Delen via

Best practices voor CSP-beveiliging

  • Artikel

Alle partners in het CSP-programma (Cloud Solution Provider) die toegang hebben tot partnercentrum- en Partnercentrum-API's, moeten de beveiligingsrichtlijnen in dit artikel volgen om zichzelf en klanten te beschermen.

Zie best practices voor klantbeveiliging voor klantbeveiliging.

Belangrijk

Azure Active Directory (Azure AD) Graph is vanaf 30 juni 2023 afgeschaft. In de toekomst doen we geen verdere investeringen in Azure AD Graph. Azure AD Graph-API's hebben geen SLA of onderhoudsverplichting buiten beveiligingsgerelateerde oplossingen. Investeringen in nieuwe functies en functionaliteiten worden alleen gedaan in Microsoft Graph.

Azure AD Graph wordt in incrementele stappen buiten gebruik gesteld, zodat u voldoende tijd hebt om uw toepassingen te migreren naar Microsoft Graph-API's. Op een later tijdstip dat we zullen aankondigen, blokkeren we het maken van nieuwe toepassingen met behulp van Azure AD Graph.

Zie Belangrijk: Buitengebruikstelling van Azure AD Graph en Afschaffing van Powershell-module voor meer informatie.

Aanbevolen procedures voor identiteiten

Meervoudige verificatie vereisen

  • Zorg ervoor dat alle gebruikers in uw Partnercentrum-tenants en uw klanttenants zijn geregistreerd en meervoudige verificatie (MFA) vereisen. Er zijn verschillende manieren om MFA te configureren. Kies de methode die van toepassing is op de tenant die u configureert:
    • De tenant van mijn partnercentrum/klant heeft Microsoft Entra ID P1
    • De tenant van mijn partnercentrum/klant heeft Microsoft Entra ID P2
      • Gebruik voorwaardelijke toegang om MFA af te dwingen.
      • Beleid op basis van risico's implementeren met Behulp van Microsoft Entra ID Protection.
      • Voor uw Partnercentrum-tenant komt u mogelijk in aanmerking voor Microsoft 365 E3 of E5, afhankelijk van uw IUR-voordelen (Internal Use Rights). Deze SKU's omvatten respectievelijk Microsoft Entra ID P1 of 2.
      • Voor de tenant van uw klant wordt u aangeraden de standaardinstellingen voor beveiliging in te schakelen.
        • Als uw klant apps gebruikt waarvoor verouderde verificatie is vereist, werken deze apps niet nadat u de standaardinstellingen voor beveiliging hebt ingeschakeld. Als de app niet kan worden vervangen, verwijderd of bijgewerkt om moderne verificatie te gebruiken, kunt u MFA afdwingen via MFA per gebruiker.
        • U kunt het gebruik van de standaardinstellingen voor beveiliging van uw klant bewaken en afdwingen met behulp van de volgende Graph API-aanroep:
  • Zorg ervoor dat de gebruikte MFA-methode phishingbestendig is. U kunt dit doen door verificatie zonder wachtwoord of nummerkoppeling te gebruiken.
  • Als een klant MFA weigert te gebruiken, geeft u deze geen beheerdersroltoegang tot Microsoft Entra-id of schrijfmachtigingen voor Azure-abonnementen op.

App openen

  • Het Framework Secure Application Model gebruiken. Alle partners die integreren met partnercentrum-API's moeten het Secure Application Model-framework gebruiken voor apps en gebruikersverificatiemodeltoepassingen.
  • Schakel gebruikerstoestemming uit in Partnercentrum Microsoft Entra-tenants of gebruik de werkstroom voor beheerderstoestemming.

Minimale bevoegdheden/geen permanente toegang

  • Gebruikers met ingebouwde Microsoft Entra-rollen mogen deze accounts niet regelmatig gebruiken voor e-mail en samenwerking. Maak een afzonderlijk gebruikersaccount zonder Microsoft Entra-beheerdersrollen voor samenwerkingstaken.
  • Controleer de beheerdersagentgroep en verwijder personen die geen toegang nodig hebben.
  • Controleer regelmatig de toegang tot beheerdersrollen in Microsoft Entra-id en beperk de toegang tot zo weinig mogelijk accounts. Zie Ingebouwde rollen in Microsoft Entra voor meer informatie.
  • Gebruikers die het bedrijf verlaten of rollen binnen het bedrijf wijzigen, moeten worden verwijderd uit de toegang tot het Partnercentrum.
  • Als u Microsoft Entra ID P2 hebt, gebruikt u Privileged Identity Management (PIM) om Just-In-Time-toegang (JIT) af te dwingen. Gebruik dubbele voogdij om de toegang voor Microsoft Entra-beheerdersrollen en Partnercentrum-rollen te controleren en goed te keuren.
  • Zie Overzicht van het beveiligen van bevoorrechte toegang voor het beveiligen van bevoorrechte rollen.
  • Controleer regelmatig de toegang tot klantomgevingen.

