Поделиться через

Распространенные вопросы о требованиях к безопасности для партнеров

  • Вопросы и ответы

Соответствующие роли: все пользователи Центра партнеров

В этой статье приводятся ответы на некоторые распространенные вопросы о требованиях к безопасности партнера в рабочей области параметров учетной записи.

В чем заключаются требования к безопасности для партнеров? Почему партнеры обязаны выполнять их?

Мы видим все большее число более сложных атак безопасности - в первую очередь атак, связанных с компрометацией удостоверений.

Мы ввели обязательные требования к безопасности, так как профилактические средства контроля играют ключевую роль в общей стратегии обороны. Все партнеры, участвующие в программе поставщик облачных решений (CSP), поставщики панель управления и помощники должны реализовать эти требования безопасности, чтобы оставаться совместимыми.

Каковы временные шкалы и вехи для реализации требований безопасности?

Термины, связанные с требованиями безопасности, включая временную шкалу и вехи, включаются в Соглашение с партнером Майкрософт. Эти требования безопасности необходимо реализовать как можно скорее, чтобы обеспечить соответствие требованиям, чтобы вы могли участвовать в программе CSP.

Что произойдет, если я не реализую требования к безопасности партнера?

Для Соглашение с партнером Майкрософт требуется применение многофакторной проверки подлинности для учетных записей пользователей и внедрение модели безопасного приложения для взаимодействия с API Центра партнеров.

Партнеры, которые не соблюдают эти методики безопасности, могут потерять возможность транзакций в программе CSP или управлять клиентами клиентов с помощью прав администратора делегатов.

Применяются ли требования безопасности ко всем географическим регионам?

Да. (Хотя в настоящее время Azure для государственных организаций не требуется для соблюдения требований безопасности, настоятельно рекомендуем всем партнерам немедленно принять эти требования безопасности.)

Можно ли сделать исключение для учетной записи?

Нет, невозможно исключить любую учетную запись пользователя из требования применения многофакторной проверки подлинности (MFA). Учитывая высокий уровень привилегий партнера, Соглашение с партнером Майкрософт требует применения многофакторной проверки подлинности для каждой учетной записи пользователя в клиенте партнера.

Разделы справки знать, соответствует ли я требованиям безопасности партнера?

Чтобы удовлетворить требования к безопасности партнера, выполните следующие действия.

  • Соблюдайте все требования, описанные в требованиях к безопасности для использования API Центра партнеров или Центра партнеров.
  • Убедитесь, что все учетные записи пользователей в клиенте партнера применяют многофакторную проверку подлинности.

Чтобы определить области, в которых можно выполнить действия, мы предоставляем отчет о состоянии требований безопасности в Центре партнеров.

Необходимые действия

Какие действия необходимо предпринять для удовлетворения требований безопасности?

Все партнеры в программе CSP (прямой счет, косвенный поставщик и косвенный торговый посредник), помощники и панель управления поставщики должны соответствовать требованиям.

  1. Принудительное применение MFA для всех пользователей

    Все партнеры по программе CSP, консультанты и поставщики панели управления должны применять MFA для всех пользователей в арендаторах клиента.

    Дополнительные рекомендации.

    • Косвенные поставщики должны работать с непрямыми торговыми посредниками, чтобы подключиться к Центру партнеров, если они еще не сделали этого, и поощрять своих торговых посредников соответствовать требованиям.
    • Многофакторная проверка подлинности Microsoft Entra доступна пользователям в клиенте партнера без затрат с помощью по умолчанию безопасности Microsoft Entra с единственным методом проверки подлинности приложения, поддерживающего одноразовые пароли на основе времени (TOTP).
    • Другие методы проверки доступны через номера SKU Microsoft Entra P1 или P2 , если требуются другие методы, такие как телефонный звонок или текстовое сообщение.
    • Кроме того, партнеры могут использовать стороннее решение MFA для каждой учетной записи при доступе к коммерческим облачным службам Майкрософт.

  2. Внедрение платформы "Модель безопасных приложений"

    Партнеры, которые разработали пользовательскую интеграцию с помощью любых API (таких как Azure Resource Manager, Microsoft Graph, API Центра партнеров и т. д.) или реализовали настраиваемую автоматизацию с помощью таких средств, как PowerShell, должны принять платформу secure Application Model для интеграции с облачными службами Майкрософт. Не удается сделать это, может привести к нарушению из-за развертывания MFA.

