Udostępnij za pośrednictwem


Wymagania dotyczące zabezpieczeń dotyczące korzystania z Centrum partnerskiego lub interfejsów API Centrum partnerskiego

Odpowiednie role: wszyscy użytkownicy Centrum partnerskiego

Jako doradca, dostawca panelu sterowania lub partner Dostawca rozwiązań w chmurze (CSP) podejmujesz decyzje dotyczące opcji uwierzytelniania i innych zagadnień dotyczących zabezpieczeń.

Zabezpieczenia prywatności i bezpieczeństwo dla Ciebie i Twoich klientów należą do naszych najważniejszych priorytetów. Wiemy, że najlepszą obroną jest zapobieganie i że jesteśmy tylko tak silni, jak nasz najsłabszy związek. Dlatego potrzebujemy wszystkich w naszym ekosystemie, aby zapewnić odpowiednie zabezpieczenia.

Obowiązkowe wymagania dotyczące zabezpieczeń

Program CSP umożliwia klientom kupowanie produktów i usług firmy Microsoft za pośrednictwem partnerów. Zgodnie z umową z firmą Microsoft partnerzy są zobowiązani do zarządzania środowiskiem i zapewnienia pomocy technicznej klientom, do których sprzedają.

Klienci, którzy kupują za pośrednictwem tego kanału, umieszczają w Tobie zaufanie jako partner, ponieważ masz dostęp administratora o wysokim poziomie uprawnień do dzierżawy klienta.

Partnerzy, którzy nie implementują obowiązkowych wymagań dotyczących zabezpieczeń, nie będą mogli przeprowadzić transakcji w programie CSP ani zarządzać dzierżawami klientów przy użyciu delegowanych praw administratora. Ponadto partnerzy, którzy nie implementują wymagań dotyczących zabezpieczeń, mogą narażać ich udział w programach.

Warunki skojarzone z wymaganiami dotyczącymi zabezpieczeń partnerów zostały dodane do umowy partnerskiej firmy Microsoft. Umowa Microsoft Partner Agreement (MPA) jest okresowo aktualizowana, a firma Microsoft zaleca regularne sprawdzanie wszystkich partnerów. W odniesieniu do doradców obowiązują te same wymagania umowne.

Wszyscy partnerzy są zobowiązani do przestrzegania najlepszych rozwiązań w zakresie zabezpieczeń, aby mogli zabezpieczyć środowiska partnerów i klientów. Przestrzeganie tych najlepszych rozwiązań pomaga wyeliminować problemy z zabezpieczeniami i skorygować eskalacje zabezpieczeń, zapewniając, że zaufanie klienta nie zostanie naruszone.

Aby chronić Ciebie i Twoich klientów, wymagamy, aby partnerzy natychmiast wykonali następujące czynności:

Włączanie uwierzytelniania wieloskładnikowego dla wszystkich kont użytkowników w dzierżawie partnera

Musisz wymusić uwierzytelnianie wieloskładnikowe na wszystkich kontach użytkowników w dzierżawach partnerów. Użytkownicy muszą zostać zakwestionowani przez uwierzytelnianie wieloskładnikowe podczas logowania się do komercyjnych usług w chmurze firmy Microsoft lub transakcji w programie Dostawca rozwiązań w chmurze za pośrednictwem Centrum partnerskiego lub za pośrednictwem interfejsów API.

Wymuszanie uwierzytelniania wieloskładnikowego jest zgodne z następującymi wytycznymi:

  • Partnerzy korzystający z uwierzytelniania wieloskładnikowego obsługiwanego przez firmę Microsoft firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wiele sposobów włączania uwierzytelniania wieloskładnikowego firmy Microsoft (obsługiwane uwierzytelnianie wieloskładnikowe)
  • Partner, który zaimplementował dowolną usługę MFA innej firmy i część listy wyjątków, nadal może uzyskać dostęp do Centrum partnerskiego i interfejsów API z wyjątkami, ale nie może zarządzać klientem przy użyciu języka DAP/GDAP (bez dozwolonych wyjątków)
  • Jeśli organizacja partnera została wcześniej udzielona wyjątek dla uwierzytelniania wieloskładnikowego, użytkownicy, którzy zarządzają dzierżawami klientów w ramach programu CSP, muszą włączyć wymagania uwierzytelniania wieloskładnikowego firmy Microsoft przed 1 marca 2022 r. Brak zgodności z wymaganiami uwierzytelniania wieloskładnikowego może spowodować utratę dostępu do dzierżawy klienta.
  • Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego (MFA) dla dzierżawy partnera.

