal:
  • A NOBELIUM delegált rendszergazdai jogosultságokat céloz meg a szélesebb körű támadások megkönnyítése érdekében
  • NOBELIUM-válasz betanítás
  • A csatorna védelme: A nulla megbízhatóság felé vezető út

Ajánlott identitáskezelési eljárások

Többtényezős hitelesítés megkövetelése

• Győződjön meg arról, hogy a Partnerközpont-bérlők és az ügyfélbérlők összes felhasználója regisztrálva van, és többtényezős hitelesítést (MFA) igényel. Az MFA konfigurálásának különböző módjai vannak. Válassza ki a konfigurálni kívánt bérlőre vonatkozó módszert:
  • Partnerközpont/ügyfél bérlője p1 Microsoft Entra-azonosítóval rendelkezik
    • Feltételes hozzáféréssel kényszerítheti az MFA-t.
  • Partnerközpont/ügyfél bérlője p2 Microsoft Entra-azonosítóval rendelkezik
    • Feltételes hozzáféréssel kényszerítheti az MFA-t.
    • Kockázatalapú szabályzatok implementálása Microsoft Entra ID-védelem használatával.
    • A Partnerközpont-bérlő esetében a Belső használati jogok (IUR) előnyeitől függően jogosult lehet a Microsoft 365 E3 vagy E5 használatára. Ezek a termékváltozatok magukban foglalják a Microsoft Entra P1 vagy 2 azonosítóját.
    • Javasoljuk, hogy az ügyfél bérlője számára engedélyezze az alapértelmezett biztonsági beállításokat.
      • Ha az ügyfél örökölt hitelesítést igénylő alkalmazásokat használ, ezek az alkalmazások nem fognak működni a biztonsági alapértelmezett beállítások engedélyezése után. Ha az alkalmazást nem lehet lecserélni, eltávolítani vagy frissíteni a modern hitelesítés használatára, felhasználónkénti MFA-ra kényszerítheti az MFA-t.
      • A következő Graph API-hívással figyelheti és kényszerítheti ki az ügyfél által használt alapértelmezett biztonsági beállításokat:
        • identitySecurityDefaultsEnforcementPolicy erőforrástípus – Microsoft Graph v1.0 | Microsoft Learn
• Győződjön meg arról, hogy a használt MFA-módszer adathalászat-ellenálló. Ezt jelszó nélküli hitelesítéssel vagy számegyezéssel teheti meg.
• Ha egy ügyfél megtagadja az MFA használatát, ne adjon nekik rendszergazdai szerepkör-hozzáférést a Microsoft Entra-azonosítóhoz, és ne írjon engedélyeket az Azure-előfizetésekhez.

Alkalmazás-hozzáférés

• A biztonságos alkalmazásmodell keretrendszerének bevezetése. A Partnerközpont API-kkal integráló összes partnernek alkalmaznia kell a Biztonságos alkalmazásmodell keretrendszert minden alkalmazás- és felhasználói hitelesítési modellalkalmazáshoz.
• Tiltsa le a felhasználói hozzájárulást a Partnerközpont Microsoft Entra-bérlőiben, vagy használja a rendszergazdai hozzájárulási munkafolyamatot.

Minimális jogosultság / Nincs állandó hozzáférés

• Azok a felhasználók, akik Microsoft Entra rendszergazdai szerepkörökben , például globális rendszergazdai vagy biztonsági rendszergazdai szerepkörökben rendelkeznek, nem használhatják rendszeresen ezeket a fiókokat e-mailekhez és együttműködéshez. Hozzon létre egy külön felhasználói fiókot, amely nem rendelkezik Microsoft Entra rendszergazdai szerepkörrel az együttműködési feladatokhoz.
• Tekintse át a Rendszergazda ügynökcsoportot, és távolítsa el azokat a személyeket, akiknek nincs szükségük hozzáférésre.
• Rendszeresen tekintse át a rendszergazdai szerepkörök hozzáférését a Microsoft Entra-azonosítóban, és korlátozza a hozzáférést a lehető legkevesebb fiókra. További információért lásd: Microsoft Entra beépített szerepkörök.
• A vállalatot elhagyó vagy a vállalaton belüli szerepköröket módosító felhasználókat el kell távolítani a Partnerközpont hozzáféréséből.
• Ha p2 Microsoft Entra-azonosítóval rendelkezik, a Privileged Identity Management (PIM) használatával kényszerítse ki az igény szerinti (JIT) hozzáférést. Kettős felügyelet használatával áttekintheti és jóváhagyhatja a Microsoft Entra rendszergazdai szerepköreihez és a Partnerközpont szerepköreihez való hozzáférést.
• A kiemelt szerepkörök biztonságossá tételéről további információt a kiemelt hozzáférés biztonságossá tételével kapcsolatos áttekintésben talál.
• Rendszeresen tekintse át az ügyfélkörnyezetekhez való hozzáférést.
  • Távolítsa el az inaktív delegált Rendszergazda istration privileges (DAP) jogosultságokat.
  • A GDAP-ra gyakran feltett kérdések.
  • Győződjön meg arról, hogy a GDAP-kapcsolatok a legkevésbé szükséges jogosultságokkal rendelkező szerepköröket használják.

