A Partnerközpont vagy a Partnerközpont API-k használatának biztonsági követelményei

  • Cikk

Megfelelő szerepkörök: Minden Partnerközpont-felhasználó

Tanácsadóként, vezérlőpult-gyártóként vagy Felhőszolgáltató (CSP-) partnerként ön dönthet a hitelesítési lehetőségekről és egyéb biztonsági szempontokról.

Az Ön és ügyfelei adatvédelmi védelme és biztonsága a legfontosabb prioritásaink közé tartozik. Tudjuk, hogy a legjobb védelem a megelőzés, és hogy csak olyan erősek vagyunk, mint a leggyengébb kapcsolatunk. Ezért van szükségünk arra, hogy az ökoszisztémánkban mindenki megfelelő biztonsági védelmet biztosítson.

Kötelező biztonsági követelmények

A CSP program lehetővé teszi az ügyfelek számára, hogy microsoftos termékeket és szolgáltatásokat vásároljanak partnereken keresztül. A Microsofttal kötött megállapodásuknak megfelelően a partnereknek kezelniük kell a környezetet, és támogatást kell nyújtaniuk azoknak az ügyfeleknek, akiknek értékesítik őket.

Azok az ügyfelek, akik ezen a csatornán keresztül vásárolnak, partnerként helyezik el a bizalmukat, mivel Ön magas jogosultságú rendszergazdai hozzáféréssel rendelkezik az ügyfélbérlelőhöz.

Azok a partnerek, akik nem implementálják a kötelező biztonsági követelményeket, nem fognak tudni átvenni a CSP programban, és nem kezelhetik az ügyfélbérlelőket delegált rendszergazdai jogosultságokkal. Emellett azok a partnerek, akik nem implementálják a biztonsági követelményeket, veszélybe kerülhetnek a programokban való részvételük.

A partnerbiztonsági követelményekhez társított kifejezések hozzáadva lettek a Microsoft Partnerszerződés. A Microsoft Partnerszerződés (MPA) rendszeres időközönként frissül, és a Microsoft azt javasolja, hogy minden partner rendszeresen térjen vissza. Az Advisorshoz kapcsolódóan ugyanazok a szerződéses követelmények lesznek érvényben.

Minden partnernek be kell tartania a biztonsági ajánlott eljárásokat , hogy biztonságossá tegye a partneri és ügyfélkörnyezeteket. Ezeknek az ajánlott eljárásoknak a betartásával enyhítheti a biztonsági problémákat és elháríthatja a biztonsági eszkalációkat, biztosítva, hogy az ügyfél bizalma ne sérüljön.

Az Ön és az ügyfelek védelme érdekében a partnereknek azonnal meg kell tenniük a következő műveleteket:

MFA engedélyezése a partnerbérlében lévő összes felhasználói fiókhoz

Az MFA-t a partnerbérlevők összes felhasználói fiókjára kötelezően érvényesítenie kell. A felhasználókat az MFA-nak meg kell támadnia, amikor bejelentkeznek a Microsoft kereskedelmi felhőszolgáltatásaiba, vagy amikor a Felhőszolgáltató programban a Partnerközponton vagy API-kon keresztül végzik a feladatokat.

Az MFA-kényszerítés az alábbi irányelveket követi:

  • A Microsoft által támogatott Microsoft Entra többtényezős hitelesítést használó partnerek. További információ: Többtényezős Microsoft Entra-hitelesítés engedélyezése (MFA támogatott)
  • A külső MFA-t és a kivétellista egy részét implementáló partner továbbra is hozzáférhet a Partnerközponthoz és API-khoz kivételekkel, de nem kezelheti az ügyfelet a DAP/GDAP használatával (nincs engedélyezett kivétel)
  • Ha a partner szervezete korábban kivételt kapott az MFA-ra vonatkozóan, az ügyfélbérlõket a CSP program részeként kezelő felhasználóknak 2022. március 1-jét megelőzően engedélyezniük kell a Microsoft MFA követelményeit. Az MFA-követelmények teljesítésének elmulasztása az ügyfél bérlői hozzáférésének elvesztését eredményezheti.
  • További információ a többtényezős hitelesítés (MFA) partnerbérlőhöz való kezeléséről.