Wdrożenie struktury modelu zabezpieczeń aplikacji

Wszyscy partnerzy integrujący się z interfejsami API Centrum partnerskiego muszą przyjąć strukturę Secure Application Model dla wszystkich aplikacji i aplikacji modelu uwierzytelniania użytkownika.

Ważne

Zdecydowanie zalecamy, aby partnerzy implementowali model bezpiecznej aplikacji na potrzeby integracji z interfejsem API firmy Microsoft, takim jak usługa Azure Resource Manager lub microsoft Graph, lub w przypadku korzystania z automatyzacji, takiej jak program PowerShell przy użyciu poświadczeń użytkownika, aby uniknąć zakłóceń w wymuszaniu uwierzytelniania wieloskładnikowego.

Te wymagania dotyczące zabezpieczeń pomagają chronić infrastrukturę i chronić dane klientów przed potencjalnymi zagrożeniami bezpieczeństwa, takimi jak identyfikowanie kradzieży lub innych zdarzeń oszustwa.

Inne wymagania dotyczące zabezpieczeń

Klienci ufają Tobie, jako partnerowi, aby zapewnić usługi dodane do wartości. Konieczne jest podjęcie wszystkich środków bezpieczeństwa w celu ochrony zaufania klienta i reputacji partnera.

Firma Microsoft nadal dodaje środki wymuszania, aby wszyscy partnerzy musieli przestrzegać i określać priorytety bezpieczeństwa swoich klientów. Te wymagania dotyczące zabezpieczeń pomagają chronić infrastrukturę i chronić dane klientów przed potencjalnymi zagrożeniami bezpieczeństwa, takimi jak identyfikowanie kradzieży lub innych zdarzeń związanych z oszustwami.

Partner jest odpowiedzialny za zapewnienie, że przyjmuje zasady zerowego zaufania, w szczególności następujące.

Delegowane uprawnienia administratora (DAP)

Delegowane uprawnienia administratora (DAP) umożliwiają zarządzanie usługą lub subskrypcją klienta w ich imieniu. Klient musi przyznać partnerowi uprawnienia administracyjne dla tej usługi. Ponieważ uprawnienia udostępniane partnerowi do zarządzania klientem są bardzo podwyższone, firma Microsoft zaleca, aby wszyscy partnerzy usuwali nieaktywnych dostawców DAPs. Wszyscy partnerzy zarządzający dzierżawą klienta przy użyciu delegowanych uprawnień administratora powinni usunąć nieaktywny program DAP z Centrum partnerskiego, aby zapobiec wpływowi na dzierżawę klienta i ich zasoby.

Aby uzyskać więcej informacji, zobacz Monitoring administrative relationships and self-service DAP removal guide (Monitorowanie relacji administracyjnych i samoobsługowego usuwania języka DAP), delegowane uprawnienia administracyjne — często zadawane pytania oraz przewodnik po delegowanych uprawnieniach administracyjnych przeznaczonych dla NOBLA.

Ponadto usługa DAP zostanie wkrótce wycofana. Zdecydowanie zachęcamy wszystkich partnerów, którzy aktywnie używają języka DAP do zarządzania dzierżawami klientów i przechodzą w kierunku modelu uprawnień administratora delegowanego z najniższymi uprawnieniami, aby bezpiecznie zarządzać dzierżawami swoich klientów.

Przejście do ról z najmniejszymi uprawnieniami w celu zarządzania dzierżawami klientów

Ponieważ język DAP zostanie wkrótce przestarzały, firma Microsoft zdecydowanie zaleca odejście od bieżącego modelu daP (który zapewnia agentom administratora stanie lub bezterminowy dostęp administratora globalnego) i zastąpienie go precyzyjnym modelem dostępu delegowanego. Model szczegółowego delegowanego dostępu zmniejsza zagrożenia bezpieczeństwa dla klientów i wpływ tych zagrożeń na nie. Zapewnia również kontrolę i elastyczność ograniczania dostępu poszczególnych klientów na poziomie obciążenia pracowników, którzy zarządzają usługami i środowiskami klientów.