Identitáselkülönítés

• Kerülje a Partnerközpont-példány üzemeltetését ugyanabban a Microsoft Entra-bérlőben, amely a belső informatikai szolgáltatásokat, például az e-maileket és az együttműködési eszközöket üzemelteti.
• Használjon külön dedikált felhasználói fiókokat a Partnerközpont kiemelt felhasználói számára, akik rendelkeznek ügyfélhozzáféréssel.
• Ne hozzon létre felhasználói fiókokat az ügyfél Microsoft Entra-bérlőiben, amelyeket a partnerek az ügyfélbérlelő és a kapcsolódó alkalmazások és szolgáltatások felügyeletére szeretnének használni.

Ajánlott eszközök

• Csak olyan regisztrált, kifogástalan állapotú munkaállomásokról engedélyezze a Partnerközponthoz és az ügyfélbérlőhöz való hozzáférést, amelyek felügyelt biztonsági alapkonfigurációkkal rendelkeznek, és amelyek biztonsági kockázatokat figyelnek.
• Az ügyfélkörnyezetekhez kiemelt hozzáféréssel rendelkező Partnerközpont-felhasználók számára fontolja meg, hogy dedikált munkaállomásokat (virtuális vagy fizikai) igényeljenek az ügyfélkörnyezetekhez való hozzáféréshez. További információ: A kiemelt hozzáférés védelme.

Ajánlott eljárások a monitorozáshoz

Partnerközponti API-k

• Minden Vezérlőpult szállítónak engedélyeznie kell a biztonságos alkalmazásmodellt, és minden felhasználói tevékenységhez be kell kapcsolnia a naplózást.
• Vezérlőpult szállítóknak engedélyeznie kell az alkalmazásba bejelentkező partnerügynökök naplózását és az összes végrehajtott műveletet.

Bejelentkezés monitorozása és naplózása

• A Microsoft Entra ID P2 licenccel rendelkező partnerek automatikusan jogosultak a naplózási és bejelentkezési naplóadatok 30 napig történő megőrzésére.

  Győződjön meg arról, hogy:

  • A naplózás a delegált rendszergazdai fiókok használatában van.
  • A naplók a szolgáltatás által megadott maximális részletességi szintet rögzítik.
  • A naplók elfogadható ideig (legfeljebb 30 napig) maradnak meg, amely lehetővé teszi a rendellenes tevékenység észlelését.

  A részletes naplózás további szolgáltatások vásárlását igényelheti. További információ: Mennyi ideig tárolja a Microsoft Entra ID a jelentéskészítési adatokat?

• Rendszeresen tekintse át és ellenőrizze a jelszó-helyreállítási e-mail-címeket és telefonszámokat a Microsoft Entra-azonosítón belül a globális rendszergazdai szerepkörrel rendelkező összes felhasználó esetében, és szükség esetén frissítsen.

  • Ha egy ügyfél bérlője sérült: a CSP közvetlen számlapartnere, a közvetett szolgáltató vagy a közvetett viszonteladó nem tud kapcsolatba lépni az ügyfél bérlőjében Rendszergazda istrator jelszavának módosítását kérő ügyfélszolgálattal. Az ügyfélnek fel kell hívnia a Microsoft ügyfélszolgálatát a rendszergazdai jelszó alaphelyzetbe állítása című témakörben található utasításokat követve. A rendszergazdai jelszó alaphelyzetbe állítása témakör hivatkozással rendelkezik, amellyel az ügyfelek meghívhatják Microsoft ügyfélszolgálata. Utasítja az ügyfelet, hogy említse meg, hogy a CSP már nem rendelkezik hozzáféréssel a bérlőhöz, hogy segítsen a jelszó alaphelyzetbe állításában. A CSP-nek fontolóra kell vennie az ügyfél előfizetéseinek felfüggesztését, amíg vissza nem nyeri a hozzáférést, és el nem távolítja a jogsértő feleket.

• Az auditnaplózás ajánlott eljárásainak megvalósítása és a delegált rendszergazdai fiókok által végzett tevékenységek rutinszerű felülvizsgálata.

  • Mik azok a Microsoft Entra-jelentések?
  • Tevékenységnaplók elemzése Azure Monitor-naplókkal
  • A Microsoft Entra naplózási tevékenységének referenciája

• A partnereknek át kell tekinteniük a környezetük kockázatos felhasználóinak jelentését , és a közzétett útmutatóknak megfelelően kezelniük kell azokat a fiókokat, amelyek kockázattal járnak.

  • Kockázatok orvoslása és a felhasználók tiltásának feloldása
  • A Microsoft Entra ID Protection felhasználói élménye

Kapcsolódó anyagok

• A szolgáltatásnevek kezelésével kapcsolatos ajánlott eljárásokért tekintse meg a Szolgáltatásnevek biztonságossá tétele a Microsoft Entra ID-ban című témakört.
• Partnerekre vonatkozó biztonsági követelmények
• A Teljes felügyelet alapelvei
• Ajánlott ügyfélbiztonsági eljárások