Beveiligingsvereisten voor het gebruik van Partnercentrum- of Partnercentrum-API's

Juiste rollen: Alle partnercentrumgebruikers

Als adviseur, configuratieschermleverancier of CSP-partner (Cloud Solution Provider) moet u beslissingen nemen met betrekking tot verificatieopties en andere beveiligingsoverwegingen.

Privacybescherming en -beveiliging voor u en uw klanten behoren tot onze hoogste prioriteiten. We weten dat de beste verdediging preventie is en dat we slechts zo sterk zijn als onze zwakste link. Daarom hebben we iedereen in ons ecosysteem nodig om ervoor te zorgen dat de juiste beveiligingsmaatregelen worden toegepast.

Verplichte beveiligingsvereisten

Met het CSP-programma kunnen klanten Microsoft-producten en -services kopen via partners. In overeenstemming met hun overeenkomst met Microsoft moeten partners de omgeving beheren en ondersteuning bieden aan de klanten aan wie ze verkopen.

Klanten die via dit kanaal kopen, vertrouwen in u als partner omdat u beheerderstoegang met hoge bevoegdheden hebt tot de tenant van de klant.

Partners die de verplichte beveiligingsvereisten niet implementeren, kunnen geen transacties uitvoeren in het CSP-programma of klanttenants beheren met gedelegeerde beheerdersrechten. Bovendien kunnen partners die de beveiligingsvereisten niet implementeren, hun deelname aan programma's in gevaar brengen.

De voorwaarden die aan de beveiligingsvereisten van de partner zijn gekoppeld, zijn toegevoegd aan de Microsoft Partner-overeenkomst. De Microsoft Partner-overeenkomst (MPA) wordt periodiek bijgewerkt en Microsoft raadt alle partners aan regelmatig te controleren. In verband met adviseurs gelden dezelfde contractuele vereisten.

Alle partners moeten voldoen aan aanbevolen beveiligingsprocedures , zodat ze partner- en klantomgevingen kunnen beveiligen. Het naleven van deze aanbevolen procedures helpt beveiligingsproblemen te beperken en beveiligings escalaties op te lossen, zodat het vertrouwen van de klant niet wordt aangetast.

Om u en uw klanten te beschermen, moeten partners de volgende acties onmiddellijk uitvoeren:

MFA inschakelen voor alle gebruikersaccounts in uw partnertenant

U moet MFA afdwingen voor alle gebruikersaccounts in uw partnertenants. Gebruikers moeten worden gevraagd door MFA wanneer ze zich aanmelden bij commerciële cloudservices van Microsoft of wanneer ze transacties uitvoeren in het Cloud Solution Provider-programma via Partnercentrum of via API's.

MFA-afdwinging volgt deze richtlijnen:

  • Partners die door Microsoft ondersteunde Microsoft Entra-verificatie met meerdere factoren gebruiken. Zie Meerdere manieren om meervoudige verificatie van Microsoft Entra in te schakelen (MFA ondersteund) voor meer informatie
  • Partner die MFA van derden en een deel van de uitzonderingenlijst heeft geïmplementeerd, heeft nog steeds toegang tot partnercentrum en API's met uitzonderingen, maar kan de klant niet beheren met DAP/GDAP (geen uitzonderingen toegestaan)
  • Als de organisatie van de partner eerder een uitzondering voor MFA heeft gekregen, moeten gebruikers die klanttenants beheren als onderdeel van het CSP-programma Microsoft MFA-vereisten hebben ingeschakeld vóór 1 maart 2022. Als u niet voldoet aan de MFA-vereisten, kan dit leiden tot verlies van toegang tot de tenant van de klant.
  • Meer informatie over het verplichten van meervoudige verificatie (MFA) voor uw partnertenant.

Het Secure Application Model-framework in gebruik nemen

Alle partners die integreren met partnercentrum-API's moeten het Secure Application Model-framework gebruiken voor apps en gebruikersverificatiemodeltoepassingen.

Belangrijk

We raden partners ten zeerste aan om het Secure Application Model te implementeren voor integratie met een Microsoft-API, zoals Azure Resource Manager of Microsoft Graph, of wanneer ze automatisering zoals PowerShell gebruiken met behulp van gebruikersreferenties, om onderbrekingen te voorkomen wanneer MFA wordt afgedwongen.

Deze beveiligingsvereisten helpen uw infrastructuur te beschermen en de gegevens van uw klanten te beschermen tegen mogelijke beveiligingsrisico's, zoals diefstal of andere fraudeincidenten identificeren.

