CSP セキュリティのベスト プラクティス

パートナー センターパートナー センター API にアクセスするクラウド ソリューション プロバイダー (CSP) プログラムのすべてのパートナーは、この記事のセキュリティ ガイダンスに従って、自分自身と顧客を保護する必要があります。

顧客のセキュリティについては、「 カスタマー セキュリティのベスト プラクティス」を参照してください。

ID のベストプラクティス

多要素認証を要求する

  • パートナー センター テナントと顧客テナント 内のすべてのユーザー が に登録され、多要素認証 (MFA) が必要であることを確認します。 MFA を構成するには、さまざまな方法があります。 構成するテナントに適用する方法を選択します。
    • パートナー センター/顧客のテナントに Azure AD Premium プラン 1 がある
    • パートナー センター/顧客のテナントに Azure AD Premium プラン 2 がある
    • パートナー センター/顧客のテナントに Azure AD Premium プラン 1 または 2 ライセンスがない
      • クラウド ソリューション プロバイダー (CSP) プログラムのパートナーは、 Azure AD Premium プラン 2 への無料サブスクリプションの第 2 部を アクティブ化して、Azure AD テナントをさらにセキュリティで保護することができます。
      • パートナー センター テナントの場合、内部使用権 (IUR) の特典に応じて、Microsoft 365 E3または E5 の対象となる場合があります。 これらの SKU には、それぞれ Azure AD Premium プラン 1 または 2 が含まれます。
      • 顧客のテナントでは、 セキュリティの既定値を有効にすることをお勧めします。
  • 使用する MFA メソッドがフィッシングに対して耐性があることを確認します。 これを行うには、 パスワードレス認証 または 番号照合を使用します。
  • 顧客が MFA の使用を拒否した場合は、Azure AD への管理者ロールのアクセス権を付与したり、Azure サブスクリプションに対する書き込みアクセス許可を付与したりしないでください。

アプリのアクセス

最小特権/永続的アクセスなし

  • グローバル管理者やセキュリティ管理者などの Azure AD 管理者ロールを持つユーザーは、メールやコラボレーションのためにこれらのアカウントを定期的に使用しないでください。 コラボレーション タスク用の Azure AD 管理ロールを持たない別のユーザー アカウントを作成します。
  • 管理 エージェント グループを確認し、アクセスが必要ないユーザーを削除します。
  • Azure AD の管理ロール アクセスを定期的に確認し、アクセスをできるだけ少ないアカウントに制限します。 詳細については、Azure AD の組み込みロールに関するページを参照してください。
  • 会社を退職したユーザー、または会社内で役割が変わったユーザーは、パートナー センターへのアクセスを削除する必要があります。
  • Azure AD Premium プラン 2 がある場合は、Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) アクセスを適用します。 デュアル カストディを使用して、Azure AD 管理者ロールとパートナー センターロールのアクセスを確認および承認します。
  • 特権ロールのセキュリティ保護については、「 特権アクセスのセキュリティ保護の概要」を参照してください。
  • 顧客環境へのアクセスを定期的に確認します。

ID の分離

  • メールやコラボレーション ツールなど、内部 IT サービスをホストするのと同じ Azure AD テナントでパートナー センター インスタンスをホストすることは避けてください。
  • 顧客アクセス権を持つパートナー センター特権ユーザーには、個別の専用ユーザー アカウントを使用します。
  • パートナーが顧客テナントと関連するアプリとサービスを管理するために使用することを目的とした顧客の Azure AD テナントでユーザー アカウントを作成することは避けてください。

デバイスのベスト プラクティス

  • セキュリティ ベースラインを管理し、セキュリティ リスクを監視している、登録済みの正常なワークステーションからのパートナー センターと顧客テナントのアクセスのみを許可します。
  • 顧客環境への特権アクセス権を持つパートナー センター ユーザーの場合は、それらのユーザーが顧客環境にアクセスするために専用ワークステーション (仮想または物理) を要求することを検討してください。 詳細については、特権アクセスのセキュリティ保護に関するページを参照してください。

監視のベスト プラクティス

パートナー センター API

  • すべてのコントロール パネル ベンダーは、セキュリティで保護されたアプリケーション モデルを有効にし、すべてのユーザー アクティビティのログ記録を有効にする必要があります。
  • コントロール パネルベンダーは、アプリケーションにログインするすべてのパートナー エージェントと実行されたすべてのアクションの監査を有効にする必要があります。

サインインの監視と監査