Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
juiste rollen: alle partnercentrumgebruikers
Als adviseur, configuratieschermleverancier of CSP-partner (Cloud Solution Provider) moet u beslissingen nemen met betrekking tot verificatieopties en andere beveiligingsoverwegingen.
Privacybescherming en -beveiliging voor u en uw klanten behoren tot onze hoogste prioriteiten. We weten dat de beste verdediging preventie is en dat we slechts zo sterk zijn als onze zwakste link. We hebben iedereen in ons ecosysteem nodig om ervoor te zorgen dat er passende beveiligingsmaatregelen zijn.
Verplichte beveiligingsvereisten
Met het CSP-programma kunnen klanten Microsoft-producten en -services kopen via partners. In overeenstemming met hun overeenkomst met Microsoft moeten partners de omgeving beheren en ondersteuning bieden aan de klanten aan wie ze verkopen.
Klanten die via dit kanaal kopen, vertrouwen in u als partner omdat u beheerderstoegang met hoge bevoegdheden hebt tot de tenant van de klant.
Partners die de verplichte beveiligingsvereisten niet implementeren, kunnen geen transacties uitvoeren in het CSP-programma. Ze kunnen ook geen klanttenants beheren die gebruikmaken van gedelegeerde beheerdersrechten. Bovendien kunnen partners die de beveiligingsvereisten niet implementeren, hun deelname aan programma's in gevaar brengen.
De voorwaarden die aan de beveiligingsvereisten van de partner zijn gekoppeld, worden toegevoegd aan de Microsoft Partner-overeenkomst. De Microsoft Partner-overeenkomst (MPA) wordt periodiek bijgewerkt en Microsoft raadt aan dat alle partners regelmatig terugkomen. In verband met adviseurs gelden dezelfde contractuele vereisten.
Alle partners moeten voldoen aan best practices voor beveiliging zodat ze partner- en klantomgevingen kunnen beveiligen. Met deze aanbevolen procedures kunt u beveiligingsproblemen beperken, beveiligings escalaties herstellen en ervoor zorgen dat het vertrouwen van uw klanten niet wordt aangetast.
Om u en uw klanten te beschermen, moet u de volgende acties onmiddellijk uitvoeren:
MFA inschakelen voor alle gebruikersaccounts in uw partnertenant
U moet meervoudige verificatie (MFA) afdwingen voor alle gebruikersaccounts in uw partnertenants. MFA daagt gebruikers uit wanneer ze:
- Meld u aan bij commerciële Microsoft-cloudservices.
- Transact in het Cloud Solution Provider-programma via partnercentrum.
- Transacties via API's.
MFA-afdwinging volgt deze richtlijnen:
- Partners die door Microsoft ondersteunde Microsoft Entra-verificatie met meerdere factoren gebruiken. Zie Meerdere manieren om meervoudige verificatie van Microsoft Entra in te schakelenvoor meer informatie.
- Partner die niet-Microsoft MFA heeft geïmplementeerd en deel uitmaakt van de uitzonderingslijst. Ze hebben nog steeds toegang tot partnercentrum en API's met uitzonderingen, maar kunnen klanten niet beheren met DAP/GDAP. Geen uitzonderingen.
- De organisatie van de partner die eerder een uitzondering voor MFA heeft gekregen. Als een partnerorganisatie een uitzondering voor MFA heeft gekregen, worden de uitzonderingen alleen gehonoreerd als de gebruikers die klanttenants beheren als onderdeel van het Cloud Solution Provider-programma deze vóór 1 maart 2022 hebben ingeschakeld. Niet voldoen aan de MFA-vereisten kan leiden tot verlies van toegang tot de tenant van de klant.
Voor meer informatie, zie Meervoudige verificatie voor uw partnertenant inschakelen.
Het framework Secure Application Model gebruiken
Alle partners die integreren met partnercentrum-API's moeten het Secure Application Model-framework gebruiken voor apps en gebruikersverificatiemodeltoepassingen.