A Biztonságos Alkalmazásmodell keretrendszer alkalmazása

A Partnerközpont API-kkal integráló összes partnernek alkalmaznia kell a Biztonságos alkalmazásmodell keretrendszert minden alkalmazás- és felhasználói hitelesítési modellalkalmazáshoz.

Fontos

Határozottan javasoljuk, hogy a partnerek implementálják a Biztonságos alkalmazásmodellt a Microsoft API-val való integrációhoz, például az Azure Resource Managerhez vagy a Microsoft Graphhoz, vagy ha olyan automatizálást használnak, mint a PowerShell felhasználói hitelesítő adatokkal való használata, az MFA kényszerítésekor fellépő fennakadások elkerülése érdekében.

Ezek a biztonsági követelmények segítenek megvédeni az infrastruktúrát, és megvédeni az ügyfelek adatait a lehetséges biztonsági kockázatoktól, például a lopások vagy más csalási incidensek azonosításától.

Egyéb biztonsági követelmények

Az ügyfelek megbíznak Önben, mint partnerükben, hogy értéknövelő szolgáltatásokat nyújtsanak. Elengedhetetlen, hogy minden biztonsági intézkedést megtegye az ügyfél bizalmának és partnerként való jó hírnevének védelme érdekében.

A Microsoft továbbra is érvényesítési intézkedéseket ad hozzá, hogy minden partnernek be kell tartania és rangsorolnia kell ügyfelei biztonságát. Ezek a biztonsági követelmények segítenek megvédeni az infrastruktúrát, és megvédeni az ügyfelek adatait a lehetséges biztonsági kockázatoktól, például a lopások vagy más csalási incidensek azonosításától.

A partner feladata annak biztosítása, hogy a zéró bizalom alapelveit alkalmazza, különösen az alábbiakat.

Delegált Rendszergazda jogosultságok (DAP)

A delegált rendszergazdai jogosultságok (DAP) lehetővé teszik az ügyfél szolgáltatásának vagy előfizetésének felügyeletét a nevükben. Az ügyfélnek rendszergazdai engedélyeket kell adnia a partnernek a szolgáltatáshoz. Mivel a partner számára az ügyfél kezeléséhez biztosított jogosultságok magas szintűek, a Microsoft azt javasolja, hogy minden partner távolítsa el az inaktív DAP-ket. Az ügyfélbérlést delegált Rendszergazda jogosultságokkal kezelő összes partnernek el kell távolítania az inaktív DAP-t a Partnerközpontból, hogy ne legyen hatással az ügyfélbérlésre és az eszközeikre.

További információ: Felügyeleti kapcsolatok monitorozása és önkiszolgáló DAP-eltávolítási útmutató, a delegált rendszergazdai jogosultságok gyikja, valamint a DELEGÁLT rendszergazdai jogosultságokat célzó NOBELIUM útmutató.

Emellett a DAP hamarosan megszűnik. Határozottan bátorítunk minden olyan partnert, aki aktívan használja a DAP-t az ügyfélbérlések kezelésére, és a minimális jogosultságú, delegált Rendszergazda Privileges modell felé haladva biztonságosan kezelheti ügyfelei bérlőit.

Váltás a legkevésbé jogosultsági szerepkörökre az ügyfélbérlelők kezeléséhez

Mivel a DAP hamarosan megszűnik, a Microsoft erősen javasolja, hogy távolodjon el a jelenlegi DAP-modelltől (amely állandó vagy állandó globális rendszergazdai hozzáférést biztosít Rendszergazda ügynököknek), és lecseréli azt egy részletes delegált hozzáférési modellre. A részletes delegált hozzáférési modell csökkenti az ügyfelekre vonatkozó biztonsági kockázatokat és a kockázatok rájuk gyakorolt hatását. Emellett szabályozhatja és rugalmasan korlátozhatja az ügyfélenkénti hozzáférést az ügyfelek szolgáltatásait és környezeteit kezelő alkalmazottak munkaterhelési szintjén.

