Поделиться через


Требования к безопасности для партнеров, использующих Центр партнеров или API Центра партнеров

Соответствующие роли: все пользователи Центра партнеров

В качестве помощника, поставщика панели управления или партнера поставщик облачных решений (CSP) у вас есть решения о вариантах проверки подлинности и других соображениях безопасности.

Защита конфиденциальности и безопасность для вас и ваших клиентов являются одними из наших главных приоритетов. Мы знаем, что лучшей защитой является предотвращение, и что мы только так сильны, как наша самая слабая связь. Именно поэтому нам нужны все в нашей экосистеме, чтобы обеспечить соответствующую защиту безопасности.

Обязательные требований к безопасности

Программа CSP позволяет клиентам покупать продукты и услуги Майкрософт через партнеров. В соответствии с их соглашением с Корпорацией Майкрософт партнеры должны управлять средой и предоставлять поддержку клиентам, которым они продают.

Клиенты, которые покупают через этот канал, размещают доверие к вам в качестве партнера, так как у вас есть высокий уровень прав администратора к клиенту клиента.

Партнеры, которые не реализуют обязательные требования к безопасности, не смогут выполнять транзакции в программе CSP или управлять клиентами с помощью делегированных прав администратора. Кроме того, партнеры, которые не реализуют требования к безопасности, могут привести к риску участия в программах.

Условия, связанные с требованиями к безопасности для партнеров, добавлены в Соглашение с партнером Майкрософт. Соглашение с партнером Майкрософт (MPA) периодически обновляется, и корпорация Майкрософт рекомендует регулярно проверять все партнеры. На консультантов распространяются те же контрактные требования.

Все партнеры должны соответствовать рекомендациям по обеспечению безопасности, чтобы обеспечить безопасность партнерских и клиентских сред. Соблюдение этих рекомендаций помогает устранять проблемы с безопасностью и устранять эскалации безопасности, гарантируя, что доверие клиента не скомпрометировано.

Чтобы защитить вас и клиентов, мы требуем от партнеров немедленно выполнить следующие действия:

Включение MFA для всех учетных записей пользователей в клиенте партнера

Необходимо применить MFA ко всем учетным записям пользователей в клиентах партнера. Всем пользователям следует использовать многофакторную проверку подлинности (MFA) при входе в коммерческие облачные службы Майкрософт или выполнении операций в рамках программы "Поставщик облачных решений" с помощью Центра партнеров или API.

Принудительное применение MFA следует следующим рекомендациям:

  • Партнеры, использующие многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения см. в разделе "Несколько способов включения многофакторной проверки подлинности Microsoft Entra" (поддерживается MFA)
  • Партнер, который реализовал любую стороннюю MFA и часть списка исключений, по-прежнему может получить доступ к Центру партнеров и API с исключениями, но не может управлять клиентом с помощью DAP/GDAP (исключения не разрешены).
  • Если организация партнера ранее была предоставлена исключение для MFA, пользователи, которые управляют клиентами в рамках программы CSP, должны включить требования Microsoft MFA до 1 марта 2022 г. Отсутствие соответствия требованиям MFA может привести к потере доступа клиента клиента.
  • Дополнительные сведения о многофакторной проверке подлинности (MFA) для клиента партнера.

Внедрение платформы "Модель безопасных приложений"

Всем партнерам, которые интегрируют API Центра партнеров, следует внедрить платформу "Модель безопасных приложений" для всех моделей приложений, использующих аутентификацию приложений и пользователей.

Внимание

Настоятельно рекомендуется, чтобы партнеры реализовали модель безопасных приложений для интеграции с API Майкрософт, например Azure Resource Manager или Microsoft Graph, либо использовали средства автоматизации (например, PowerShell) с учетными данными пользователей, чтобы избежать нарушения работы при принудительном применении MFA.

Эти требования безопасности помогают защитить инфраструктуру и защитить данные клиентов от потенциальных рисков безопасности, таких как выявление кражи или других инцидентов мошенничества.

Другие требования к безопасности

Клиенты доверяют вам, как их партнеру, предоставлять дополнительные услуги. Необходимо принять все меры безопасности для защиты доверия и репутации клиента в качестве партнера.

Корпорация Майкрософт продолжает добавлять меры принудительного применения, чтобы все партнеры должны придерживаться и определять приоритеты безопасности своих клиентов. Эти требования безопасности помогают защитить инфраструктуру и защитить данные клиентов от потенциальных рисков безопасности, таких как выявление кражи или других инцидентов мошенничества.

Партнер отвечает за обеспечение того, чтобы они приняли принципы нулевого доверия, в частности, следующие.

Делегированные права администратора (DAP)

Делегированные права администратора (DAP) предоставляют возможность управления службой или подпиской клиента от их имени. Клиент должен предоставить партнерским административным разрешениям для этой службы. Так как привилегии, предоставленные партнеру для управления клиентом, высоко повышаются, корпорация Майкрософт рекомендует всем партнерам удалять неактивные daPs. Все партнеры, управляющие клиентом с помощью делегированных прав администратора, должны удалить неактивный DAP из Центра партнеров, чтобы предотвратить любое влияние на клиента и их ресурсы.

Дополнительные сведения см. в руководстве по администрированию мониторинга и самостоятельному удалению DAP, часто задаваемых вопросов о привилегиях делегированного администрирования и руководстве по делегированным административным привилегиям в NOBELIUM.

Кроме того, DAP будет нерекомендуем в ближайшее время. Мы настоятельно рекомендуем всем партнерам, которые активно используют DAP для управления своими клиентами и переходить к модели привилегированных делегированных прав администратора, чтобы безопасно управлять клиентами своих клиентов.

Переход на роли с минимальными привилегиями для управления клиентами

Так как DAP будет нерекомендуем в ближайшее время, корпорация Майкрософт настоятельно рекомендует перейти от текущей модели DAP (которая дает агентам администрирования постоянный или постоянный доступ глобального администратора) и заменяя ее тонкой моделью делегированного доступа. Модель делегированного доступа снижает риски безопасности для клиентов и последствия этих рисков. Кроме того, она обеспечивает уровень управления и гибкости, позволяющий ограничивать доступ для каждого клиента на уровне рабочей нагрузки сотрудников, которые управляют службами и средами клиентов.

Дополнительные сведения см. в разделе "Подробные делегированные права администратора" (GDAP), сведения о наименее привилегированных ролях и часто задаваемые вопросы о GDAP

Следите за уведомлениями о мошенничестве Azure

В качестве партнера в программе CSP вы несете ответственность за потребление Azure клиента, поэтому важно знать о любых потенциальных действиях по добыче криптовалют в подписках Azure клиентов. Эта осведомленность позволяет выполнять немедленные действия, чтобы определить, является ли поведение законным или мошенническим, а при необходимости приостановить затронутые ресурсы Azure или подписку Azure, чтобы устранить проблему.

Дополнительные сведения см. в статье об обнаружении и уведомлении о мошенничестве Azure.

Регистрация в Microsoft Entra ID P2

Все агенты администрирования в клиенте CSP должны укрепить свою кибербезопасность путем реализации Microsoft Entra ID P2 и воспользоваться различными возможностями для укрепления клиента CSP. Идентификатор Microsoft Entra ID P2 предоставляет расширенный доступ к журналам входа и функциям уровня "Премиум", таким как Microsoft Entra управление привилегированными пользователями (PIM) и возможности условного доступа на основе рисков для укрепления элементов управления безопасностью.

Соблюдение рекомендаций по обеспечению безопасности CSP

Важно следовать всем рекомендациям CSP по обеспечению безопасности. Узнайте больше о рекомендациях по обеспечению безопасности поставщик облачных решений.

Реализация многофакторной проверки подлинности

Чтобы выполнить требования к безопасности для партнеров, необходимо реализовать и принудительно применять многофакторную проверку подлинности для каждой учетной записи пользователя в арендаторе партнера. Это можно сделать одним из следующих способов.

