Procedure consigliate per la sicurezza per CSP

Tutti i partner del programma Cloud Solution Provider (CSP) che accedono alle API del Centro per i partner e del Centro per i partner devono seguire le indicazioni sulla sicurezza in questo articolo per proteggere se stessi e i clienti.

Per la sicurezza dei clienti, vedere Procedure consigliate per la sicurezza dei clienti.

Importante

Azure Active Directory (Azure AD) Graph è deprecato a partire dal 30 giugno 2023. In futuro non verranno effettuati ulteriori investimenti in Azure AD Graph. Le API Graph di Azure AD non hanno alcun contratto di servizio o impegno di manutenzione oltre alle correzioni correlate alla sicurezza. Gli investimenti in nuove funzionalità e funzionalità verranno effettuati solo in Microsoft Graph.

Azure AD Graph verrà ritirato nei passaggi incrementali in modo da avere tempo sufficiente per eseguire la migrazione delle applicazioni alle API Di Microsoft Graph. A una data successiva che verrà annunciata, si bloccherà la creazione di nuove applicazioni usando Azure AD Graph.

Per altre informazioni, vedere Importante: Ritiro di Azure AD Graph e Deprecazione del modulo PowerShell.

Passaggi altamente consigliati nei tenant

• Aggiungere un contatto di sicurezza per le notifiche relative ai problemi relativi alla sicurezza nel tenant del Centro per i partner.
• Controllare il punteggio di sicurezza dell'identità in Microsoft Entra ID e intraprendere le azioni appropriate per aumentare il punteggio.
• Esaminare e implementare le linee guida documentate in Gestione del pagamento, delle frodi o dell'uso improprio.
• Acquisire familiarità con l'attore di minaccia NOBELIUM e i materiali correlati:
  • NOBELIUM mira a privilegi amministrativi delegati per facilitare attacchi più ampi
  • Formazione sulla risposta NOBELIUM
  • Protezione del canale: Percorso verso zero attendibilità

Procedure consigliate per l'identità

Richiedere l'autenticazione a più fattori

• Assicurarsi che tutti gli utenti nei tenant del Centro per i partner e i tenant dei clienti siano registrati per e richiedano l'autenticazione a più fattori (MFA). Esistono diversi modi per configurare l'autenticazione a più fattori. Scegliere il metodo che si applica al tenant che si sta configurando:
  • Il tenant del Centro per i partner o del cliente ha l'ID Microsoft Entra P1
    • Usare l'accesso condizionale per applicare l'autenticazione a più fattori.
  • Il tenant del Centro per i partner o del cliente ha l'ID Microsoft Entra P2
    • Usare l'accesso condizionale per applicare l'autenticazione a più fattori.
    • Implementare criteri basati sul rischio usando Microsoft Entra ID Protection.
    • Per il tenant del Centro per i partner, è possibile qualificarsi per Microsoft 365 E3 o E5, a seconda dei vantaggi dell'IUR (Internal Use Rights). Questi SKU includono rispettivamente Microsoft Entra ID P1 o 2.
    • Per il tenant del cliente, è consigliabile abilitare le impostazioni predefinite per la sicurezza.
      • Se il cliente usa app che richiedono l'autenticazione legacy, queste app non funzioneranno dopo aver abilitato le impostazioni predefinite per la sicurezza. Se l'app non può essere sostituita, rimossa o aggiornata per usare l'autenticazione moderna, è possibile applicare l'autenticazione a più fattori tramite MFA per utente.
      • È possibile monitorare e applicare l'uso delle impostazioni predefinite per la sicurezza del cliente usando la chiamata API Graph seguente:
        • tipo di risorsa identitySecurityDefaultsEnforcementPolicy - Microsoft Graph v1.0 | Microsoft Learn
• Assicurarsi che il metodo MFA usato sia resistente al phishing. A tale scopo, è possibile usare l'autenticazione senza password o la corrispondenza dei numeri.
• Se un cliente rifiuta di usare l'autenticazione a più fattori, non fornire loro l'accesso ai ruoli di amministratore a Microsoft Entra ID o le autorizzazioni di scrittura per le sottoscrizioni di Azure.

Accesso all'app

• Adottare il framework del modello di applicazione sicura. Tutti i partner che integrano le API del Centro per i partner devono adottare il framework del modello di applicazione sicura per qualsiasi app e applicazione del modello di autenticazione utente.
• Disabilitare il consenso dell'utente nei tenant di Microsoft Entra nel Centro per i partner o usare il flusso di lavoro di consenso amministratore.