    Следующие ресурсы содержат обзор и рекомендации по внедрению модели.

    Если вы работаете с панелью управления, обратитесь к поставщику по поводу реализации платформы "Модель безопасных приложений".

    Поставщикам панели управления необходимо подключиться к Центру партнеров в качестве поставщиков панели управления и немедленно начать реализацию этого требования. Обратитесь к Центру партнеров: платформа безопасной модели приложений.

    Поставщики панели управления должны получить согласие партнеров CSP и управлять им вместо учетных данных, а также очистить все существующие учетные данные партнеров CSP.

Многофакторная проверка подлинности

Что такое многофакторная проверка подлинности (MFA)?

MFA — это механизм безопасности для проверки подлинности отдельных лиц, использующих несколько обязательных процедур безопасности и проверки. Служба требует использования двух и более методов проверки подлинности следующего характера:

  • Что-то, что известно вам (обычно это пароль).
  • То, что у вас есть (надежное устройство, которое не легко дублируется, например телефон)
  • Что-то, относящееся непосредственно к вам (биометрические данные).

Существует ли стоимость включения MFA?

Корпорация Майкрософт предоставляет многофакторную проверку подлинности без затрат путем реализации по умолчанию безопасности Microsoft Entra. Единственный вариант проверки, доступный в этой версии MFA, — приложение Authenticator.

  • Если требуется телефонный звонок или SMS-сообщение, необходимо приобрести лицензию Microsoft Entra P1 или P2 .
  • Кроме того, можно использовать стороннее решение для предоставления MFA для каждого пользователя в клиенте партнера. В этом случае вы несете ответственность за обеспечение применения решения MFA и соответствие требованиям.

Какие действия необходимо предпринять, если у меня уже есть решение MFA?

Пользователи в клиенте партнера должны пройти проверку подлинности с помощью MFA при доступе к коммерческим облачным службам Майкрософт. Для выполнения этих требований можно использовать сторонние решения. Корпорация Майкрософт больше не предоставляет проверку для независимых поставщиков удостоверений для совместимости с идентификатором Microsoft Entra. Сведения о тестировании продукта для взаимодействия см. в документации по совместимости поставщика удостоверений Microsoft Entra.

Внимание

Если вы используете стороннее решение, важно убедиться, что решение выдает ссылку на метод проверки подлинности (AMR), включающее значение MFA. Дополнительные сведения о том, как проверка стороннего решения выдает ожидаемое утверждение, см. в разделе "Тестирование требований к безопасности партнера".

В выполнении операций участвует несколько арендаторов партнера. Необходимо ли реализовать MFA на всех из них?

Да. Необходимо применить MFA для каждого клиента Microsoft Entra, связанного с программой CSP или программой Помощника. Чтобы приобрести лицензию Microsoft Entra ID P1 или P2, необходимо приобрести лицензию На идентификатор Microsoft Entra для пользователей в каждом клиенте Microsoft Entra.

Нужно ли принудительно применять MFA для каждой учетной записи пользователя в моем арендаторе партнера?

Да. Каждый пользователь должен применять MFA. Однако если вы используете параметры безопасности Microsoft Entra по умолчанию, другие действия не требуются, так как эта функция применяет MFA для всех учетных записей пользователей. Включение параметров безопасности по умолчанию — это бесплатный и простой способ обеспечить соответствие учетных записей пользователей требованиям MFA и не влиять на применение MFA.

Я партнер по прямому счету с корпорацией Майкрософт. Что нужно сделать?

Прямые счета поставщик облачных решений партнеров должны применять MFA для каждого пользователя в клиенте партнера.

Я непрямый торговый посредник и только транзакция через распространителя. Мне все равно придется включать MFA?

Да. Все непрямые торговые посредники должны применять MFA для каждого пользователя в своих арендаторах партнера. Непрямой торговый посредник обязан использовать MFA.

Я не использую API Центра партнеров. Мне все равно нужно внедрить MFA?

Да. Это требование безопасности для всех пользователей, включая пользователей администратора партнера и конечных пользователей в клиенте партнера.

Какие сторонние поставщики предоставляют решения MFA, совместимые с идентификатором Microsoft Entra?

При просмотре поставщиков и решений MFA необходимо убедиться, что выбранное решение совместимо с идентификатором Microsoft Entra.

Корпорация Майкрософт больше не предоставляет проверку для независимых поставщиков удостоверений для совместимости с идентификатором Microsoft Entra. Если вы хотите протестировать продукт для взаимодействия, ознакомьтесь с документацией по совместимости поставщика удостоверений Microsoft Entra.

Дополнительные сведения см. в списке совместимости федерации Microsoft Entra.

Как можно протестировать MFA в песочнице интеграции?

Компонент безопасности Microsoft Entra по умолчанию должен быть включен. Кроме того, можно использовать стороннее решение, использующее федерацию.

Повлияет ли включение MFA на мое взаимодействие с арендатором клиента?

№ Выполнение этих требований безопасности не повлияет на управление клиентами. Возможность выполнения делегированных административных операций не будет прервана.

Распространяются ли требования к безопасности для партнеров на моих клиентов?

№ Вам не требуется применять MFA для каждого пользователя в клиентах Microsoft Entra клиента. Однако мы рекомендуем работать с каждым клиентом, чтобы определить, как лучше всего защитить своих пользователей.

Допускаются ли в требованиях MFA исключения для какого-либо пользователя?

№ Каждый пользователь в клиенте партнера, включая учетные записи служб, должен пройти проверку подлинности с помощью MFA.

Применяются ли требования к безопасности для партнеров к песочнице интеграции?

Да. Это означает, что необходимо реализовать соответствующее решение MFA для пользователей в клиенте песочницы интеграции. Рекомендуется реализовать параметры безопасности Microsoft Entra по умолчанию для предоставления MFA.

Разделы справки настроить учетную запись аварийного доступа ("разбить стекло") ?

Рекомендуется создать одну или две учетные записи аварийного доступа, чтобы предотвратить непреднамеренно заблокированный клиент Microsoft Entra. В отношении требований безопасности партнера необходимо, чтобы каждый пользователь прошел проверку подлинности с помощью MFA. Это требование означает, что необходимо изменить определение учетной записи аварийного доступа. Это может быть учетная запись, которая использует стороннее решение для MFA.

Требуется ли служба федерации Active Directory (ADFS), если я использую стороннее решение?

№ Служба федерации Active Directory (ADFS) не требуется, если вы используете стороннее решение. Рекомендуется работать с поставщиком решения, чтобы определить требования к их решению.

Требуется ли включить параметры безопасности Microsoft Entra по умолчанию?

Можно ли использовать условный доступ для выполнения требования о применении MFA?

Да. Условный доступ можно использовать для принудительного применения MFA для каждого пользователя, включая учетные записи служб, в клиенте партнера. Тем не менее, учитывая высокий уровень привилегий в качестве партнера, необходимо убедиться, что каждый пользователь имеет вызов MFA для каждой отдельной проверки подлинности. Это означает, что вы не можете использовать функцию условного доступа, которая обойти требование для MFA.

Будет ли учетная запись службы, используемая Microsoft Entra Connect, влиять на требования безопасности партнера?

№ Учетная запись службы, используемая Microsoft Entra Connect, не будет влиять на требования безопасности партнера. Если возникает проблема с Microsoft Entra Connect в результате применения MFA, откройте запрос технической поддержки в службу поддержки Майкрософт.

Модель безопасных приложений

Кто должен внедрять Модель безопасных приложений для выполнения требований?

Корпорация Майкрософт представила безопасную масштабируемую платформу для проверки подлинности партнеров поставщик облачных решений (CSP) и поставщиков панель управления (CPV), использующую многофакторную проверку подлинности. Дополнительные сведения см. в руководстве по Модели безопасных приложений. Всем партнерам, которые разработали пользовательскую интеграцию с помощью любых API (например, Azure Resource Manager, Microsoft Graph, API Центра партнеров и т. д.) или реализованной пользовательской автоматизации с помощью таких средств PowerShell, потребуется внедрить платформу безопасной модели приложений для интеграции с облачными службами Майкрософт.

Что такое Модель безопасных приложений?

Корпорация Майкрософт вводит безопасную масштабируемую платформу для проверки подлинности партнеров поставщик облачных решений (CSP) и панель управления поставщиков (CPV), использующих многофакторную проверку подлинности. Дополнительные сведения см. в руководстве по Модели безопасных приложений.

Как можно внедрить Модель безопасных приложений?

Все партнеры, которые разработали пользовательскую интеграцию с помощью любых API (таких как Azure Resource Manager, Microsoft Graph, API Центра партнеров и т. д.) или реализовали пользовательскую автоматизацию с помощью таких средств PowerShell, должны принять платформу secure Application Model для интеграции с облачными службами Майкрософт. Не удается сделать это, может привести к нарушению из-за развертывания MFA.

Следующие ресурсы предоставляют обзор и рекомендации по внедрению модели.

Если вы используете панель управления, необходимо обратиться к поставщику относительно внедрения платформы модели безопасных приложений.

Поставщики панели управления должны подключиться к Центру партнеров в качестве поставщика панели управления и немедленно начать реализацию этого требования.

Обратитесь к Центру партнеров: платформа безопасной модели приложений. Поставщики панели управления должны получить согласие партнеров CSP и управлять им вместо учетных данных, а также очистить все существующие учетные данные партнеров CSP.

Нужно ли внедрять Модель безопасных приложений только для API или пакета SDK Центра партнеров?

При применении многофакторной проверки подлинности для всех учетных записей пользователей влияет любая автоматизация или интеграция, предназначенная для запуска неинтерактивно. Хотя требования к безопасности партнера требуют включения безопасной модели приложений для API Центра партнеров, ее можно использовать для решения необходимости второй фактор проверки подлинности с помощью автоматизации и интеграции.

Примечание.

Доступ к ресурсам должен поддерживать проверку подлинности на основе маркеров доступа.

Я использую такие средства автоматизации, как PowerShell. Как можно внедрить Модель безопасных приложений?

Необходимо реализовать модель безопасного приложения, если автоматизация выполняется неинтерактивно и использует учетные данные пользователя для проверки подлинности. Ознакомьтесь с разделом Secure Application Model (Модель безопасных приложений), чтобы получить инструкции по внедрению этой платформы.

Примечание.

Не все средства автоматизации могут проходить проверку подлинности с помощью маркеров доступа. Если вам требуется помощь, чтобы понять, какие изменения необходимо внести, опубликуйте свой вопрос в сообществе Консультативная группа по обеспечению безопасности в Центре партнеров.

Какие учетные данные пользователя должен предоставить администратор приложения при получении согласия?

Рекомендуется использовать учетную запись службы, назначаемую наименее привилегированным разрешениям. В отношении API Центра партнеров следует использовать учетную запись, назначенную агенту продаж или роли агента администрирования.

Почему администратор приложения не должен предоставлять учетные данные пользователя глобального администратора при выполнении процесса согласия?

Рекомендуется использовать наименее привилегированное удостоверение, так как это снижает риск. Не рекомендуется использовать учетную запись с правами глобального администратора, так как она предоставляет больше разрешений, чем требуется.

Я партнер CSP. Как мне узнать, занимается ли мой поставщик панели управления (CPV) реализацией решения?

Для партнеров, использующих решение панель управления Поставщика (CPV) для транзакций в программе поставщик облачных решений (CSP), вы несете ответственность за консультации с CPV.

Что такое поставщик панели управления (CPV)?

Поставщик панели управления является независимым поставщиком программного обеспечения, который разрабатывает приложения для использования партнерами CSP для интеграции с API Центра партнеров. Поставщик панели управления не является партнером CSP с прямым доступом к Центру партнеров или API. Подробное описание доступно в Центре партнеров: руководство по модели безопасных приложений.

Я CPV. Как мне зарегистрироваться?

Чтобы зарегистрировать в качестве поставщика панели управления (CPV), следуйте инструкциям в разделе "Регистрация в качестве поставщика панель управления", чтобы помочь интегрировать партнерские системы CSP с API Центра партнеров.

После регистрации в Центре партнеров и регистрации приложений у вас будет доступ к API Центра партнеров. Вы получите сведения об песочнице в уведомлении Центра партнеров, если вы новый CPV. После завершения регистрации в качестве microsoft CPV и принятия соглашения CPV можно:

  • Управление мультитенантными приложениями (добавление приложений в портал Azure и регистрация и отмена регистрации приложений в Центре партнеров).

    Примечание.

    CPV должны зарегистрировать свои приложения в Центре партнеров, чтобы получить разрешение на использование интерфейсов API Центра партнеров. Добавление приложений в портал Azure только не разрешает приложения CPV для API Центра партнеров.

  • Просматривать профиль КПВ и управлять им.

  • Просматривать пользователей, которым требуется доступ к возможностям CPV, и управлять ими. CPV может иметь только роль глобального администратора.

Я использую пакет SDK Центра партнеров. Будет ли пакет SDK автоматически применять модель безопасного приложения?

№ В руководстве по модели безопасных приложений необходимо следовать рекомендациям.

Можно ли создать маркер обновления для Модели безопасных приложений с помощью учетных записей, для которых не включена MFA?

Да. Маркер обновления можно создать с помощью учетной записи, которая не применяет MFA. Однако это следует избежать. Любой маркер, созданный с помощью учетной записи, включающей многофакторную проверку подлинности, не сможет получить доступ к ресурсам из-за требования для MFA.

Как моему приложению следует получать маркер доступа, если мы включаем MFA?

Следуйте руководству по модели безопасных приложений, которое содержит подробные сведения о том, как это сделать при соблюдении новых требований безопасности. Пример кода .NET можно найти в примерах DotNet в Центре партнеров: модель безопасных приложений и пример кода Java в Центре партнеров.

В качестве CPV я создаю приложение Microsoft Entra в нашем клиенте CPV или клиенте партнера CSP?

CPV должен создать приложение Microsoft Entra в клиенте, связанном с их регистрацией в качестве CPV.

Я поставщик служб CSP, использующий проверку подлинности только для приложений. Нужно ли вносить какие-либо изменения?

Проверка подлинности только для приложений не затрагивается, так как учетные данные пользователя не используются для запроса маркера доступа. Если учетные данные пользователя являются общими, то поставщики панели управления (CPV) должны внедрить платформу "Модель безопасных приложений и удалить все существующие учетные данные партнеров.

В качестве CPV можно использовать стиль проверки подлинности только для приложений для получения маркеров доступа?

№ панель управления партнеры поставщика не могут использовать стиль проверки подлинности только для приложений для запроса маркеров доступа от имени партнера. Они должны внедрить Модель безопасных приложений, использующую метод аутентификации с участием приложения и пользователя.

Техническое применение

Что собой представляет активация мер безопасности?

Все партнеры, участвующие в программе "Поставщик облачных решений" (CSP), поставщики панели управления (CPV) и консультанты должны соблюдать обязательные требования к безопасности для обеспечения соответствия.

Чтобы обеспечить дополнительную защиту, корпорация Майкрософт начала активацию мер безопасности, которые помогают партнерам защитить своих клиентов и своих клиентов путем проверки подлинности многофакторной проверки подлинности (MFA), чтобы предотвратить несанкционированный доступ.

Мы успешно выполнили активацию для возможностей "администрирование от имени" (AOBO) для всех арендаторов партнеров. Для дальнейшего защиты партнеров и клиентов мы начнем активацию транзакций Центра партнеров в CSP, помогая партнерам защитить свои предприятия и клиентов от инцидентов, связанных с кражей удостоверений.

Дополнительные сведения см. в разделе "Управление многофакторной проверкой подлинности( MFA) для страницы клиента партнера.

Я использую стороннее решение MFA, и я заблокирован. Что делать?

Чтобы убедиться, что доступ к ресурсам учетной записи был вызван для многофакторной проверки подлинности, мы проверяем утверждение ссылки на метод проверки подлинности, чтобы узнать, указана ли MFA. Некоторые сторонние решения не выдают это утверждение или не добавляют в него значение MFA. Если утверждение отсутствует или если значение MFA не указано, невозможно определить, была ли проверена учетная запись с проверкой подлинности для многофакторной проверки подлинности. Вам потребуется работать с поставщиком для стороннего решения, чтобы определить, какие действия следует предпринять, чтобы решить проблему, связанную с утверждением ссылки на метод проверки подлинности.

Если вы не уверены, выдает ли ваше стороннее решение ожидаемое утверждение или нет, ознакомьтесь с проверкой требований к безопасности партнера.

MFA блокирует меня от поддержки моего клиента с помощью AOBO. Что делать?

Техническая защита требований к безопасности партнера проверяется, была ли выполнена проверка подлинности учетной записи, прошедшей проверку подлинности, для многофакторной проверки подлинности. Если учетная запись не была проверена, вы будете перенаправлены на страницу входа и появится запрос на повторную проверку подлинности.

Дополнительные сведения и рекомендации см. в разделе "Мэндирование многофакторной проверки подлинности( MFA) для клиента партнера.

В сценарии, в котором домен не федеративный, после успешной проверки подлинности вам будет предложено настроить многофакторную проверку подлинности. После завершения работы вы сможете управлять клиентами с помощью AOBO. В сценарии, в котором домен федеративный, необходимо убедиться, что учетная запись оспаривается для многофакторной проверки подлинности.

Переход по умолчанию безопасности

Как я могу перейти с базовых политик на использование параметров безопасности по умолчанию или другие решения MFA?

Политики идентификатора Microsoft Entra ID "базовые" удаляются и заменяются "политиками безопасности по умолчанию", более комплексным набором политик защиты для вас и ваших клиентов. Параметры безопасности по умолчанию могут защитить вашу организацию от атак, направленных на хищение персональных данных.

Реализация многофакторной проверки подлинности (MFA) будет удалена из-за выхода базовых политик, если вы не перешли с базовых политик на политику безопасности по умолчанию или другие варианты реализации MFA. Всем пользователям в арендаторах партнеров, выполняющим защищенные MFA операции, необходимо будет пройти проверку MFA. Дополнительные сведения см. в руководстве по настройке многофакторной проверки подлинности для клиента партнера.

Чтобы обеспечить соответствие требованиям и свести к минимуму нарушения, выполните следующие действия.

  • Переход на параметры безопасности по умолчанию
    • Политика параметров безопасности по умолчанию — это один из вариантов, доступных партнерам при реализации MFA. Этот вариант обеспечивает базовый уровень защиты без дополнительных затрат.
    • Узнайте, как включить MFA для вашей организации с идентификатором Microsoft Entra ID и ознакомиться с ключевыми соображениями безопасности по умолчанию.
    • Включите политику параметров безопасности по умолчанию, если она соответствует потребностям вашего бизнеса.
  • Переход на условный доступ
    • Если политика безопасности по умолчанию не соответствует вашим потребностям, включите условный доступ. Дополнительные сведения см. в документации по условному доступу Microsoft Entra.

Основные ресурсы

Как начать работу?

Каковы ресурсы для внедрения модели безопасного приложения?

Поддержка

Как можно получить поддержку?

Для поддержки ресурсов для удовлетворения требований безопасности:

  • Если у вас есть расширенная поддержка партнеров (ASfP), обратитесь к диспетчеру учетных записей службы.
  • Для поддержки Premier для партнеров (PSfP) обратитесь к диспетчеру учетных записей службы и техническому диспетчеру учетных записей.

Разделы справки получить техническую информацию и поддержку, чтобы помочь мне внедрить платформу модели безопасных приложений?

Варианты технической поддержки для идентификатора Microsoft Entra доступны с помощью преимуществ программы Microsoft AI Cloud Partner Program. Партнеры с доступом к активной подписке ASfP или PSfP могут работать с соответствующим диспетчером учетных записей (SAM/TAM), чтобы понять лучшие варианты, доступные для них.

Разделы справки обратиться в службу поддержки, если я потеряю доступ к Центру партнеров?

Если вы потеряете доступ из-за проблемы с MFA, обратитесь к администратору безопасности для вашего клиента. Внутренний ИТ-отдел может сообщить вам, кто ваш администратор безопасности.

Если вы забыли пароль, см . статью "Не удается войти в систему".

Где можно найти дополнительные сведения о распространенных технических проблемах?

Сведения о распространенных технических проблемах можно найти в статье Требования к безопасности для партнеров, использующих Центр партнеров или API-интерфейсы Центра партнеров.