Aby uzyskać więcej informacji, zobacz Szczegółowe uprawnienia administratora delegowanego (GDAP) — omówienie, informacje o rolach z najniższymi uprawnieniami oraz często zadawane pytania dotyczące GDAP

Obejrzyj powiadomienia o oszustwach platformy Azure

Jako partner w programie CSP odpowiadasz za użycie platformy Azure klienta, dlatego ważne jest, aby pamiętać o wszelkich potencjalnych działaniach związanych z wyszukiwaniem kryptowalut w subskrypcjach platformy Azure klientów. Ta świadomość umożliwia podjęcie natychmiastowych działań w celu ustalenia, czy zachowanie jest uzasadnione, czy fałszywe, a w razie potrzeby zawiesić objęte zasoby platformy Azure lub subskrypcję platformy Azure, aby rozwiązać ten problem.

Aby uzyskać więcej informacji, zobacz Wykrywanie oszustw i powiadamianie platformy Azure.

Rejestrowanie się w usłudze Microsoft Entra ID P2

Wszyscy agenci administracyjni w dzierżawie CSP powinni wzmocnić swoją cyberbezpieczeństwo przez zaimplementowanie identyfikatora P2 firmy Microsoft i wykorzystanie różnych możliwości w celu wzmocnienia dzierżawy CSP. Microsoft Entra ID P2 zapewnia rozszerzony dostęp do dzienników logowania i funkcji premium, takich jak Microsoft Entra Privileged Identity Management (PIM) i oparte na ryzyku funkcje dostępu warunkowego w celu wzmocnienia mechanizmów kontroli zabezpieczeń.

Stosowanie się do najlepszych rozwiązań w zakresie zabezpieczeń programu CSP

Ważne jest, aby przestrzegać wszystkich najlepszych rozwiązań dotyczących zabezpieczeń dostawcy CSP. Dowiedz się więcej na temat najlepszych rozwiązań dotyczących zabezpieczeń Dostawca rozwiązań w chmurze.

Implementowanie uwierzytelniania wieloskładnikowego

Aby spełnić wymagania dotyczące zabezpieczeń partnera, musisz zaimplementować i wymusić uwierzytelnianie wieloskładnikowe dla każdego konta użytkownika w dzierżawie partnera. Możesz to zrobić w jeden z następujących sposobów:

  • Zaimplementuj wartości domyślne zabezpieczeń firmy Microsoft. Zobacz więcej w następnej sekcji Ustawienia domyślne zabezpieczeń.
  • Kup microsoft Entra ID P1 lub P2 dla każdego konta użytkownika. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft.

Wartości domyślne zabezpieczeń

Jedną z opcji, które partnerzy mogą wybrać do zaimplementowania wymagań uwierzytelniania wieloskładnikowego, jest włączenie domyślnych ustawień zabezpieczeń w identyfikatorze Entra firmy Microsoft. Wartości domyślne zabezpieczeń oferują podstawowy poziom zabezpieczeń bez dodatkowych kosztów. Przed włączeniem domyślnych ustawień zabezpieczeń zapoznaj się z artykułem Włączanie uwierzytelniania wieloskładnikowego dla organizacji przy użyciu identyfikatora Entra firmy Microsoft i najważniejszych zagadnień poniżej.

  • Partnerzy, którzy już przyjęli zasady odniesienia, muszą podjąć działania w celu przejścia do domyślnych ustawień zabezpieczeń.
  • Wartości domyślne zabezpieczeń to ogólna dostępność zastąpienia zasad punktu odniesienia w wersji zapoznawczej. Gdy partner włączy domyślne ustawienia zabezpieczeń, nie może włączyć zasad punktu odniesienia.
  • W przypadku ustawień domyślnych zabezpieczeń wszystkie zasady są włączone jednocześnie.
  • W przypadku partnerów korzystających z dostępu warunkowego wartości domyślne zabezpieczeń nie są dostępne.
  • Starsze protokoły uwierzytelniania są blokowane.
  • Konto synchronizacji programu Microsoft Entra Connect jest wykluczone z domyślnych ustawień zabezpieczeń i nie zostanie wyświetlone monit o zarejestrowanie się ani przeprowadzenie uwierzytelniania wieloskładnikowego. Organizacje nie powinny używać tego konta do innych celów.

Aby uzyskać szczegółowe informacje, zobacz Omówienie uwierzytelniania wieloskładnikowego firmy Microsoft dla organizacji i Co to są wartości domyślne zabezpieczeń?.