Privilegi minimi/Nessun accesso permanente

• Gli utenti con ruoli amministrativi di Microsoft Entra, ad esempio amministratore globale o amministratore della sicurezza, non devono usare regolarmente tali account per la posta elettronica e la collaborazione. Creare un account utente separato senza ruoli amministrativi di Microsoft Entra per le attività di collaborazione.
• Esaminare il gruppo agente di amministrazione e rimuovere persone che non hanno bisogno di accesso.
• Esaminare regolarmente l'accesso al ruolo amministrativo in Microsoft Entra ID e limitare l'accesso al minor numero possibile di account. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.
• Gli utenti che lasciano l'azienda o modificano i ruoli all'interno dell'azienda devono essere rimossi dall'accesso al Centro per i partner.
• Se si ha Microsoft Entra ID P2, usare Privileged Identity Management (PIM) per applicare l'accesso JIT (Just-In-Time). Usare la doppia custodia per esaminare e approvare l'accesso per i ruoli di amministratore di Microsoft Entra e i ruoli del Centro per i partner.
• Per la protezione dei ruoli con privilegi, vedere Panoramica sulla protezione dell'accesso con privilegi.
• Esaminare regolarmente l'accesso agli ambienti dei clienti.
  • Rimuovere i privilegi di amministrazione delegata (DAP) inattivi.
  • Domande frequenti su GDAP.
  • Assicurarsi che le relazioni GDAP usino ruoli con i privilegi minimi necessari.

Isolamento delle identità

• Evitare di ospitare l'istanza del Centro per i partner nello stesso tenant di Microsoft Entra che ospita i servizi IT interni, ad esempio gli strumenti di posta elettronica e collaborazione.
• Usare account utente dedicati separati per gli utenti con privilegi del Centro per i partner che hanno accesso ai clienti.
• Evitare di creare account utente nei tenant Microsoft Entra del cliente destinati a essere usati dai partner per amministrare il tenant del cliente e le app e i servizi correlati.

Procedure consigliate per i dispositivi

• Consentire solo l'accesso al Centro per i partner e al tenant dei clienti da workstation registrate e integre con baseline di sicurezza gestite e monitorate per i rischi per la sicurezza.
• Per gli utenti del Centro per i partner con accesso privilegiato agli ambienti dei clienti, è consigliabile richiedere workstation dedicate (virtuali o fisiche) per consentire a tali utenti di accedere agli ambienti dei clienti. Per altre informazioni, vedere Protezione dell'accesso con privilegi.

Procedure consigliate per il monitoraggio

API del Centro per i partner

• Tutti i fornitori di Pannello di controllo devono abilitare il modello di applicazione sicura e attivare la registrazione per ogni attività utente.
• Pannello di controllo fornitori devono abilitare il controllo di ogni agente partner che accede all'applicazione e tutte le azioni eseguite.

Monitoraggio e controllo dell'accesso

• I partner con una licenza Microsoft Entra ID P2 si qualificano automaticamente per mantenere i dati di log di controllo e accesso fino a 30 giorni.

  Confermare che:

  • La registrazione di controllo è disponibile in cui vengono usati gli account amministratore delegato.
  • I log acquisiscono il livello massimo di dettagli forniti dal servizio.
  • I log vengono conservati per un periodo accettabile (fino a 30 giorni) che consente il rilevamento di attività anomale.

  La registrazione di controllo dettagliata potrebbe richiedere l'acquisto di più servizi. Per altre informazioni, vedere Per quanto tempo Microsoft Entra ID archivia i dati dei report?

• Esaminare e verificare regolarmente gli indirizzi di posta elettronica di ripristino delle password e i numeri di telefono all'interno di Microsoft Entra ID per tutti gli utenti con i ruoli di amministratore globale e aggiornare, se necessario.

  • Se il tenant di un cliente è compromesso: il partner CSP Direct Bill, il provider indiretto o il rivenditore indiretto non può contattare il supporto tecnico che richiede una modifica della password dell'amministratore nel tenant del cliente. Il cliente deve chiamare il supporto tecnico Microsoft seguendo le istruzioni riportate nell'argomento Reimpostare la password amministratore. L'argomento Reimposta password amministratore contiene il collegamento che i clienti possono usare per chiamare supporto tecnico Microsoft. Indicare al cliente di menzionare che il provider di servizi di configurazione non ha più accesso al tenant per facilitare la reimpostazione della password. Il provider di servizi di configurazione deve considerare la sospensione delle sottoscrizioni del cliente fino a quando l'accesso non viene recuperato e le parti incriminate vengono rimosse.

• Implementare le procedure consigliate per la registrazione di controllo ed eseguire una revisione di routine delle attività eseguite dagli account amministratore delegati.

  • Che cosa sono i report di Microsoft Entra?
  • Analizzare i log attività usando i log di Monitoraggio di Azure
  • Informazioni di riferimento sulle attività di controllo di Microsoft Entra

• I partner devono esaminare il report degli utenti rischiosi all'interno del proprio ambiente e risolvere gli account rilevati per presentare il rischio in base alle indicazioni pubblicate.

  • Correggere i rischi e sbloccare gli utenti
  • Esperienze utente con Microsoft Entra ID Protection

Materiali correlati

• Per le procedure consigliate per la gestione delle entità servizio, vedere Protezione delle entità servizio in Microsoft Entra ID.
• Requisiti di sicurezza dei partner
• Principi guida di Zero Trust
• Procedure consigliate per la sicurezza dei clienti