Najlepsze praktyki w zakresie zabezpieczeń dostawcy CSP

Wszyscy partnerzy w programie Dostawca rozwiązań w chmurze (CSP) uzyskują dostęp do Centrum partnerskiego i interfejsów API Centrum partnerskiego, powinni postępować zgodnie ze wskazówkami dotyczącymi zabezpieczeń w tym artykule, aby chronić siebie i klientów.

Aby uzyskać informacje o zabezpieczeniach klientów, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń klientów.

Ważne

Usługa Azure Active Directory (Azure AD) Graph jest przestarzała od 30 czerwca 2023 r. W przyszłości nie dokonujemy dalszych inwestycji w usłudze Azure AD Graph. Interfejsy API programu Graph usługi Azure AD nie mają umowy SLA ani zobowiązania do konserwacji poza poprawkami związanymi z zabezpieczeniami. Inwestycje w nowe funkcje i funkcje zostaną dokonane tylko w programie Microsoft Graph.

Wycofamy program Azure AD Graph w krokach przyrostowych, aby mieć wystarczający czas na migrację aplikacji do interfejsów API programu Microsoft Graph. W późniejszym terminie ogłosimy, że zablokujemy tworzenie nowych aplikacji przy użyciu usługi Azure AD Graph.

Aby dowiedzieć się więcej, zobacz Ważne: wycofanie programu Azure AD Graph i wycofanie modułu powershell.

Zdecydowanie zalecane kroki w dzierżawach

• Dodaj kontakt zabezpieczeń dla powiadomień o problemach związanych z zabezpieczeniami w dzierżawie Centrum partnerskiego.
• Sprawdź wskaźnik bezpieczeństwa tożsamości w identyfikatorze Entra firmy Microsoft i podejmij odpowiednie działania, aby podnieść swój wynik.
• Przejrzyj i zaimplementuj wskazówki opisane w temacie Zarządzanie płatnościami, oszustwami lub nieprawidłowym użyciem.
• Zapoznaj się z aktorem zagrożenia NOBLA i powiązanymi materiałami:
  • NOBELIUM skierowane do delegowanych uprawnień administracyjnych w celu ułatwienia szerszych ataków
  • Szkolenie odpowiedzi NOBLA
  • Zabezpieczanie kanału: Podróż do zera zaufania

Najlepsze rozwiązania dotyczące tożsamości

Wymaganie uwierzytelniania wieloskładnikowego

• Upewnij się, że wszyscy użytkownicy w dzierżawach Centrum partnerskiego i dzierżawcy klienta są zarejestrowani i wymagają uwierzytelniania wieloskładnikowego (MFA). Istnieją różne sposoby konfigurowania uwierzytelniania wieloskładnikowego. Wybierz metodę, która ma zastosowanie do konfigurowanej dzierżawy:
  • Moja dzierżawa Centrum partnerskiego/Klienta ma identyfikator Microsoft Entra ID P1
    • Użyj dostępu warunkowego, aby wymusić uwierzytelnianie wieloskładnikowe.
  • Moja dzierżawa Centrum partnerskiego/klienta ma identyfikator Entra ID P2 firmy Microsoft
    • Użyj dostępu warunkowego, aby wymusić uwierzytelnianie wieloskładnikowe.
    • Zaimplementuj zasady oparte na ryzyku przy użyciu Ochrona tożsamości Microsoft Entra.
    • W przypadku dzierżawy Centrum partnerskiego możesz kwalifikować się do korzystania z platformy Microsoft 365 E3 lub E5, w zależności od korzyści z praw do użytku wewnętrznego (IUR). Te jednostki SKU obejmują odpowiednio identyfikator Microsoft Entra ID P1 lub 2.
    • W przypadku dzierżawy klienta zalecamy włączenie domyślnych ustawień zabezpieczeń.
      • Jeśli klient korzysta z aplikacji, które wymagają starszego uwierzytelniania, te aplikacje nie będą działać po włączeniu ustawień domyślnych zabezpieczeń. Jeśli nie można zamienić, usunąć ani zaktualizować aplikacji w celu korzystania z nowoczesnego uwierzytelniania, możesz wymusić uwierzytelnianie wieloskładnikowe za pośrednictwem uwierzytelniania wieloskładnikowego dla użytkownika.
      • Możesz monitorować i wymuszać użycie ustawień domyślnych zabezpieczeń klienta przy użyciu następującego wywołania interfejsu API programu Graph:
        • identitySecurityDefaultsEnforcementPolicy typ zasobu — Microsoft Graph w wersji 1.0 | Microsoft Learn
• Upewnij się, że użyta metoda uwierzytelniania wieloskładnikowego jest odporna na wyłudzanie informacji. Można to zrobić przy użyciu uwierzytelniania bez hasła lub dopasowania numerów.
• Jeśli klient nie chce korzystać z uwierzytelniania wieloskładnikowego, nie udostępniaj im ani żadnego dostępu administratora do identyfikatora Entra firmy Microsoft, ani uprawnień do zapisu w subskrypcjach platformy Azure.