Параметры безопасности по умолчанию

Одним из вариантов, которые партнеры могут выбрать для реализации требований MFA, — включить параметры безопасности по умолчанию в идентификаторе Microsoft Entra. Параметры безопасности по умолчанию обеспечивают базовый уровень защиты без дополнительных затрат. Ознакомьтесь с тем, как включить MFA для вашей организации с идентификатором Microsoft Entra ID и основными рекомендациями, приведенными ниже, прежде чем включить параметры безопасности по умолчанию.

  • Партнеры, которые уже внедрили базовые политики, должны перейти на использование средств безопасности по умолчанию.
  • Параметры безопасности по умолчанию — это общедоступное решение, заменяющее предварительную версию базовых политик. После включения по умолчанию безопасности партнеру не удается включить базовые политики.
  • При использовании политик безопасности по умолчанию все политики включены одновременно.
  • Для партнеров, использующих условный доступ, значения безопасности по умолчанию недоступны.
  • Устаревшие протоколы проверки подлинности блокируются.
  • Учетная запись синхронизации Microsoft Entra Connect исключена из значений по умолчанию безопасности и не будет предложено зарегистрировать или выполнить многофакторную проверку подлинности. Организации не должны использовать эту учетную запись для других целей.

Подробные сведения см. в статье "Общие сведения о многофакторной проверке подлинности Microsoft Entra для вашей организации " и "Что такое безопасность по умолчанию?".

Примечание.

По умолчанию безопасность Microsoft Entra — это упрощенная эволюция политик базовой защиты. Если вы уже включили базовые политики защиты, настоятельно рекомендуется включить параметры безопасности по умолчанию.

Часто задаваемые вопросы о реализации (вопросы и ответы)

Так как эти требования применяются ко всем учетным записям пользователей в арендаторе партнера, для обеспечения беспрепятственного развертывания необходимо учитывать несколько факторов. Например, определите учетные записи пользователей в идентификаторе Microsoft Entra, которые не могут выполнять MFA, а также приложения и устройства в вашей организации, которые не поддерживают современную проверку подлинности.

Перед выполнением любого действия рекомендуется выполнить следующие проверки.

У вас есть приложение или устройство, которое не поддерживает использование современной проверки подлинности?

При применении MFA устаревшие протоколы проверки подлинности используют такие протоколы, как IMAP, POP3, SMTP и другие, поскольку они не поддерживают MFA. Чтобы устранить это ограничение, используйте функцию паролей приложений, чтобы убедиться, что приложение или устройство по-прежнему будет проходить проверку подлинности. Изучите советы по использованию паролей приложений, чтобы определить, можно ли применять их в вашей среде.

Есть ли у вас пользователи Office 365 с лицензиями, связанными с арендатором клиента?

Перед реализацией любого решения рекомендуется определить, какие версии пользователей Microsoft Office в клиенте партнера используются. Есть вероятность, что пользователи смогут столкнуться с проблемами с подключением к приложениям, таким как Outlook. Прежде чем применять MFA, важно убедиться, что вы используете Outlook 2013 с пакетом обновления 1 (SP1) или более поздней версии, и что в вашей организации включена современная проверка подлинности. Дополнительные сведения см. в статье Включение современной проверки подлинности в Exchange Online.

Чтобы включить современную проверку подлинности для устройств под управлением Windows с установленным Microsoft Office 2013, необходимо создать два раздела реестра. Дополнительные сведения см. в статье Enable Modern Authentication for Office 2013 on Windows devices (Включение современной проверки подлинности для Office 2013 на устройствах с Windows).

Существует ли политика, запрещающая вашим пользователям использовать мобильные устройства во время работы?

