Bagikan melalui


Praktik terbaik keamanan CSP

Semua mitra dalam program Penyedia Solusi Cloud (CSP) yang mengakses Pusat Mitra dan API Pusat Mitra harus mengikuti panduan keamanan dalam artikel ini untuk melindungi diri mereka sendiri dan pelanggan.

Untuk keamanan pelanggan, lihat Praktik terbaik keamanan pelanggan.

Penting

Grafik Azure Active Directory (Azure AD) tidak digunakan lagi per 30 Juni 2023. Ke depannya, kami tidak melakukan investasi lebih lanjut di Azure AD Graph. API Azure AD Graph tidak memiliki komitmen SLA atau pemeliharaan di luar perbaikan terkait keamanan. Investasi dalam fitur dan fungsionalitas baru hanya akan dilakukan di Microsoft Graph.

Kami akan menghentikan Azure AD Graph dalam langkah-langkah bertahap sehingga Anda memiliki waktu yang cukup untuk memigrasikan aplikasi Anda ke MICROSOFT Graph API. Di kemudian hari yang akan kami umumkan, kami akan memblokir pembuatan aplikasi baru apa pun menggunakan Azure AD Graph.

Untuk mempelajari selengkapnya, lihat Penting: Penghentian Azure AD Graph dan Penghentian Modul Powershell.

Praktik terbaik identitas

Memerlukan autentikasi multifaktor

  • Pastikan bahwa semua pengguna di penyewa Pusat Mitra dan penyewa pelanggan Anda terdaftar dan memerlukan autentikasi multifaktor (MFA). Ada berbagai cara untuk mengonfigurasi MFA. Pilih metode yang berlaku untuk penyewa yang Anda konfigurasi:
    • Penyewa Pusat Mitra/Pelanggan saya memiliki Microsoft Entra ID P1
      • Gunakan Akses Bersyarah untuk memberlakukan MFA.
    • Penyewa Pusat Mitra/Pelanggan saya memiliki Microsoft Entra ID P2
      • Gunakan Akses Bersyarah untuk memberlakukan MFA.
      • Terapkan kebijakan berbasis risiko menggunakan Microsoft Entra ID Protection.
      • Untuk penyewa Pusat Mitra, Anda mungkin memenuhi syarat untuk Microsoft 365 E3 atau E5, bergantung pada manfaat Hak Penggunaan Internal (IUR) Anda. SKU ini mencakup Microsoft Entra ID P1 atau 2, masing-masing.
      • Untuk penyewa pelanggan Anda, sebaiknya aktifkan default keamanan.
        • Jika pelanggan Anda menggunakan aplikasi yang memerlukan autentikasi lama, aplikasi tersebut tidak akan berfungsi setelah Anda mengaktifkan default keamanan. Jika aplikasi tidak dapat diganti, dihapus, atau diperbarui untuk menggunakan autentikasi modern, Anda dapat memberlakukan MFA melalui MFA per pengguna.
        • Anda dapat memantau dan memberlakukan penggunaan default keamanan pelanggan Anda menggunakan panggilan Graph API berikut:
  • Pastikan bahwa metode MFA yang digunakan tahan phishing. Anda dapat melakukannya dengan menggunakan autentikasi tanpa kata sandi atau pencocokan nomor.
  • Jika pelanggan menolak untuk menggunakan MFA, jangan berikan akses peran administrator ke ID Microsoft Entra, atau izin tulis ke Langganan Azure.

Akses aplikasi

  • Mengadopsi kerangka kerja Model Aplikasi Aman. Semua mitra yang terintegrasi dengan API Pusat Mitra harus mengadopsi kerangka kerja Model Aplikasi Aman untuk aplikasi dan aplikasi model autentikasi pengguna apa pun.
  • Nonaktifkan persetujuan pengguna di Pusat Mitra Penyewa Microsoft Entra atau gunakan alur kerja persetujuan admin.

Hak istimewa terkecil / Tidak ada akses berdiri

  • Pengguna yang memiliki peran bawaan istimewa Microsoft Entra tidak boleh secara teratur menggunakan akun tersebut untuk email dan kolaborasi. Buat akun pengguna terpisah tanpa peran administratif Microsoft Entra untuk tugas kolaborasi.
  • Tinjau grup Agen admin dan hapus orang yang tidak memerlukan akses.
  • Tinjau akses peran administratif secara teratur di ID Microsoft Entra, dan batasi akses ke akun seserang mungkin. Untuk informasi selengkapnya, lihat Peran bawaan Microsoft Entra.
  • Pengguna yang meninggalkan perusahaan atau mengubah peran dalam perusahaan harus dihapus dari akses Pusat Mitra.
  • Jika Anda memiliki Microsoft Entra ID P2, gunakan Privileged Identity Management (PIM) untuk menerapkan akses just-in-time (JIT). Gunakan hak asuh ganda untuk meninjau dan menyetujui akses untuk peran administrator Microsoft Entra dan peran Pusat Mitra.
  • Untuk mengamankan peran istimewa, lihat Mengamankan gambaran umum akses istimewa.
  • Tinjau akses secara teratur ke lingkungan pelanggan.

Isolasi identitas

  • Hindari menghosting instans Pusat Mitra Anda di penyewa Microsoft Entra yang sama yang menghosting layanan IT internal Anda, seperti email dan alat kolaborasi.
  • Gunakan akun pengguna khusus terpisah untuk pengguna istimewa Pusat Mitra yang memiliki akses pelanggan.
  • Hindari membuat akun pengguna di penyewa Microsoft Entra pelanggan yang dimaksudkan untuk digunakan oleh mitra untuk mengelola penyewa pelanggan dan aplikasi dan layanan terkait.

Praktik terbaik perangkat

  • Hanya izinkan Pusat Mitra dan akses penyewa pelanggan dari stasiun kerja terdaftar dan sehat yang memiliki garis besar keamanan terkelola dan dipantau untuk risiko keamanan.
  • Untuk pengguna Pusat Mitra dengan akses istimewa ke lingkungan pelanggan, pertimbangkan untuk memerlukan stasiun kerja khusus (virtual atau fisik) bagi pengguna tersebut untuk mengakses lingkungan pelanggan. Untuk informasi selengkapnya, lihat Mengamankan akses istimewa.

Memantau praktik terbaik

API Pusat Mitra

  • Semua vendor Panel Kontrol harus Mengaktifkan model aplikasi yang aman dan mengaktifkan pengelogan untuk setiap aktivitas pengguna.
  • Panel Kontrol vendor harus memungkinkan audit setiap agen mitra masuk ke aplikasi dan semua tindakan yang diambil.

Pemantauan dan audit masuk

  • Bermitra dengan lisensi Microsoft Entra ID P2 secara otomatis memenuhi syarat untuk menyimpan data log audit dan masuk hingga 30 hari.

    Konfirmasikan bahwa:

    • Pengelogan audit ada di tempat akun administrator yang didelegasikan digunakan.
    • Log menangkap tingkat detail maksimum yang disediakan oleh layanan.
    • Log dipertahankan untuk periode yang dapat diterima (hingga 30 hari) yang memungkinkan deteksi aktivitas anomali.

    Pengelogan audit terperinci mungkin memerlukan pembelian lebih banyak layanan. Untuk informasi selengkapnya, lihat Berapa lama MICROSOFT Entra ID menyimpan data pelaporan?

  • Tinjau dan verifikasi alamat email pemulihan kata sandi dan nomor telepon secara teratur dalam ID Microsoft Entra untuk semua pengguna dengan peran admin Entra istimewa, dan perbarui jika perlu.

    • Jika penyewa pelanggan disusupi: Mitra Tagihan Langsung CSP, Penyedia Tidak Langsung, atau Penjual Tidak Langsung Anda tidak dapat menghubungi dukungan yang meminta perubahan kata sandi Administrator di penyewa pelanggan. Pelanggan harus memanggil dukungan Microsoft dengan mengikuti instruksi dalam topik Reset kata sandi admin saya. Topik Reset kata sandi admin saya memiliki tautan yang dapat digunakan pelanggan untuk memanggil Dukungan Microsoft. Instruksikan Pelanggan untuk menyebutkan bahwa CSP tidak lagi memiliki akses ke penyewa mereka untuk membantu mengatur ulang kata sandi. CSP harus mempertimbangkan untuk menangguhkan langganan pelanggan sampai akses dikembalikan dan pihak yang menyinggung dihapus.
  • Terapkan praktik terbaik pengelogan audit dan lakukan tinjauan rutin aktivitas yang dilakukan oleh akun administrator yang didelegasikan.

  • Mitra harus meninjau laporan pengguna berisiko dalam lingkungan mereka dan mengatasi akun yang terdeteksi menunjukkan risiko sesuai dengan panduan yang diterbitkan.