Belangrijk
We raden partners ten zeerste aan om het Secure Application Model te implementeren om te integreren met een Microsoft-API, zoals Azure Resource Manager of Microsoft Graph. Bovendien moeten partners het Secure Application Model implementeren wanneer ze gebruikmaken van automatisering, zoals PowerShell met behulp van klantreferenties, om onderbrekingen te voorkomen wanneer ze MFA afdwingen.
Deze beveiligingsvereisten helpen uw infrastructuur te beschermen en de gegevens van uw klanten te beschermen tegen mogelijke beveiligingsrisico's, zoals diefstal of andere fraudeincidenten identificeren.
Andere beveiligingsvereisten
Klanten vertrouwen u als partner om toegevoegde waardeservices te bieden. Het is belangrijk dat u alle beveiligingsmaatregelen neemt om het vertrouwen van de klant en uw reputatie als partner te beschermen.
Microsoft blijft handhavingsmaatregelen toevoegen, zodat partners zich moeten houden aan en prioriteit moeten geven aan de beveiliging van hun klanten. Deze beveiligingsvereisten helpen uw infrastructuur te beschermen en de gegevens van uw klanten te beschermen tegen mogelijke beveiligingsrisico's, zoals diefstal of andere fraudeincidenten identificeren.
Partners moeten ervoor zorgen dat ze de principes van Zero Trust aannemen, zoals beschreven in de volgende secties.
Gedelegeerde beheerdersbevoegdheden
Gedelegeerde beheerdersbevoegdheden (DAP) bieden de mogelijkheid om namens hen de service of het abonnement van een klant te beheren. De klant moet de partner beheerdersmachtigingen verlenen voor die service. Omdat de bevoegdheden die aan de partner zijn verleend voor het beheren van de klant, hoog verhoogd zijn, raadt Microsoft partners aan om inactieve DAPs te verwijderen. Partners die de tenant van de klant beheren met gedelegeerde beheerdersbevoegdheden, moeten inactieve DAP verwijderen uit het Partnercentrum om gevolgen voor de tenant van de klant en hun assets te voorkomen.
Zie voor meer informatie de Beheerrelaties bewaken en selfservice DAP verwijderen handleiding, de gedelegeerde beheerbevoegdheden FAQ en de NOBELIUM gericht op gedelegeerde beheerdersbevoegdheden gids.
DAP wordt ook binnenkort afgeschaft. We raden alle partners die actief gebruikmaken van DAP sterk aan zich te richten op het overstappen naar een model van het minst mogelijke bevoegdheden Granulaire Gedelegeerde Beheerdersbevoegdheden om de tenants van hun klanten veilig te beheren.
Overstappen op rollen met minimale bevoegdheden om uw klanttenants te beheren
Omdat DAP binnenkort wordt afgeschaft, raadt Microsoft u ten zeerste aan om over te stappen van het huidige DAP-model, waardoor beheerdersagenten permanente of permanente globale beheerderstoegang krijgen. Vervang het door een fijnmazig gedelegeerd toegangsmodel. Het verfijnde gedelegeerde toegangsmodel vermindert beveiligingsrisico's voor klanten en de effecten van deze risico's. Het biedt u ook controle en flexibiliteit om de toegang per klant te beperken op het workloadniveau van uw werknemers die de services en omgevingen van uw klanten beheren.
Zie voor meer informatie het overzicht Gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP), informatie over rollen met minimale bevoegdhedenen de veelgestelde vragen GDAP
Let op Azure-fraudemeldingen
Als partner in het CSP-programma bent u verantwoordelijk voor het Azure-verbruik van uw klant, dus het is belangrijk dat u op de hoogte bent van mogelijke cryptovaluta-mijnbouwactiviteiten in de Azure-abonnementen van uw klanten. Dit bewustzijn helpt u onmiddellijk actie te ondernemen om te bepalen of het gedrag legitiem of frauduleus is. Indien nodig kunt u de betrokken Azure-resources of het Azure-abonnement onderbreken om het probleem te verhelpen.
Zie Azure-fraudedetectie en -meldingenvoor meer informatie.
Registreren voor Microsoft Entra ID P2
Alle beheerdersagenten in de CSP-tenant moeten hun cyberbeveiliging versterken door Microsoft Entra ID P2te implementeren en te profiteren van de verschillende mogelijkheden om uw CSP-tenant te versterken. Microsoft Entra ID P2 biedt uitgebreide toegang tot aanmeldingslogboeken en Premium-functies zoals Microsoft Entra Privileged Identity Management (PIM) en mogelijkheden voor voorwaardelijke toegang op basis van risico's om de beveiligingsmaatregelen te versterken.
Voldoen aan best practices voor CSP-beveiliging
Het is belangrijk om alle aanbevolen CSP-procedures voor beveiliging te volgen. Lees meer over beveiligingsbest practices van cloud solution provider.
Meervoudige verificatie implementeren
Als u wilt voldoen aan de beveiligingsvereisten van de partner, moet u MFA implementeren en afdwingen voor elk gebruikersaccount in uw partnertenant. U kunt dit op een van de volgende manieren doen:
- Implementeer Standaardinstellingen voor Microsoft Entra-beveiliging. Zie meer in de volgende sectie, standaardinstellingen voor beveiliging.
- Koop Microsoft Entra ID P1 of P2 voor elk gebruikersaccount. Voor meer informatie, zie Plan een implementatie van Microsoft Entra voor meervoudige verificatie.
Standaardinstellingen voor beveiliging
Een van de opties die partners kunnen gebruiken om MFA-vereisten te implementeren, is het inschakelen van standaardinstellingen voor beveiliging in Microsoft Entra ID. Beveiligingsstandaarden bieden een basisniveau van beveiliging zonder extra kosten. Lees hoe u MFA inschakelt voor uw organisatie met Microsoft Entra-id. Hier volgen enkele belangrijke overwegingen voordat u de standaardinstellingen voor beveiliging inschakelt.
- Partners die al basislijnbeleid hebben aangenomen, moeten actie ondernemen om over te stappen op standaardinstellingen voor beveiliging.
- Standaardinstellingen voor beveiliging zijn de vervanging voor de preview-basislijnbeleid in de fase van algemene beschikbaarheid. Nadat een partner de standaardinstellingen voor beveiliging heeft ingeschakeld, kunnen ze geen basislijnbeleid inschakelen.
- Beleidsregels voor standaardinstellingen voor beveiliging worden in één keer ingeschakeld.
- Partners die gebruikmaken van voorwaardelijke toegang, kunnen standaardinstellingen voor beveiliging niet gebruiken.
- Verouderde verificatieprotocollen worden geblokkeerd.
- Het Microsoft Entra Connect-synchronisatieaccount wordt uitgesloten van de standaardinstellingen voor beveiliging en wordt niet gevraagd om zich te registreren voor of meervoudige verificatie uit te voeren. Organisaties mogen dit account niet gebruiken voor andere doeleinden.
Zie Overzicht van Microsoft Entra multifactor-authenticatie voor uw organisatie en Wat zijn beveiligingsstandaardinstellingen?.
Notitie
Standaardinstellingen voor Microsoft Entra-beveiliging vertegenwoordigen de vereenvoudigde evolutie van de basisbeschermingsregels. Als u het beveiligingsbeleid voor de basislijn al hebt ingeschakeld, wordt het ten zeerste aanbevolen om standaardinstellingen voor beveiliging in te schakelen.
Veelgestelde vragen over implementatie (FAQ)
Omdat deze vereisten van toepassing zijn op alle gebruikersaccounts in uw partnertenant, moet u rekening houden met verschillende dingen om een soepele implementatie te garanderen. Identificeer bijvoorbeeld gebruikersaccounts in Microsoft Entra-id die geen MFA kunnen uitvoeren en toepassingen en apparaten in uw organisatie die geen ondersteuning bieden voor moderne verificatie.
Voordat u een actie uitvoert, raden we u aan de volgende validaties uit te voeren.
Hebt u een toepassing of apparaat dat het gebruik van moderne verificatie niet ondersteunt?
Wanneer u MFA afdwingt, worden verouderde verificaties die gebruikmaken van IMAP, POP3, SMTP, protocollen geblokkeerd. Dit komt doordat deze protocollen geen ondersteuning bieden voor MFA. Als u deze beperking wilt corrigeren, gebruikt u de app-wachtwoorden functie om ervoor te zorgen dat de toepassing of het apparaat nog steeds wordt geverifieerd. Bekijk Overwegingen voor het gebruik van app-wachtwoorden om te bepalen of u deze in uw omgeving kunt gebruiken.
Hebt u Office 365-gebruikers met licenties die zijn gekoppeld aan uw partnertenant?
Voordat u een oplossing implementeert, raden we u aan te bepalen welke versies van Microsoft Office de gebruikers in uw partnertenant gebruiken. Er is een kans dat uw gebruikers verbindingsproblemen kunnen ondervinden met toepassingen zoals Outlook. Voordat u MFA afdwingt, is het belangrijk dat u Outlook 2013 SP1 of hoger gebruikt en dat moderne verificatie is ingeschakeld voor uw organisatie. Zie Moderne verificatie inschakelen in Exchange Onlinevoor meer informatie.
Als u moderne verificatie wilt inschakelen voor apparaten met Windows en Waarop Microsoft Office 2013 is geïnstalleerd, moet u twee registersleutels maken. Zie Moderne verificatie inschakelen voor Office 2013 op Windows-apparaten.
Is er een beleid dat verhindert dat uw gebruikers hun mobiele apparaten gebruiken terwijl ze werken?
Het is belangrijk om elk bedrijfsbeleid te identificeren dat voorkomt dat werknemers mobiele apparaten gebruiken terwijl ze werken, omdat dit van invloed is op de MFA-oplossing die u implementeert. Er zijn oplossingen, zoals de oplossing die wordt geboden door de implementatie van Standaardinstellingen voor Microsoft Entra-beveiliging, die alleen het gebruik van een authenticator-app toestaan voor verificatie. Als uw organisatie een beleid heeft dat het gebruik van mobiele apparaten verhindert, kunt u een van de volgende opties overwegen:
- Implementeer een op tijd gebaseerde TOTP-toepassing (One-Time Base Password) die op een beveiligd systeem kan worden uitgevoerd.
Welke automatisering of integratie heeft u om gebruikersgegevens te authenticeren?
MFA-afdwinging voor gebruikers, inclusief serviceaccounts, in uw partnerdirectory, kan van invloed zijn op automatisering of integratie die gebruikersreferenties gebruikt voor verificatie. Het is dus belangrijk om te bepalen welke accounts in deze situaties worden gebruikt. Bekijk de volgende lijst met voorbeeldtoepassingen of -services die u kunt overwegen:
- Gebruik een configuratiescherm om resources namens uw klanten voor te bereiden.
- Integreer met elk platform dat facturen kan opstellen en betrekking heeft op het CSP-programma, en uw klanten ondersteunt.
- Gebruik PowerShell-scripts die gebruikmaken van de Az-cmdlets, AzureRM, Microsoft Graph PowerShellen andere modules.
Deze lijst is niet volledig, dus het is belangrijk om een volledige evaluatie uit te voeren van een toepassing of service in uw omgeving die gebruikmaakt van gebruikersreferenties voor verificatie. Als u wilt voldoen aan de vereiste voor MFA, gebruikt u waar mogelijk de richtlijnen in het framework Secure Application Model.