Uwaga

Domyślne ustawienia zabezpieczeń firmy Microsoft to ewolucja zasad ochrony punktu odniesienia uproszczona. Jeśli zasady ochrony punktu odniesienia zostały już włączone, zdecydowanie zaleca się włączenie domyślnych ustawień zabezpieczeń.

Często zadawane pytania dotyczące implementacji

Ponieważ te wymagania dotyczą wszystkich kont użytkowników w dzierżawie partnera, należy wziąć pod uwagę kilka kwestii, aby zapewnić bezproblemowe wdrożenie. Na przykład zidentyfikuj konta użytkowników w identyfikatorze Entra firmy Microsoft, które nie mogą wykonywać uwierzytelniania wieloskładnikowego, oraz aplikacji i urządzeń w organizacji, które nie obsługują nowoczesnego uwierzytelniania.

Przed wykonaniem dowolnej akcji zalecamy ukończenie następujących weryfikacji.

Czy masz aplikację lub urządzenie, które nie obsługuje korzystania z nowoczesnego uwierzytelniania?

W przypadku wymuszania uwierzytelniania wieloskładnikowego starsze protokoły uwierzytelniania, takie jak IMAP, POP3, SMTP i inne, są blokowane, ponieważ nie obsługują uwierzytelniania wieloskładnikowego. Aby rozwiązać ten problem, użyj funkcji haseł aplikacji, aby upewnić się, że aplikacja lub urządzenie nadal będzie się uwierzytelniać. Zapoznaj się z zagadnieniami dotyczącymi używania haseł aplikacji, aby określić, czy mogą być używane w danym środowisku.

Czy masz użytkowników usługi Office 365 z licencjami skojarzonymi z dzierżawą partnera?

Przed zaimplementowaniem dowolnego rozwiązania zalecamy określenie, które wersje użytkowników pakietu Microsoft Office w dzierżawie partnera są używane. Istnieje prawdopodobieństwo, że użytkownicy będą napotykać problemy z łącznością z aplikacjami, takimi jak Outlook. Przed wymusiniem uwierzytelniania wieloskładnikowego należy upewnić się, że używasz programu Outlook 2013 z dodatkiem SP1 lub nowszego, a organizacja ma włączone nowoczesne uwierzytelnianie. Aby uzyskać więcej informacji, zobacz Włączanie nowoczesnego uwierzytelniania w usłudze Exchange Online.

Aby włączyć nowoczesne uwierzytelnianie dla urządzeń z systemem Windows z zainstalowanym pakietem Microsoft Office 2013, należy utworzyć dwa klucze rejestru. Zobacz Włączanie nowoczesnego uwierzytelniania dla pakietu Office 2013 na urządzeniach z systemem Windows.

Czy istnieją zasady uniemożliwiające każdemu użytkownikom korzystanie z urządzeń przenośnych podczas pracy?

Ważne jest, aby zidentyfikować wszelkie zasady firmowe, które uniemożliwiają pracownikom korzystanie z urządzeń przenośnych podczas pracy, ponieważ wpłynie to na zaimplementowane rozwiązanie MFA. Istnieją rozwiązania, takie jak te udostępniane za pośrednictwem implementacji domyślnych zabezpieczeń firmy Microsoft Entra, które zezwalają tylko na korzystanie z aplikacji wystawcy uwierzytelnienia na potrzeby weryfikacji. Jeśli organizacja ma zasady uniemożliwiające korzystanie z urządzeń przenośnych, rozważ jedną z następujących opcji:

  • Wdróż aplikację z jednorazowego hasła podstawowego (TOTP, time-based one-time base password), która może działać w bezpiecznym systemie.

Jaką automatyzację lub integrację musisz użyć poświadczeń użytkownika do uwierzytelniania?