Identiteitsisolatie

  • Vermijd het hosten van uw partnercentrum-exemplaar in dezelfde Microsoft Entra-tenant die als host fungeert voor uw interne IT-services, zoals e-mail- en samenwerkingshulpprogramma's.
  • Gebruik afzonderlijke, toegewezen gebruikersaccounts voor bevoegde gebruikers van partnercentrum die klanttoegang hebben.
  • Vermijd het maken van gebruikersaccounts in Microsoft Entra-tenants van klanten die bedoeld zijn voor gebruik door partners voor het beheren van de klanttenant en gerelateerde apps en services.

Aanbevolen procedures voor apparaten

  • Sta alleen toegang tot partnercentrum en tenant van klanten toe vanaf geregistreerde, gezonde werkstations met beheerde beveiligingsbasislijnen en worden gecontroleerd op beveiligingsrisico's.
  • Voor Partnercentrum-gebruikers met bevoorrechte toegang tot klantomgevingen kunt u overwegen speciale werkstations (virtueel of fysiek) te vereisen voor die gebruikers om toegang te krijgen tot klantomgevingen. Zie Bevoorrechte toegang beveiligen voor meer informatie.

Best practices voor bewaking

Partner Center-API's

  • Alle Configuratiescherm leveranciers moeten het beveiligde toepassingsmodel inschakelen en logboekregistratie inschakelen voor elke gebruikersactiviteit.
  • Configuratiescherm leveranciers moeten controle inschakelen van elke partneragent die zich aanmeldt bij de toepassing en alle uitgevoerde acties.

Controle en controle van aanmeldingen

  • Partners met een Microsoft Entra ID P2-licentie komen automatisch in aanmerking om audit- en aanmeldingsgegevens tot 30 dagen te bewaren.

    Bevestig dat:

    • Auditlogboekregistratie is aanwezig waar gedelegeerde beheerdersaccounts worden gebruikt.
    • Logboeken leggen het maximale niveau van details vast die door de service worden geleverd.
    • Logboeken worden bewaard gedurende een acceptabele periode (maximaal 30 dagen) waarmee afwijkende activiteiten kunnen worden gedetecteerd.

    Voor gedetailleerde auditlogboekregistratie moet u mogelijk meer services aanschaffen. Zie Hoe lang slaat Microsoft Entra ID rapportagegegevens op voor meer informatie?

  • Controleer en verifieer regelmatig e-mailadressen en telefoonnummers voor wachtwoordherstel binnen Microsoft Entra ID voor alle gebruikers met de bevoorrechte Entra-beheerdersrollen en werk deze indien nodig bij.

    • Als de tenant van een klant is aangetast: de CSP Direct Bill Partner, de indirecte provider of uw indirecte reseller kan geen contact opnemen met de ondersteuning die een beheerderswachtwoordwijziging aanvraagt in de tenant van de klant. De klant moet microsoft-ondersteuning bellen door de instructies in het onderwerp Mijn beheerderswachtwoord opnieuw instellen te volgen. Het onderwerp Wachtwoord van mijn beheerder opnieuw instellen bevat een koppeling die klanten kunnen gebruiken om Microsoft Ondersteuning aan te roepen. Geef de klant de opdracht om te vermelden dat de CSP geen toegang meer heeft tot hun tenant om te helpen bij het opnieuw instellen van het wachtwoord. De CSP moet overwegen om de abonnementen van de klant op te schorten totdat de toegang weer is hersteld en de partijen die het beledend zijn, worden verwijderd.

  • Implementeer best practices voor auditlogboeken en voer routinebeoordeling uit van activiteiten die worden uitgevoerd door gedelegeerde beheerdersaccounts.

  • Partners moeten het rapport riskante gebruikers in hun omgeving beoordelen en de accounts aanpakken die worden gedetecteerd om risico's te vormen volgens gepubliceerde richtlijnen.