Dostęp do aplikacji

• Wdrażanie platformy Secure Application Model. Wszyscy partnerzy integrujący się z interfejsami API Centrum partnerskiego muszą przyjąć strukturę Secure Application Model dla wszystkich aplikacji i aplikacji modelu uwierzytelniania użytkownika.
• Wyłącz zgodę użytkownika w Centrum partnerskim Dzierżawy firmy Microsoft lub użyj przepływu pracy zgody administratora.

Najmniej uprzywilejowane / brak stałego dostępu

• Użytkownicy, którzy mają wbudowane role firmy Microsoft Entra, nie powinni regularnie używać tych kont na potrzeby poczty e-mail i współpracy. Utwórz oddzielne konto użytkownika bez ról administracyjnych firmy Microsoft w celu wykonywania zadań współpracy.
• Przejrzyj grupę agentów administracyjnych i usuń osoby, które nie potrzebują dostępu.
• Regularnie przeglądać dostęp do roli administracyjnej w identyfikatorze Entra firmy Microsoft i ograniczać dostęp do jak najmniejszej liczby kont. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.
• Użytkownicy, którzy opuszczają firmę lub zmieniają role w firmie, powinni zostać usunięci z dostępu do Centrum partnerskiego.
• Jeśli masz identyfikator P2 firmy Microsoft Entra, użyj usługi Privileged Identity Management (PIM), aby wymusić dostęp just in time (JIT). Użyj podwójnego nadzoru, aby przejrzeć i zatwierdzić dostęp dla ról administratora firmy Microsoft Entra i ról Centrum partnerskiego.
• Aby uzyskać informacje na temat zabezpieczania ról uprzywilejowanych, zobacz Zabezpieczanie uprzywilejowanego dostępu — omówienie.
• Regularnie przeglądać dostęp do środowisk klientów.
  • Usuń nieaktywne uprawnienia administracji delegowanej (DAP).
  • GDAP — często zadawane pytania.
  • Upewnij się, że relacje GDAP korzystają z ról z najmniejszymi wymaganymi uprawnieniami.

Izolacja tożsamości

• Unikaj hostowania wystąpienia Centrum partnerskiego w tej samej dzierżawie firmy Microsoft Entra, która hostuje wewnętrzne usługi IT, takie jak poczta e-mail i narzędzia do współpracy.
• Używaj oddzielnych, dedykowanych kont użytkowników uprzywilejowanych w Centrum partnerskim, którzy mają dostęp do klienta.
• Unikaj tworzenia kont użytkowników w dzierżawach firmy Microsoft Entra, które mają być używane przez partnerów do administrowania dzierżawą klienta i powiązanymi aplikacjami i usługami.