Andere beveiligingsvereisten

Klanten vertrouwen u als partner om toegevoegde waardeservices te bieden. Het is belangrijk dat u alle beveiligingsmaatregelen neemt om het vertrouwen van de klant en uw reputatie als partner te beschermen.

Microsoft blijft handhavingsmaatregelen toevoegen, zodat alle partners zich moeten houden aan en prioriteit moeten geven aan de beveiliging van hun klanten. Deze beveiligingsvereisten helpen uw infrastructuur te beschermen en de gegevens van uw klanten te beschermen tegen mogelijke beveiligingsrisico's, zoals diefstal of andere fraudeincidenten identificeren.

De partner is verantwoordelijk om ervoor te zorgen dat ze de principes van zero trust aannemen, met name het volgende.

Gedelegeerde Beheer-bevoegdheden (DAP)

Gedelegeerde beheerdersbevoegdheden (DAP) bieden de mogelijkheid om namens hen de service of het abonnement van een klant te beheren. De klant moet de partner beheerdersmachtigingen verlenen voor die service. Omdat de bevoegdheden die aan de partner zijn verleend voor het beheren van de klant, sterk verhoogd zijn, raadt Microsoft aan om inactieve DAPs te verwijderen. Alle partners die de tenant van de klant beheren met gedelegeerde Beheer Bevoegdheden, moeten inactieve DAP uit het Partnercentrum verwijderen om te voorkomen dat de tenant van de klant en hun assets van invloed zijn.

Zie de handleiding voor het controleren van beheerrelaties en selfservice-DAP-verwijderingsgids, de veelgestelde vragen over gedelegeerde beheerbevoegdheden en de GIDS met gedelegeerde beheerdersbevoegdheden voor meer informatie.

Bovendien wordt DAP binnenkort afgeschaft. We raden alle partners die actief gebruikmaken van DAP aan om hun tenants van klanten te beheren en zich te verplaatsen naar een model met minimale bevoegdheden gedetailleerd gedelegeerd Beheer bevoegdheden om de tenants van hun klanten veilig te beheren.

Overstappen op rollen met minimale bevoegdheden om uw klanttenants te beheren

Omdat DAP binnenkort wordt afgeschaft, raadt Microsoft ten zeerste aan het huidige DAP-model (waarmee Beheer agents permanente of permanente globale beheerderstoegang krijgen) te verwijderen en te vervangen door een fijnmazig gedelegeerd toegangsmodel. Het verfijnde gedelegeerde toegangsmodel vermindert beveiligingsrisico's voor klanten en de effecten van deze risico's op hen. Het biedt u ook controle en flexibiliteit om de toegang per klant te beperken op het workloadniveau van uw werknemers die de services en omgevingen van uw klanten beheren.

Zie voor meer informatie het overzicht van gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP), informatie over functies met minimale bevoegdheden en de veelgestelde vragen over GDAP

Controleren op azure-fraudemeldingen

Als partner in het CSP-programma bent u verantwoordelijk voor het Azure-verbruik van uw klant, dus het is belangrijk dat u op de hoogte bent van mogelijke cryptovaluta-mijnbouwactiviteiten in de Azure-abonnementen van uw klanten. Met deze kennis kunt u onmiddellijk actie ondernemen om te bepalen of het gedrag legitiem of frauduleus is en, indien nodig, de betrokken Azure-resources of het Azure-abonnement opschorten om het probleem te verhelpen.

Zie azure-fraudedetectie en -meldingen voor meer informatie.

Registreren voor Microsoft Entra ID P2

Alle Beheer agents in de CSP-tenant moeten hun cyberbeveiliging versterken door Microsoft Entra ID P2 te implementeren en te profiteren van de verschillende mogelijkheden om uw CSP-tenant te versterken. Microsoft Entra ID P2 biedt uitgebreide toegang tot aanmeldingslogboeken en Premium-functies zoals Microsoft Entra Privileged Identity Management (PIM) en mogelijkheden voor voorwaardelijke toegang op basis van risico's om de beveiligingsmaatregelen te versterken.

Voldoen aan best practices voor CSP-beveiliging

Het is belangrijk om alle aanbevolen CSP-procedures voor beveiliging te volgen. Meer informatie vindt u in best practices voor beveiliging van Cloud Solution Provider.