Wymuszanie uwierzytelniania wieloskładnikowego dla każdego użytkownika, w tym kont usług w katalogu partnerskim, może mieć wpływ na dowolną automatyzację lub integrację, która używa poświadczeń użytkownika do uwierzytelniania. Dlatego ważne jest, aby określić, które konta są używane w tych sytuacjach. Zobacz następującą listę przykładowych aplikacji lub usług, które należy wziąć pod uwagę:

  • Panel sterowania używany do aprowizowania zasobów w imieniu klientów
  • Integracja z dowolną platformą używaną do fakturowania (w związku z programem CSP) i obsługą klientów
  • Skrypty programu PowerShell korzystające z modułów Az, AzureRM, Microsoft Graph PowerShell i innych modułów

Poprzednia lista nie jest kompleksowa, dlatego ważne jest przeprowadzenie pełnej oceny dowolnej aplikacji lub usługi w środowisku, które używa poświadczeń użytkownika do uwierzytelniania. Aby spełnić wymagania dotyczące uwierzytelniania wieloskładnikowego, należy wdrożyć wskazówki w strukturze bezpiecznego modelu aplikacji, jeśli to możliwe.

Uzyskiwanie dostępu do środowiska

Aby lepiej zrozumieć, co lub kto uwierzytelnia się bez kwestionowania uwierzytelniania wieloskładnikowego, zalecamy przejrzenie działań związanych z logowaniem. Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 możesz użyć raportu logowania. Aby uzyskać więcej informacji na temat tego tematu, zobacz Raporty aktywności logowania w centrum administracyjnym firmy Microsoft Entra. Jeśli nie masz identyfikatora Microsoft Entra ID P1 lub P2 lub jeśli szukasz sposobu uzyskania tego działania logowania za pośrednictwem programu PowerShell, musisz użyć polecenia cmdlet Get-PartnerUserSignActivity z modułu PowerShell Centrum partnerskiego.

Jak są wymuszane wymagania

Jeśli organizacja partnera została wcześniej udzielona wyjątek dla uwierzytelniania wieloskładnikowego, użytkownicy, którzy zarządzają dzierżawami klientów w ramach programu CSP, muszą włączyć wymagania uwierzytelniania wieloskładnikowego firmy Microsoft przed 1 marca 2022 r. Brak zgodności z wymaganiami uwierzytelniania wieloskładnikowego może spowodować utratę dostępu do dzierżawy klienta.

Wymagania dotyczące zabezpieczeń partnerów są wymuszane przez identyfikator entra firmy Microsoft, a z kolei Centrum partnerskie, sprawdzając obecność oświadczenia uwierzytelniania wieloskładnikowego w celu zidentyfikowania, czy przeprowadzono weryfikację uwierzytelniania wieloskładnikowego. Od 18 listopada 2019 r. firma Microsoft aktywowała więcej zabezpieczeń (wcześniej znanych jako "wymuszanie techniczne") dzierżawcom partnerskim.

Po aktywacji użytkownicy w dzierżawie partnera są proszeni o ukończenie weryfikacji uwierzytelniania wieloskładnikowego podczas wykonywania dowolnego administratora w imieniu (AOBO), uzyskiwania dostępu do Centrum partnerskiego lub wywoływania interfejsów API Centrum partnerskiego. Aby uzyskać więcej informacji, zobacz Mandating multifactor authentication (MFA) for your partner tenant (Mandating multifactor authentication) for your partner tenant (Mandating multifactor authentication) for your partner tenant (Mandating multifactor authentication) (Uwierzytelnianie wieloskładnikowe (MFA

Partnerzy, którzy nie spełnili wymagań, powinni jak najszybciej wdrożyć te środki, aby uniknąć zakłóceń w działaniu firmy. Jeśli używasz uwierzytelniania wieloskładnikowego firmy Microsoft lub wartości domyślnych zabezpieczeń firmy Microsoft Entra, nie musisz wykonywać żadnych innych akcji.

Jeśli używasz rozwiązania MFA innej firmy, istnieje prawdopodobieństwo, że oświadczenie uwierzytelniania wieloskładnikowego może nie zostać wystawione. Jeśli brakuje tego oświadczenia, identyfikator Entra firmy Microsoft nie będzie mógł określić, czy żądanie uwierzytelniania zostało zakwestionowane przez uwierzytelnianie wieloskładnikowe. Aby uzyskać informacje na temat sprawdzania, czy rozwiązanie wystawia oczekiwane oświadczenie, zobacz Testowanie wymagań dotyczących zabezpieczeń partnerów.

Ważne

Jeśli rozwiązanie innej firmy nie wystawia oczekiwanego oświadczenia, musisz współpracować z dostawcą, który opracował rozwiązanie, aby określić, jakie działania należy podjąć.

Zasoby i przykłady

Zapoznaj się z następującymi zasobami, aby uzyskać pomoc techniczną i przykładowy kod: