CSP セキュリティのベスト プラクティス
パートナー センターとパートナー センター API にアクセスするクラウド ソリューション プロバイダー (CSP) プログラムのすべてのパートナーは、この記事のセキュリティ ガイダンスに従って、自分自身と顧客を保護する必要があります。
顧客のセキュリティについては、「 カスタマー セキュリティのベスト プラクティス」を参照してください。
テナントで強くお勧めする手順
- パートナー センター テナントにセキュリティ関連の問題通知用のセキュリティ連絡先を追加します。
- Microsoft Azure Active Directory (Azure AD) で ID セキュリティ スコアを確認し、スコアを上げるために適切なアクションを実行します。
- 「未払い、不正使用、または誤用の管理」に記載されているガイダンスを確認して実装します。
- NOBELIUM 脅威アクターと関連資料について理解します。
ID のベストプラクティス
多要素認証を要求する
- パートナー センター テナントと顧客テナント 内のすべてのユーザー が に登録され、多要素認証 (MFA) が必要であることを確認します。 MFA を構成するには、さまざまな方法があります。 構成するテナントに適用する方法を選択します。
- パートナー センター/顧客のテナントに Azure AD Premium プラン 1 がある
- 条件付きアクセスを使用して MFA を適用します。
- パートナー センター/顧客のテナントに Azure AD Premium プラン 2 がある
- 条件付きアクセスを使用して MFA を適用します。
- Azure AD Identity Protection を使用してリスクベースのポリシーを実装します。
- パートナー センター/顧客のテナントに Azure AD Premium プラン 1 または 2 ライセンスがない
- クラウド ソリューション プロバイダー (CSP) プログラムのパートナーは、 Azure AD Premium プラン 2 への無料サブスクリプションの第 2 部を アクティブ化して、Azure AD テナントをさらにセキュリティで保護することができます。
- パートナー センター テナントの場合、内部使用権 (IUR) の特典に応じて、Microsoft 365 E3または E5 の対象となる場合があります。 これらの SKU には、それぞれ Azure AD Premium プラン 1 または 2 が含まれます。
- 顧客のテナントでは、 セキュリティの既定値を有効にすることをお勧めします。
- 顧客がレガシ認証を必要とするアプリを使用している場合、セキュリティの既定値を有効にした後、これらのアプリは機能しません。 先進認証を使用するようにアプリを置き換えたり、削除したり、更新したりできない場合は、 ユーザーごとの MFA を通じて MFA を適用できます。
- 次のGraph API呼び出しを使用して、顧客によるセキュリティの既定値の使用を監視して適用できます。
- パートナー センター/顧客のテナントに Azure AD Premium プラン 1 がある
- 使用する MFA メソッドがフィッシングに対して耐性があることを確認します。 これを行うには、 パスワードレス認証 または 番号照合を使用します。
- 顧客が MFA の使用を拒否した場合は、Azure AD への管理者ロールのアクセス権を付与したり、Azure サブスクリプションに対する書き込みアクセス許可を付与したりしないでください。
アプリのアクセス
- セキュリティで保護されたアプリケーション モデル フレームワークを採用します。 パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。
- パートナー センターの Azure AD テナントで ユーザーの同意 を無効にするか、 管理者の同意ワークフローを使用します。
最小特権/永続的アクセスなし
- グローバル管理者やセキュリティ管理者などの Azure AD 管理者ロールを持つユーザーは、メールやコラボレーションのためにこれらのアカウントを定期的に使用しないでください。 コラボレーション タスク用の Azure AD 管理ロールを持たない別のユーザー アカウントを作成します。
- 管理 エージェント グループを確認し、アクセスが必要ないユーザーを削除します。
- Azure AD の管理ロール アクセスを定期的に確認し、アクセスをできるだけ少ないアカウントに制限します。 詳細については、Azure AD の組み込みロールに関するページを参照してください。
- 会社を退職したユーザー、または会社内で役割が変わったユーザーは、パートナー センターへのアクセスを削除する必要があります。
- Azure AD Premium プラン 2 がある場合は、Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) アクセスを適用します。 デュアル カストディを使用して、Azure AD 管理者ロールとパートナー センターロールのアクセスを確認および承認します。
- 特権ロールのセキュリティ保護については、「 特権アクセスのセキュリティ保護の概要」を参照してください。
- 顧客環境へのアクセスを定期的に確認します。
- 非アクティブな委任された管理特権 (DAP) を削除します。
- アクティブな DAP リレーションシップを詳細な委任管理特権 (GDAP) に移動します。
- GDAP リレーションシップで 、必要最小限の特権を持つロールが使用されていることを確認します。
ID の分離
- メールやコラボレーション ツールなど、内部 IT サービスをホストするのと同じ Azure AD テナントでパートナー センター インスタンスをホストすることは避けてください。
- 顧客アクセス権を持つパートナー センター特権ユーザーには、個別の専用ユーザー アカウントを使用します。
- パートナーが顧客テナントと関連するアプリとサービスを管理するために使用することを目的とした顧客の Azure AD テナントでユーザー アカウントを作成することは避けてください。
デバイスのベスト プラクティス
- セキュリティ ベースラインを管理し、セキュリティ リスクを監視している、登録済みの正常なワークステーションからのパートナー センターと顧客テナントのアクセスのみを許可します。
- 顧客環境への特権アクセス権を持つパートナー センター ユーザーの場合は、それらのユーザーが顧客環境にアクセスするために専用ワークステーション (仮想または物理) を要求することを検討してください。 詳細については、特権アクセスのセキュリティ保護に関するページを参照してください。
監視のベスト プラクティス
パートナー センター API
- すべてのコントロール パネル ベンダーは、セキュリティで保護されたアプリケーション モデルを有効にし、すべてのユーザー アクティビティのログ記録を有効にする必要があります。
- コントロール パネルベンダーは、アプリケーションにログインするすべてのパートナー エージェントと実行されたすべてのアクションの監査を有効にする必要があります。
サインインの監視と監査
Azure Active Directory P2 ライセンスを持つパートナーは、監査とサインインのログ データを最大 30 日間保持する資格を自動的に得られます。
次の点を確認します。
- 監査ログは、委任された管理者アカウントが使用される場所にあります。
- ログは、サービスによって提供される詳細の最大レベルをキャプチャしています。
- ログは、異常なアクティビティを検出できる許容期間 (最大 30 日間) 保持されます。
詳細な監査ログには、より多くのサービスを購入する必要がある場合があります。 詳細については、「Azure AD にレポート データが保存される期間」を参照してください。
グローバル管理者ロールを持つすべてのユーザーについて、Azure AD 内のパスワード回復のメール アドレスと電話番号を定期的に確認し、必要に応じて更新します。
監査ログのベスト プラクティスを実装し、代理管理者アカウントによって実行されるアクティビティの定期的なレビューを実行します。
パートナーは、環境内の危険なユーザー レポートを確認し、公開されたガイダンスに従ってリスクで検出されたアカウントに対処する必要があります。
関連資料
- Microsoft セキュリティのベスト プラクティスについては、「 Microsoft セキュリティのベスト プラクティス」を参照してください。
- サービス プリンシパルを管理するためのベスト プラクティスについては、「 Azure Active Directory でのサービス プリンシパルのセキュリティ保護」を参照してください。
- パートナーのセキュリティ要件
- ゼロ トラストの基本原則
- お客様のセキュリティのベスト プラクティス