További információ: Részletes delegált rendszergazdai jogosultságok (GDAP) áttekintése, a legkevésbé kiemelt szerepkörökre vonatkozó információk és a GDAP gyik

Azure-ról készült csalási értesítések megtekintése

A CSP-program partnereként Ön a felelős az ügyfél Azure-használatáért, ezért fontos, hogy tisztában legyen az ügyfelek Azure-előfizetéseiben végzett esetleges kriptovaluta-bányászati tevékenységekkel. Ez a tudatosság lehetővé teszi, hogy azonnali lépéseket tegyen annak megállapítására, hogy a viselkedés jogszerű vagy hamis-e, és szükség esetén felfüggesztheti az érintett Azure-erőforrásokat vagy Az Azure-előfizetést a probléma megoldásához.

További információ: Azure-csalások észlelése és értesítése.

Regisztráció a Microsoft Entra P2 azonosítójához

A CSP-bérlő összes Rendszergazda ügynökének meg kell erősítenie a kiberbiztonságot a Microsoft Entra ID P2 implementálásával, és kihasználnia a CSP-bérlő megerősítéséhez szükséges különböző képességeket. A Microsoft Entra ID P2 kiterjesztett hozzáférést biztosít a bejelentkezési naplókhoz, valamint olyan prémium funkciókhoz, mint a Microsoft Entra Privileged Identity Management (PIM) és a kockázatalapú feltételes hozzáférési képességek a biztonsági vezérlők megerősítéséhez.

A CSP biztonsági ajánlott eljárásainak betartása

Fontos, hogy kövesse a CSP biztonsági ajánlott eljárásait. További információ Felhőszolgáltató ajánlott biztonsági eljárásokról.

Többtényezős hitelesítés megvalósítása

A partnerbiztonsági követelményeknek való megfeleléshez az MFA-t implementálnia és kikényszerítenie kell a partnerbérlében lévő összes felhasználói fiókhoz. Ezt a következő módok egyikével teheti meg:

Alapértelmezett biztonsági szabályok

A partnerek választhatják az MFA-követelmények implementálásának egyik lehetőségét, ha engedélyezik a biztonsági alapértelmezett beállításokat a Microsoft Entra ID-ban. A biztonsági alapértékek alapszintű biztonságot kínálnak felár nélkül. A biztonsági alapértékek engedélyezése előtt tekintse át, hogyan engedélyezheti az MFA-t a szervezet számára a Microsoft Entra-azonosítóval és az alábbi főbb szempontokkal.

  • Az alapkonfigurációs szabályzatokat már elfogadó partnereknek lépéseket kell tenniük az alapértelmezett biztonsági beállításokra való áttérés érdekében.

  • A biztonsági alapértékek az előzetes verziójú alapkonfigurációs szabályzatok általános rendelkezésre állási helyére tartoznak. Miután egy partner engedélyezte az alapértelmezett biztonsági beállításokat, nem tudják engedélyezni az alapkonfigurációs szabályzatokat.

  • A biztonsági alapértékek mellett az összes házirend egyszerre engedélyezve van.

  • A feltételes hozzáférést használó partnerek esetében a biztonsági alapértelmezések nem érhetők el.

  • Az örökölt hitelesítési protokollok le vannak tiltva.

  • A Microsoft Entra Csatlakozás szinkronizálási fiók nem szerepel a biztonsági alapértelmezett beállítások között, és a rendszer nem kéri a többtényezős hitelesítés regisztrálását vagy végrehajtását. A szervezetek nem használhatják ezt a fiókot más célokra.

Részletes információkért tekintse meg a Microsoft Entra többtényezős hitelesítésének áttekintését a szervezet számára, és mik a biztonsági alapértékek?

Feljegyzés

A Microsoft Entra biztonsági alapértékei az alapkonfigurációs védelmi szabályzatok egyszerűsített fejlődése. Ha már engedélyezte az alapkonfigurációs védelmi szabályzatokat, akkor erősen ajánlott engedélyezni a biztonsági alapértelmezett beállításokat.

Megvalósítással kapcsolatos gyakori kérdések (GYIK)

Mivel ezek a követelmények a partnerbérlében lévő összes felhasználói fiókra vonatkoznak, több szempontot is figyelembe kell vennie a zökkenőmentes üzembe helyezés biztosításához. Azonosítsa például a Microsoft Entra ID-ban azokat a felhasználói fiókokat, amelyek nem tudnak MFA-t végrehajtani, valamint a szervezet olyan alkalmazásait és eszközeit, amelyek nem támogatják a modern hitelesítést.

Mielőtt bármilyen műveletet végrehajtanának, javasoljuk, hogy végezze el az alábbi érvényesítéseket.

Rendelkezik olyan alkalmazással vagy eszközzel, amely nem támogatja a modern hitelesítés használatát?

Az MFA kényszerítésekor az örökölt hitelesítés olyan protokollokat használ, mint az IMAP, a POP3, az SMTP és mások, mert nem támogatják az MFA-t. Ennek a korlátozásnak a megoldásához használja az alkalmazásjelszavak funkciót annak biztosítására, hogy az alkalmazás vagy az eszköz továbbra is hitelesíteni fog. Tekintse át az alkalmazásjelszavak használatának szempontjait annak megállapításához, hogy használhatók-e a környezetben.

Rendelkezik a partnerbérléssel társított licenccel rendelkező Office 365-felhasználókkal?

Mielőtt bármilyen megoldást implementálnánk, javasoljuk, hogy határozza meg, hogy a partnerbérlében lévő Microsoft Office-felhasználók mely verzióit használják. Előfordulhat, hogy a felhasználók csatlakozási problémákat tapasztalnak az olyan alkalmazásokkal, mint az Outlook. Az MFA kényszerítése előtt fontos gondoskodni arról, hogy az Outlook 2013 SP1 vagy újabb verziót használja, és hogy a szervezet modern hitelesítést engedélyezhessen. További információ: Modern hitelesítés engedélyezése az Exchange Online-ban.

A Microsoft Office 2013-at futtató Windows rendszerű eszközök modern hitelesítésének engedélyezéséhez két beállításkulcsot kell létrehoznia. Lásd: Az Office 2013 modern hitelesítésének engedélyezése Windows-eszközökön.

Van olyan szabályzat, amely megakadályozza, hogy a felhasználók használhassák a mobileszközöket munka közben?

Fontos azonosítani minden olyan vállalati szabályzatot, amely megakadályozza, hogy az alkalmazottak mobileszközöket használjanak munka közben, mert ez befolyásolja a implementálandó MFA-megoldást. Vannak olyan megoldások, mint például a Microsoft Entra biztonsági alapértelmezett beállításainak implementálásán keresztül nyújtott megoldások, amelyek csak egy hitelesítő alkalmazás használatát teszik lehetővé ellenőrzésre. Ha a szervezet olyan szabályzattal rendelkezik, amely megakadályozza a mobileszközök használatát, fontolja meg az alábbi lehetőségek egyikét:

  • Helyezzen üzembe egy időalapú, egyszeri alapjelszót (TOTP) tartalmazó alkalmazást, amely biztonságos rendszeren futtatható.

Milyen automatizálással vagy integrációval kell felhasználói hitelesítő adatokat használnia a hitelesítéshez?