Toegang tot uw omgeving
Als u meer inzicht wilt krijgen in wat of wie zich verifieert zonder MFA-uitdaging, raden we u aan om de aanmeldingsactiviteit te controleren. Via Microsoft Entra ID P1 of P2 kunt u het aanmeldingsrapport gebruiken. Zie aanmeldactiviteitenrapporten in het Microsoft Entra-beheercentrumvoor meer informatie. Als u geen Microsoft Entra ID P1 of P2 hebt of als u een manier nodig hebt om aanmeldingsactiviteiten via PowerShell op te halen, gebruikt u de cmdlet Get-PartnerUserSignActivity uit de PowerShell--module van het Partnercentrum.
Hoe de vereisten worden afgedwongen
Als een partnerorganisatie een uitzondering voor MFA heeft gekregen, worden de uitzonderingen alleen gehonoreerd als de gebruikers die klanttenants beheren als onderdeel van het Cloud Solution Provider-programma deze vóór 1 maart 2022 hebben ingeschakeld. Niet voldoen aan de MFA-vereisten kan leiden tot verlies van toegang tot de tenant van de klant.
Microsoft Entra ID en partnercentrum dwingen beveiligingsvereisten voor partners af door te controleren op de aanwezigheid van de MFA-claim om te identificeren dat MFA-verificatie plaatsvindt. Vanaf 18 november 2019 heeft Microsoft meer beveiligingsmaatregelen geactiveerd, voorheen 'technische afdwinging' genoemd voor partnertenants.
Op het moment van activering worden gebruikers in de partnertenant gevraagd om MFA-verificatie te voltooien wanneer ze namens (AOBO) bewerkingen uitvoeren. Gebruikers moeten ook MFA-verificatie voltooien wanneer ze toegang hebben tot het Partnercentrum of partnercentrum-API's aanroepen. Voor meer informatie, zie Verplicht meervoudige verificatie voor uw partnertenant.
Partners die niet aan de vereisten voldoen, moeten deze maatregelen zo snel mogelijk implementeren om bedrijfsonderbrekingen te voorkomen. Als u Microsoft Entra-verificatie of de standaardinstellingen voor Microsoft Entra-beveiliging gebruikt, hoeft u geen andere acties uit te voeren.
Als u een niet-Microsoft MFA-oplossing gebruikt, bestaat de kans dat de MFA-claim mogelijk niet wordt uitgegeven. Wanneer de claim ontbreekt, kan Microsoft Entra ID niet bepalen of MFA een uitdaging vormt voor de verificatieaanvraag. Voor informatie over hoe te verifiëren dat uw oplossing de verwachte claim uitgeeft, zie Beveiligingsvereisten voor partners testen.
Belangrijk
Als uw niet-Microsoft-oplossing de verwachte claim niet uitgeeft, neemt u contact op met de leverancier die de oplossing heeft ontwikkeld om te bepalen welke acties moeten worden ondernomen.
Middelen en voorbeelden
Zie de volgende bronnen voor ondersteuning en voorbeeldcode:
- Beveiligingsrichtlijnengroep Community van het Partnercentrum: De Beveiligingsrichtlijnengroep van het Partnercentrum is een onlinecommunity waar u meer kunt leren over toekomstige evenementen en uw vragen kunt stellen.
- Partner center .NET-voorbeelden: deze GitHub-opslagplaats bevat voorbeelden die zijn ontwikkeld met behulp van .NET, die laten zien hoe u het Framework Secure Application Model kunt implementeren.
- Java-voorbeelden van partnercentrum: deze GitHub-opslagplaats bevat voorbeelden die zijn ontwikkeld met behulp van Java, waarmee wordt gedemonstreerd hoe u het framework secure application model kunt implementeren.
- Partner center PowerShell - meervoudige verificatie: dit artikel over meervoudige verificatie bevat informatie over het implementeren van het framework Secure Application Model met behulp van PowerShell.
- functies en licenties voor meervoudige verificatie van Microsoft Entra
- Plan een Microsoft Entra multifactorauthenticatie-implementatie
- De beveiligingsvereisten van de partner testen met behulp van PowerShell