Важно определить любую корпоративную политику, которая запрещает сотрудникам использовать мобильные устройства во время работы, так как это влияет на то, какое решение MFA вы реализуете. Существуют решения, например те, которые предоставляются с помощью реализации по умолчанию безопасности Microsoft Entra, которые позволяют использовать только приложение authenticator для проверки подлинности. Если в вашей организации есть политика, которая запрещает использовать мобильные устройства, рассмотрите один из следующих вариантов:

  • Развертывание приложения, поддерживающего временные одноразовые пароли (TOTP), которое может работать в защищенной системе.

Какую автоматизацию или интеграцию необходимо использовать учетные данные пользователя для проверки подлинности?

Принудительное применение MFA для каждого пользователя, включая учетные записи службы, в каталоге партнера, может повлиять на любую автоматизацию или интеграцию, которая использует учетные данные пользователя для проверки подлинности. Поэтому важно определить, какие учетные записи используются в этих ситуациях. См. следующий список примеров приложений и служб, которые следует учитывать.

  • Панель управления используется для подготовки ресурсов от имени клиентов.
  • Интеграция с любой платформой, которая используется для выставления счетов (так как речь идет о программе CSP) и поддержки ваших клиентов.
  • Скрипты PowerShell, использующие Az, AzureRM, Microsoft Graph PowerShell и другие модули

Предыдущий список не является исчерпывающим, поэтому важно выполнить полную оценку любого приложения или службы в вашей среде, которая использует учетные данные пользователя для проверки подлинности. Для применения требования для MFA вы должны по возможности выполнить инструкции, приведенные в статье Enabling the Secure Application Model framework (Включение платформы модели безопасных приложений).

Оценка своей среды

Чтобы лучше понять, что или кто выполняет проверку подлинности без проверки подлинности для MFA, рекомендуется ознакомиться с действиями входа. С помощью идентификатора Microsoft Entra ID P1 или P2 можно использовать отчет о входе. Дополнительные сведения об этой теме см . в отчетах о действиях входа в Центре администрирования Microsoft Entra. Если у вас нет идентификатора Microsoft Entra ID P1 или P2 или если вы ищете способ получения этого действия входа с помощью PowerShell, необходимо использовать командлет Get-PartnerUserSignActivity из модуля PowerShell Центра партнеров.

Как применяются требования

Если организация партнера ранее была предоставлена исключение для MFA, пользователи, которые управляют клиентами в рамках программы CSP, должны включить требования Microsoft MFA до 1 марта 2022 года. Отсутствие соответствия требованиям MFA может привести к потере доступа клиента клиента.

Требования к безопасности партнеров применяются идентификатором Microsoft Entra и, в свою очередь, Центром партнеров, проверяя наличие утверждения MFA, чтобы определить, что произошла проверка MFA. С 18 ноября 2019 г. корпорация Майкрософт активизировала более защитные меры безопасности (ранее известные как "техническое применение") для клиентов-партнеров.

При активации пользователи в клиенте партнера запрашиваются выполнить проверку MFA при выполнении операций любого администратора от имени (AOBO), доступа к Центру партнеров или вызова API Центра партнеров. Дополнительные сведения см. в разделе "Управление многофакторной проверкой подлинности" для клиента партнера.

Партнеры, которые не выполнили требования, должны реализовать эти меры как можно скорее, чтобы избежать каких-либо нарушений бизнеса. Если вы используете многофакторную проверку подлинности Microsoft Entra или параметры безопасности Microsoft Entra по умолчанию, вам не нужно предпринимать никаких других действий.

Если вы используете стороннее решение MFA, возможно, утверждение MFA не будет выдано. Если это утверждение отсутствует, идентификатор Microsoft Entra не сможет определить, был ли запрос проверки подлинности вызван MFA. Сведения о том, как убедиться, что ваше решение выдает ожидаемое утверждение, см. в статье "Тестирование требований к безопасности партнера".

Внимание

Если ваше стороннее решение не выдает ожидаемое утверждение, необходимо будет работать с поставщиком, который разработал решение, чтобы определить, какие действия следует предпринять.

Ресурсы и примеры

Для получения поддержки и примеров кода см. следующие ресурсы: