Persyaratan keamanan untuk menggunakan Pusat Mitra atau API Pusat Mitra

  • Artikel

Peran yang sesuai: Semua pengguna Pusat Mitra

Sebagai penasihat, vendor panel kontrol, atau mitra Penyedia Solusi Cloud (CSP), Anda memiliki keputusan untuk dibuat mengenai opsi autentikasi dan pertimbangan keamanan lainnya.

Perlindungan dan keamanan privasi untuk Anda dan pelanggan Anda adalah salah satu prioritas utama kami. Kami tahu bahwa pertahanan terbaik adalah pencegahan dan bahwa kami hanya sekuat tautan terlemah kami. Itulah sebabnya kami membutuhkan semua orang dalam ekosistem kami untuk memastikan perlindungan keamanan yang sesuai telah diterapkan.

Persyaratan keamanan wajib

Program CSP memungkinkan pelanggan untuk membeli produk dan layanan Microsoft melalui mitra. Sesuai dengan perjanjian mereka dengan Microsoft, mitra diharuskan untuk mengelola lingkungan dan memberikan dukungan kepada pelanggan yang mereka jual.

Pelanggan yang membeli melalui saluran ini menempatkan kepercayaan mereka kepada Anda sebagai mitra karena Anda memiliki akses admin dengan hak istimewa tinggi ke penyewa pelanggan.

Mitra yang tidak menerapkan persyaratan keamanan wajib tidak akan dapat bertransaksi dalam program CSP atau mengelola penyewa pelanggan menggunakan hak admin yang didelegasikan. Selain itu, mitra yang tidak menerapkan persyaratan keamanan dapat membahmakan partisipasi mereka dalam program.

Ketentuan yang terkait dengan persyaratan keamanan mitra telah ditambahkan ke Perjanjian Mitra Microsoft. Perjanjian Mitra Microsoft (MPA) diperbarui secara berkala, dan Microsoft menyarankan agar semua mitra memeriksa kembali secara teratur. Karena berkaitan dengan Advisor, persyaratan kontrak yang sama akan diberlakukan.

Semua mitra diharuskan mematuhi praktik terbaik keamanan sehingga mereka dapat mengamankan lingkungan mitra dan pelanggan. Mematuhi praktik terbaik ini membantu mengurangi masalah keamanan dan memulihkan eskalasi keamanan, memastikan kepercayaan pelanggan tidak disusupi.

Untuk melindungi Anda dan pelanggan Anda, kami mengharuskan mitra tersebut untuk segera mengambil tindakan berikut:

Mengaktifkan MFA untuk semua akun pengguna di penyewa mitra Anda

Anda harus memberlakukan MFA pada semua akun pengguna di penyewa mitra Anda. Pengguna harus ditantang oleh MFA ketika mereka masuk ke layanan cloud komersial Microsoft atau ketika mereka bertransaksi dalam program Penyedia Solusi Cloud melalui Pusat Mitra atau melalui API.

Penerapan MFA mengikuti pedoman berikut:

  • Mitra yang menggunakan autentikasi multifaktor Microsoft Entra yang didukung Microsoft. Untuk informasi selengkapnya, lihat Beberapa cara untuk mengaktifkan autentikasi multifaktor Microsoft Entra (didukung MFA)
  • Mitra yang menerapkan MFA pihak ketiga dan bagian dari daftar pengecualian masih dapat mengakses Pusat Mitra dan API dengan pengecualian tetapi tidak dapat mengelola pelanggan menggunakan DAP/GDAP (tidak ada pengecualian yang diizinkan)
  • Jika organisasi mitra sebelumnya diberikan pengecualian untuk MFA, pengguna yang mengelola penyewa pelanggan sebagai bagian dari program CSP harus telah mengaktifkan persyaratan Microsoft MFA sebelum 1 Maret 2022. Kegagalan untuk mematuhi persyaratan MFA dapat mengakibatkan hilangnya akses penyewa pelanggan.
  • Pelajari selengkapnya tentang mengamanatkan autentikasi multifaktor (MFA) untuk penyewa mitra Anda.

Mengadopsi kerangka kerja Model Aplikasi Aman

Semua mitra yang terintegrasi dengan API Pusat Mitra harus mengadopsi kerangka kerja Model Aplikasi Aman untuk aplikasi dan aplikasi model autentikasi pengguna apa pun.

Penting

Kami sangat menyarankan agar mitra menerapkan Model Aplikasi Aman untuk berintegrasi dengan Microsoft API, seperti Azure Resource Manager atau Microsoft Graph, atau saat memanfaatkan otomatisasi seperti PowerShell menggunakan kredensial pengguna, untuk menghindari gangguan saat MFA diberlakukan.

Persyaratan keamanan ini membantu melindungi infrastruktur Anda dan melindungi data pelanggan Anda dari potensi risiko keamanan seperti mengidentifikasi pencurian atau insiden penipuan lainnya.

Persyaratan keamanan lainnya

Pelanggan mempercayai Anda, sebagai mitra mereka, untuk menyediakan layanan bernilai tambah. Sangat penting bahwa Anda mengambil semua langkah keamanan untuk melindungi kepercayaan pelanggan dan reputasi Anda sebagai mitra.

Microsoft terus menambahkan langkah-langkah penegakan sehingga semua mitra diharuskan mematuhi dan memprioritaskan keamanan pelanggan mereka. Persyaratan keamanan ini membantu melindungi infrastruktur Anda dan melindungi data pelanggan Anda dari potensi risiko keamanan, seperti mengidentifikasi pencurian atau insiden penipuan lainnya.

Mitra bertanggung jawab untuk memastikan mereka mengadopsi prinsip-prinsip nol kepercayaan, khususnya yang berikut ini.

Hak Istimewa Admin yang Didelegasikan (DAP)

Hak istimewa admin yang didelegasikan (DAP) menyediakan kemampuan untuk mengelola layanan atau langganan pelanggan atas nama mereka. Pelanggan harus memberikan izin administratif mitra untuk layanan tersebut. Karena hak istimewa yang diberikan kepada mitra untuk mengelola pelanggan sangat ditinggikan, Microsoft menyarankan agar semua mitra menghapus DAP yang tidak aktif. Semua mitra yang mengelola penyewa pelanggan menggunakan Hak Istimewa Admin yang Didelegasikan harus menghapus DAP yang tidak aktif dari Pusat Mitra untuk mencegah dampak apa pun pada penyewa pelanggan dan aset mereka.

Untuk informasi selengkapnya, lihat Panduan pemantauan hubungan administratif dan penghapusan DAP layanan mandiri, FAQ hak istimewa administrasi yang didelegasikan, dan panduan hak istimewa administratif yang didelegasikan penargetan NOBELIUM.

Selain itu, DAP akan segera tidak digunakan lagi. Kami sangat mendorong semua mitra yang secara aktif menggunakan DAP untuk mengelola penyewa pelanggan mereka dan beralih ke model Hak Istimewa Admin Yang Didelegasikan Granular dengan hak istimewa paling sedikit untuk mengelola penyewa pelanggan mereka dengan aman.

Transisi ke peran hak istimewa terkecil untuk mengelola penyewa pelanggan Anda

Karena DAP akan segera tidak digunakan lagi, Microsoft sangat merekomendasikan untuk menjauh dari model DAP saat ini (yang memberi agen Admin akses admin global yang berdiri atau abadi) dan menggantinya dengan model akses yang didelegasikan dengan halus. Model akses yang didelegasikan dengan detail mengurangi risiko keamanan bagi pelanggan dan efek risiko tersebut pada mereka. Ini juga memberi Anda kontrol dan fleksibilitas untuk membatasi akses per pelanggan di tingkat beban kerja karyawan Anda yang mengelola layanan dan lingkungan pelanggan Anda.

Untuk informasi selengkapnya, lihat gambaran umum hak istimewa admin terdelegasi Granular (GDAP), informasi tentang peran dengan hak istimewa terkecil, dan FAQ GDAP

Tonton pemberitahuan penipuan Azure

Sebagai mitra dalam program CSP, Anda bertanggung jawab atas konsumsi Azure pelanggan Anda, jadi penting bagi Anda untuk mengetahui potensi aktivitas penambangan cryptocurrency di langganan Azure pelanggan Anda. Kesadaran ini memungkinkan Anda mengambil tindakan segera untuk menentukan apakah perilaku tersebut sah atau penipuan dan, jika perlu, menangguhkan sumber daya Azure atau langganan Azure yang terpengaruh untuk mengurangi masalah.

Untuk informasi selengkapnya, lihat Deteksi dan pemberitahuan penipuan Azure.

Mendaftar untuk Microsoft Entra ID P2

Semua Agen Admin di penyewa CSP harus memperkuat keamanan cyber mereka dengan menerapkan Microsoft Entra ID P2, dan memanfaatkan berbagai kemampuan untuk memperkuat penyewa CSP Anda. Microsoft Entra ID P2 menyediakan akses yang diperluas ke log masuk dan fitur premium seperti Microsoft Entra Privileged Identity Management (PIM) dan kemampuan Akses Bersyarat berbasis risiko untuk memperkuat kontrol keamanan.

Mematuhi praktik terbaik keamanan CSP

Penting untuk mengikuti semua praktik terbaik CSP untuk keamanan. Pelajari selengkapnya di Penyedia Solusi Cloud praktik terbaik keamanan.

Menerapkan autentikasi multifaktor

Untuk mematuhi persyaratan keamanan mitra, Anda harus menerapkan dan menerapkan MFA untuk setiap akun pengguna di penyewa mitra Anda. Anda dapat melakukan ini salah satu cara berikut:

  • Menerapkan default keamanan Microsoft Entra. Lihat selengkapnya di bagian berikutnya, Default keamanan.

  • Beli Microsoft Entra ID P1 atau P2 untuk setiap akun pengguna. Untuk informasi selengkapnya, lihat Merencanakan penyebaran autentikasi multifaktor Microsoft Entra.

Default keamanan

Salah satu opsi yang dapat dipilih mitra untuk menerapkan persyaratan MFA adalah mengaktifkan default keamanan di ID Microsoft Entra. Default keamanan menawarkan tingkat keamanan dasar tanpa biaya tambahan. Tinjau cara mengaktifkan MFA untuk organisasi Anda dengan ID Microsoft Entra dan pertimbangan utama di bawah ini sebelum mengaktifkan default keamanan.

  • Mitra yang sudah mengadopsi kebijakan garis besar perlu mengambil tindakan untuk beralih ke default keamanan.

  • Default keamanan adalah penggantian ketersediaan umum dari kebijakan garis besar pratinjau. Setelah mitra mengaktifkan default keamanan, mereka tidak dapat mengaktifkan kebijakan dasar.

  • Dengan default keamanan, semua kebijakan diaktifkan sekaligus.

  • Untuk mitra yang menggunakan akses bersyarah, default keamanan tidak tersedia.

  • Protokol autentikasi warisan diblokir.

  • Akun sinkronisasi Microsoft Entra Koneksi dikecualikan dari default keamanan dan tidak akan diminta untuk mendaftar atau melakukan autentikasi multifaktor. Organisasi tidak boleh menggunakan akun ini untuk tujuan lain.

Untuk informasi terperinci, lihat Gambaran Umum autentikasi multifaktor Microsoft Entra untuk organisasi Anda dan Apa itu default keamanan?.

Catatan

Default keamanan Microsoft Entra adalah evolusi kebijakan perlindungan garis besar yang disederhanakan. Jika Anda telah mengaktifkan kebijakan perlindungan garis besar, sangat disarankan agar Anda mengaktifkan default keamanan.

Pertanyaan yang sering diajukan implementasi (FAQ)

Karena persyaratan ini berlaku untuk semua akun pengguna di penyewa mitra Anda, Anda perlu mempertimbangkan beberapa hal untuk memastikan penyebaran yang lancar. Misalnya, identifikasi akun pengguna di ID Microsoft Entra yang tidak dapat melakukan MFA, serta aplikasi dan perangkat di organisasi Anda yang tidak mendukung autentikasi modern.

Sebelum melakukan tindakan apa pun, kami sarankan Anda menyelesaikan validasi berikut.

Apakah Anda memiliki aplikasi atau perangkat yang tidak mendukung penggunaan autentikasi modern?

Saat Anda menerapkan MFA, autentikasi warisan menggunakan protokol seperti IMAP, POP3, SMTP, dan lainnya diblokir karena tidak mendukung MFA. Untuk mengatasi batasan ini, gunakan fitur kata sandi aplikasi untuk memastikan bahwa aplikasi atau perangkat akan tetap mengautentikasi. Tinjau pertimbangan untuk menggunakan kata sandi aplikasi untuk menentukan apakah kata sandi tersebut dapat digunakan di lingkungan Anda.

Apakah Anda memiliki pengguna Office 365 dengan lisensi yang terkait dengan penyewa mitra Anda?

Sebelum menerapkan solusi apa pun, kami sarankan Anda menentukan versi pengguna Microsoft Office mana di penyewa mitra Anda yang digunakan. Ada kemungkinan pengguna Anda akan mengalami masalah konektivitas dengan aplikasi seperti Outlook. Sebelum memberlakukan MFA, penting untuk memastikan bahwa Anda menggunakan Outlook 2013 SP1, atau yang lebih baru, dan bahwa organisasi Anda mengaktifkan autentikasi modern. Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi modern di Exchange Online.

Untuk mengaktifkan autentikasi modern untuk perangkat yang menjalankan Windows yang telah menginstal Microsoft Office 2013, Anda harus membuat dua kunci registri. Lihat Mengaktifkan Autentikasi Modern untuk Office 2013 di perangkat Windows.

Apakah ada kebijakan yang mencegah salah satu pengguna Anda menggunakan perangkat seluler mereka saat bekerja?

Penting untuk mengidentifikasi kebijakan perusahaan apa pun yang mencegah karyawan menggunakan perangkat seluler saat bekerja karena akan memengaruhi solusi MFA apa yang Anda terapkan. Ada solusi, seperti yang disediakan melalui implementasi default keamanan Microsoft Entra, yang hanya memungkinkan penggunaan aplikasi pengautentikasi untuk verifikasi. Jika organisasi Anda memiliki kebijakan yang mencegah penggunaan perangkat seluler, pertimbangkan salah satu opsi berikut:

  • Sebarkan aplikasi kata sandi dasar satu kali berbasis waktu (TOTP) yang dapat berjalan pada sistem yang aman.

Otomatisasi atau integrasi apa yang Harus Anda gunakan kredensial pengguna untuk autentikasi?

Penerapan MFA untuk setiap pengguna, termasuk akun layanan, di direktori mitra Anda, dapat memengaruhi otomatisasi atau integrasi apa pun yang menggunakan kredensial pengguna untuk autentikasi. Jadi penting bahwa Anda mengidentifikasi akun mana yang digunakan dalam situasi ini. Lihat daftar aplikasi atau layanan sampel berikut untuk dipertimbangkan:

  • Panel kontrol yang digunakan untuk menyediakan sumber daya atas nama pelanggan Anda

  • Integrasi dengan platform apa pun yang digunakan untuk faktor (karena berkaitan dengan program CSP) dan mendukung pelanggan Anda

  • Skrip PowerShell yang menggunakan Az, AzureRM, Microsoft Graph PowerShell, dan modul lainnya

Daftar sebelumnya tidak komprehensif, jadi penting bagi Anda untuk melakukan penilaian lengkap terhadap aplikasi atau layanan apa pun di lingkungan Anda yang menggunakan kredensial pengguna untuk autentikasi. Untuk bersaing dengan persyaratan untuk MFA, Anda harus menerapkan panduan dalam kerangka kerja Model Aplikasi Aman jika memungkinkan.

Mengakses lingkungan Anda

Untuk lebih memahami apa atau siapa yang mengautentikasi tanpa ditantang untuk MFA, kami sarankan Anda meninjau aktivitas masuk. Melalui Microsoft Entra ID P1 atau P2, Anda dapat menggunakan laporan masuk. Untuk informasi selengkapnya tentang subjek ini, lihat Laporan aktivitas masuk di pusat admin Microsoft Entra. Jika Anda tidak memiliki Microsoft Entra ID P1 atau P2, atau jika Anda mencari cara mendapatkan aktivitas masuk ini melalui PowerShell, Maka Anda perlu menggunakan cmdlet Get-PartnerUserSignActivity dari modul Pusat Mitra PowerShell .

Bagaimana persyaratan diberlakukan

Jika organisasi mitra Anda sebelumnya diberikan pengecualian untuk MFA, maka pengguna yang mengelola penyewa pelanggan sebagai bagian dari program CSP harus telah mengaktifkan persyaratan Microsoft MFA sebelum 1 Maret 2022. Kegagalan untuk mematuhi persyaratan MFA dapat mengakibatkan hilangnya akses penyewa pelanggan.

Persyaratan keamanan mitra diberlakukan oleh ID Microsoft Entra, dan pada gilirannya Pusat Mitra, dengan memeriksa keberadaan klaim MFA untuk mengidentifikasi bahwa verifikasi MFA telah terjadi. Sejak 18 November 2019, Microsoft telah mengaktifkan lebih banyak perlindungan keamanan (sebelumnya dikenal sebagai "penegakan teknis") ke penyewa mitra.

Setelah aktivasi, pengguna di penyewa mitra diminta untuk menyelesaikan verifikasi MFA saat melakukan operasi admin atas nama (AOBO), mengakses Pusat Mitra, atau memanggil API Pusat Mitra. Untuk informasi selengkapnya, lihat Mengamanatkan autentikasi multifaktor (MFA) untuk penyewa mitra Anda.

Mitra yang belum memenuhi persyaratan harus menerapkan langkah-langkah ini sesegera mungkin untuk menghindari gangguan bisnis. Jika Anda menggunakan autentikasi multifaktor Microsoft Entra atau default keamanan Microsoft Entra, Anda tidak perlu mengambil tindakan lain.

Jika Anda menggunakan solusi MFA pihak ketiga, ada kemungkinan klaim MFA mungkin tidak dikeluarkan. Jika klaim ini hilang, ID Microsoft Entra tidak akan dapat menentukan apakah permintaan autentikasi ditantang oleh MFA. Untuk informasi tentang cara memverifikasi bahwa solusi Anda mengeluarkan klaim yang diharapkan, baca Menguji Persyaratan Keamanan Mitra.

Penting

Jika solusi pihak ketiga Anda tidak mengeluarkan klaim yang diharapkan, Anda harus bekerja dengan vendor yang mengembangkan solusi untuk menentukan tindakan apa yang harus diambil.

Sumber daya dan sampel

Lihat sumber daya berikut untuk dukungan dan kode sampel:

Langkah berikutnya