Najlepsze rozwiązania dotyczące urządzeń

• Zezwalaj na dostęp do Centrum partnerskiego i dzierżawy klienta tylko z zarejestrowanych stacji roboczych w dobrej kondycji, które mają zarządzane punkty odniesienia zabezpieczeń i są monitorowane pod kątem zagrożeń bezpieczeństwa.
• W przypadku użytkowników Centrum partnerskiego z uprzywilejowanym dostępem do środowisk klienta należy rozważyć wymaganie dedykowanych stacji roboczych (wirtualnych lub fizycznych) dla tych użytkowników w celu uzyskania dostępu do środowisk klienta. Aby uzyskać więcej informacji, zobacz Zabezpieczanie uprzywilejowanego dostępu.

Najlepsze rozwiązania w zakresie monitorowania

Interfejsy API Centrum partnerskiego

• Wszyscy dostawcy Panel sterowania powinni włączyć bezpieczny model aplikacji i włączyć rejestrowanie dla każdej aktywności użytkownika.
• Panel sterowania dostawcy powinni włączyć inspekcję każdego agenta partnera logując się do aplikacji i wszystkie podjęte akcje.

Monitorowanie i inspekcja logowania

• Partnerzy z licencją entra ID P2 firmy Microsoft automatycznie kwalifikują się do zachowania inspekcji i danych dziennika logowania do 30 dni.

  Potwierdź, że:

  • Rejestrowanie inspekcji odbywa się w miejscu, w którym są używane delegowane konta administratora.
  • Dzienniki przechwytują maksymalny poziom szczegółów udostępnianych przez usługę.
  • Dzienniki są zachowywane przez akceptowalny okres (do 30 dni), który umożliwia wykrywanie nietypowych działań.

  Szczegółowe rejestrowanie inspekcji może wymagać zakupu większej liczby usług. Aby uzyskać więcej informacji, zobacz Jak długo dane raportowania magazynu identyfikatorów entra firmy Microsoft?

• Regularnie sprawdzaj i weryfikuj adresy e-mail odzyskiwania haseł i numery telefonów w ramach identyfikatora Entra firmy Microsoft dla wszystkich użytkowników z uprzywilejowanymi rolami administratora entra i w razie potrzeby aktualizuj je.

  • W przypadku naruszenia zabezpieczeń dzierżawy klienta: partner CSP Direct Bill Partner, dostawca pośredni lub odsprzedawca pośredni nie może skontaktować się z pomocą techniczną żądającą zmiany hasła administratora w dzierżawie klienta. Klient musi zadzwonić do działu pomocy technicznej firmy Microsoft, postępując zgodnie z instrukcjami w temacie Resetowanie hasła administratora. Temat Resetowanie hasła administratora zawiera link, którego klienci mogą używać do wywoływania pomoc techniczna firmy Microsoft. Poproś klienta, aby wspomniał, że dostawca CSP nie ma już dostępu do swojej dzierżawy, aby pomóc w zresetowaniu hasła. Dostawca CSP powinien rozważyć zawieszenie subskrypcji klienta do momentu odzyskania dostępu i usunięcia stron naruszających prawa.

• Zaimplementuj najlepsze rozwiązania dotyczące rejestrowania inspekcji i wykonaj rutynowy przegląd działań wykonywanych przez delegowane konta administratora.

  • Czym są raporty Microsoft Entra?
  • Analizowanie dzienników aktywności przy użyciu dzienników usługi Azure Monitor
  • Dokumentacja działań inspekcji firmy Microsoft Entra

• Partnerzy powinni przejrzeć raport ryzykownych użytkowników w swoim środowisku i rozwiązać problem z kontami wykrytymi w celu wystąpienia ryzyka zgodnie z opublikowanymi wskazówkami.

  • Korygowanie zagrożeń i odblokowywanie użytkowników
  • Środowiska użytkownika z Ochrona tożsamości Microsoft Entra

Powiązane materiały

• Aby uzyskać najlepsze rozwiązania dotyczące zarządzania jednostkami usługi, zobacz Zabezpieczanie jednostek usługi w identyfikatorze Entra firmy Microsoft.
• Wymagania dotyczące zabezpieczeń partnerów
• Wytyczne dotyczące zerowej relacji zaufania
• Najlepsze rozwiązania dotyczące zabezpieczeń klientów