Meervoudige verificatie implementeren

Als u wilt voldoen aan de beveiligingsvereisten van de partner, moet u MFA implementeren en afdwingen voor elk gebruikersaccount in uw partnertenant. U kunt dit op een van de volgende manieren doen:

Standaardinstellingen voor beveiliging

Een van de opties die partners kunnen kiezen om MFA-vereisten te implementeren, is het inschakelen van standaardinstellingen voor beveiliging in Microsoft Entra-id. Standaardinstellingen voor beveiliging bieden een basisniveau van beveiliging zonder extra kosten. Lees hoe u MFA inschakelt voor uw organisatie met Microsoft Entra ID en de belangrijkste overwegingen hieronder voordat u de standaardinstellingen voor beveiliging inschakelt.

  • Partners die al basislijnbeleid hebben aangenomen, moeten actie ondernemen om over te stappen op standaardinstellingen voor beveiliging.

  • Standaardinstellingen voor beveiliging zijn de vervanging van algemene beschikbaarheid van het preview-basislijnbeleid. Nadat een partner de standaardinstellingen voor beveiliging heeft ingeschakeld, kunnen ze geen basislijnbeleid inschakelen.

  • Met standaardinstellingen voor beveiliging worden alle beleidsregels tegelijk ingeschakeld.

  • Voor partners die voorwaardelijke toegang gebruiken, zijn de standaardinstellingen voor beveiliging niet beschikbaar.

  • Verouderde verificatieprotocollen worden geblokkeerd.

  • Het Microsoft Entra Verbinding maken-synchronisatieaccount wordt uitgesloten van de standaardinstellingen voor beveiliging en wordt niet gevraagd om zich te registreren voor of meervoudige verificatie uit te voeren. Organisaties mogen dit account niet gebruiken voor andere doeleinden.

Zie Overzicht van meervoudige verificatie van Microsoft Entra voor uw organisatie en wat zijn de standaardinstellingen voor beveiliging? voor gedetailleerde informatie.

Notitie

De standaardinstellingen voor Microsoft Entra-beveiliging zijn de evolutie van het basisbeveiligingsbeleid vereenvoudigd. Als u het beveiligingsbeleid voor de basislijn al hebt ingeschakeld, wordt het ten zeerste aanbevolen om de standaardinstellingen voor beveiliging in te schakelen.

Veelgestelde vragen over implementatie (FAQ)

Omdat deze vereisten van toepassing zijn op alle gebruikersaccounts in uw partnertenant, moet u rekening houden met verschillende dingen om een soepele implementatie te garanderen. Identificeer bijvoorbeeld gebruikersaccounts in Microsoft Entra-id die geen MFA kunnen uitvoeren en toepassingen en apparaten in uw organisatie die geen ondersteuning bieden voor moderne verificatie.

Voordat u een actie uitvoert, raden we u aan de volgende validaties uit te voeren.

Hebt u een toepassing of apparaat dat het gebruik van moderne verificatie niet ondersteunt?

Wanneer u MFA afdwingt, worden verouderde verificatieprotocollen zoals IMAP, POP3, SMTP en anderen geblokkeerd omdat ze MFA niet ondersteunen. Als u deze beperking wilt oplossen, gebruikt u de functie app-wachtwoorden om ervoor te zorgen dat de toepassing of het apparaat nog steeds wordt geverifieerd. Bekijk de overwegingen voor het gebruik van app-wachtwoorden om te bepalen of ze in uw omgeving kunnen worden gebruikt.

Hebt u Office 365-gebruikers met licenties die zijn gekoppeld aan uw partnertenant?

Voordat u een oplossing implementeert, raden we u aan te bepalen welke versies van Microsoft Office-gebruikers in uw partnertenant worden gebruikt. Er is een kans dat uw gebruikers connectiviteitsproblemen ondervinden met toepassingen zoals Outlook. Voordat u MFA afdwingt, is het belangrijk om ervoor te zorgen dat u Outlook 2013 SP1 of hoger gebruikt en dat moderne verificatie is ingeschakeld voor uw organisatie. Zie Moderne verificatie inschakelen in Exchange Online voor meer informatie.

Als u moderne verificatie wilt inschakelen voor apparaten met Windows waarop Microsoft Office 2013 is geïnstalleerd, moet u twee registersleutels maken. Zie Moderne verificatie inschakelen voor Office 2013 op Windows-apparaten.

Is er een beleid dat verhindert dat uw gebruikers hun mobiele apparaten gebruiken terwijl ze werken?

Het is belangrijk om elk bedrijfsbeleid te identificeren dat voorkomt dat werknemers mobiele apparaten gebruiken terwijl ze werken, omdat dit van invloed is op de MFA-oplossing die u implementeert. Er zijn oplossingen, zoals de standaardinstelling voor Microsoft Entra-beveiliging, die alleen het gebruik van een verificator-app voor verificatie toestaan. Als uw organisatie een beleid heeft dat het gebruik van mobiele apparaten verhindert, kunt u een van de volgende opties overwegen:

  • Implementeer een op tijd gebaseerde TOTP-toepassing (One-Time Base Password) die op een beveiligd systeem kan worden uitgevoerd.

Welke automatisering of integratie moet u gebruikersreferenties gebruiken voor verificatie?

Het afdwingen van MFA voor elke gebruiker, inclusief serviceaccounts, in uw partnerdirectory, kan van invloed zijn op automatisering of integratie die gebruikmaakt van gebruikersreferenties voor verificatie. Het is dus belangrijk dat u identificeert welke accounts in deze situaties worden gebruikt. Bekijk de volgende lijst met voorbeeldtoepassingen of -services die u kunt overwegen:

  • Configuratiescherm dat wordt gebruikt voor het inrichten van resources namens uw klanten

  • Integratie met elk platform dat wordt gebruikt voor facturering (zoals het betrekking heeft op het CSP-programma) en het ondersteunen van uw klanten

  • PowerShell-scripts die gebruikmaken van Az, AzureRM, Microsoft Graph PowerShell en andere modules

De voorgaande lijst is niet volledig, dus het is belangrijk dat u een volledige evaluatie uitvoert van een toepassing of service in uw omgeving die gebruikmaakt van gebruikersreferenties voor verificatie. Als u wilt voldoen aan de vereiste voor MFA, moet u waar mogelijk de richtlijnen implementeren in het framework secure application model.

Toegang tot uw omgeving

Als u beter wilt weten wat of wie zich authenticeert zonder dat u een aanvraag voor MFA hoeft uit te dagen, raden we u aan om de aanmeldingsactiviteit te bekijken. Via Microsoft Entra ID P1 of P2 kunt u het aanmeldingsrapport gebruiken. Zie activiteitenrapporten voor aanmelden in het Microsoft Entra-beheercentrum voor meer informatie over dit onderwerp. Als u geen Microsoft Entra ID P1 of P2 hebt of als u op zoek bent naar een manier om deze aanmeldingsactiviteit te verkrijgen via PowerShell, moet u de cmdlet Get-PartnerUserSignActivity gebruiken vanuit de PowerShell-module partnercentrum.

Hoe de vereisten worden afgedwongen

Als de organisatie van uw partner eerder een uitzondering voor MFA heeft gekregen, moeten gebruikers die klanttenants beheren als onderdeel van het CSP-programma Microsoft MFA-vereisten hebben ingeschakeld vóór 1 maart 2022. Als u niet voldoet aan de MFA-vereisten, kan dit leiden tot verlies van toegang tot de tenant van de klant.

Beveiligingsvereisten voor partners worden afgedwongen door Microsoft Entra-id, en op zijn beurt partnercentrum, door te controleren op de aanwezigheid van de MFA-claim om te identificeren dat MFA-verificatie heeft plaatsgevonden. Sinds 18 november 2019 heeft Microsoft meer beveiligingsmaatregelen (voorheen 'technische handhaving' genoemd) geactiveerd voor partnertenants.

Bij activering worden gebruikers in de partnertenant gevraagd om MFA-verificatie te voltooien wanneer ze namens (AOBO) bewerkingen uitvoeren, toegang krijgen tot het Partnercentrum of partnercentrum-API's aanroepen. Zie MFA (Multifactor Authentication) voor uw partnertenant voor meer informatie.

Partners die niet aan de vereisten voldoen, moeten deze maatregelen zo snel mogelijk implementeren om bedrijfsonderbrekingen te voorkomen. Als u microsoft Entra-verificatie of de standaardinstellingen voor Microsoft Entra-beveiliging gebruikt, hoeft u geen andere acties uit te voeren.

Als u een MFA-oplossing van derden gebruikt, is er een kans dat de MFA-claim mogelijk niet wordt uitgegeven. Als deze claim ontbreekt, kan de Microsoft Entra-id niet bepalen of de verificatieaanvraag is aangeroepen door MFA. Lees Het testen van de beveiligingsvereisten van de partner voor informatie over het controleren of uw oplossing de verwachte claim uitgeeft.

Belangrijk

Als uw oplossing van derden de verwachte claim niet uitgeeft, moet u samenwerken met de leverancier die de oplossing heeft ontwikkeld om te bepalen welke acties moeten worden uitgevoerd.

Resources en voorbeelden

Zie de volgende bronnen voor ondersteuning en voorbeeldcode:

Volgende stappen