Az MFA érvényesítése minden felhasználó esetében, beleértve a szolgáltatásfiókokat is a partnerkönyvtárban, hatással lehet minden olyan automatizálásra vagy integrációra, amely a hitelesítéshez felhasználói hitelesítő adatokat használ. Ezért fontos, hogy azonosítsa, mely fiókokat használják ezekben a helyzetekben. Tekintse meg a megfontolandó mintaalkalmazások vagy szolgáltatások alábbi listáját:

Az előző lista nem átfogó, ezért fontos, hogy teljes körű értékelést végezzen a környezetében lévő olyan alkalmazásokról vagy szolgáltatásokról, amelyek a hitelesítéshez felhasználói hitelesítő adatokat használnak. Az MFA követelményeivel való versengéshez szükség esetén implementálnia kell az útmutatást a Biztonságos alkalmazásmodell keretrendszerben , ahol lehetséges.

A környezet elérése

Annak érdekében, hogy jobban megértse, mit vagy ki hitelesít anélkül, hogy az MFA-t megkérdőjelezné, javasoljuk, hogy tekintse át a bejelentkezési tevékenységet. A Microsoft Entra P1 vagy P2 azonosítójával használhatja a bejelentkezési jelentést. A témával kapcsolatos további információkért tekintse meg a Bejelentkezési tevékenység jelentéseit a Microsoft Entra Felügyeleti központban. Ha nem rendelkezik P1 vagy P2 Microsoft Entra-azonosítóval, vagy ha módot keres a bejelentkezési tevékenység PowerShell-lel való beszerzésére, akkor a Partnerközpont PowerShell-moduljának Get-PartnerUserSignActivity parancsmagját kell használnia.

A követelmények érvénybe léptetése

Ha a partner szervezete korábban kivételt kapott az MFA-ra vonatkozóan, akkor az ügyfélbérlelőket a CSP-program részeként kezelő felhasználóknak 2022. március 1-jét megelőzően engedélyezniük kell a Microsoft MFA követelményeit. Az MFA-követelmények teljesítésének elmulasztása az ügyfél bérlői hozzáférésének elvesztését eredményezheti.

A partnerbiztonsági követelményeket a Microsoft Entra ID, illetve a Partnerközpont érvényesíti úgy, hogy ellenőrzi az MFA-igénylés meglétét annak megállapítására, hogy az MFA-ellenőrzés megtörtént. 2019. november 18. óta a Microsoft több biztonsági védelmet (korábban "technikai kényszerítés") aktivált a partnerbérlények számára.

Aktiváláskor a partnerbérlõ felhasználóinak MFA-ellenőrzést kell végeznie, amikor bármilyen rendszergazdat végez az (AOBO) műveletei nevében, hozzáfér a Partnerközponthoz, vagy meghívja a Partnerközpont API-kat. További információ: Többtényezős hitelesítés (MFA) a partnerbérlőhöz.

A követelményeknek nem megfelelő partnereknek a lehető leghamarabb végre kell hajtaniuk ezeket az intézkedéseket, hogy elkerüljék az üzleti fennakadásokat. Ha a Microsoft Entra többtényezős hitelesítést vagy a Microsoft Entra biztonsági alapértelmezett beállításait használja, nem kell más műveleteket végrehajtania.

Ha külső MFA-megoldást használ, előfordulhat, hogy az MFA-jogcím nem lesz kiállítva. Ha ez a jogcím hiányzik, a Microsoft Entra-azonosító nem fogja tudni megállapítani, hogy a hitelesítési kérést az MFA megtámadta-e. Ha tudni szeretné, hogyan ellenőrizheti, hogy a megoldás kiadja-e a várt jogcímet, olvassa el a partnerbiztonsági követelmények tesztelése című cikket.

Fontos

Ha a külső megoldás nem adja ki a várt jogcímet, a megoldást fejlesztő szállítóval kell együttműködnie annak meghatározásához, hogy milyen műveleteket kell végrehajtania.

Erőforrások és minták

A támogatáshoz és a mintakódhoz tekintse meg a következő erőforrásokat:

Következő lépések