Säkerhetskrav för användning av API:er för Partnercenter eller Partnercenter
Lämpliga roller: Alla Partnercenter-användare
Som rådgivare, kontrollpanelsleverantör eller Dobavljač rešenja u oblaku partner (CSP) har du beslut att fatta om autentiseringsalternativ och andra säkerhetsöverväganden.
Sekretessskydd och säkerhet för dig och dina kunder är bland våra främsta prioriteringar. Vi vet att det bästa försvaret är förebyggande och att vi bara är lika starka som vår svagaste länk. Därför behöver vi alla i vårt ekosystem för att säkerställa att lämpliga säkerhetsskydd finns på plats.
Obligatoriska säkerhetskrav
MED CSP-programmet kan kunder köpa Microsofts produkter och tjänster via partner. I enlighet med deras avtal med Microsoft måste partner hantera miljön för och ge support till de kunder som de säljer till.
Kunder som köper via den här kanalen litar på dig som partner eftersom du har administratörsåtkomst med hög behörighet till kundklientorganisationen.
Partner som inte implementerar de obligatoriska säkerhetskrav kommer inte att kunna utföra transaktioner i CSP-programmet eller hantera kundklientorganisationer med delegerade administratörsrättigheter. Dessutom kan partner som inte implementerar säkerhetskrav riskera sitt deltagande i program.
Villkoren som är associerade med partnersäkerhetskraven har lagts till i Microsoft-partneravtalet. Microsoft-partneravtalet (MPA) uppdateras regelbundet och Microsoft rekommenderar att alla partner återkommer regelbundet. När det gäller Advisors kommer samma avtalskrav att vara uppfyllda.
Alla partner måste följa rekommenderade säkerhetsmetoder så att de kan skydda partner- och kundmiljöer. Genom att följa dessa metodtips kan du åtgärda säkerhetsproblem och åtgärda säkerhetseskaleringar, vilket säkerställer att kundens förtroende inte komprometteras.
För att skydda dig och dina kunder kräver vi att partner vidtar följande åtgärder omedelbart:
Aktivera MFA för alla användarkonton i din partnerklientorganisation
Du måste framtvinga MFA på alla användarkonton i dina partnerklientorganisationer. Användare måste utmanas av MFA när de loggar in på Microsofts kommersiella molntjänster eller när de genomför Dobavljač rešenja u oblaku-programmet via Partnercenter eller via API:er.
MFA-tillämpning följer dessa riktlinjer:
- Partner som använder Microsoft-stödd Microsoft Entra multifaktorautentisering. Mer information finns i Flera sätt att aktivera Microsoft Entra multifaktorautentisering (MFA stöds)
- Partner som implementerade en MFA från tredje part och en del av undantagslistan kan fortfarande komma åt Partnercenter och API:er med undantag men kan inte hantera kunder med DAP/GDAP (inga undantag tillåts)
- Om partnerorganisationen tidigare har beviljats ett undantag för MFA måste användare som hanterar kundklientorganisationer som en del av CSP-programmet ha aktiverat Microsoft MFA-krav före den 1 mars 2022. Om MFA-kraven inte uppfylls kan det leda till att kundklientåtkomsten går förlorad.
- Läs mer om att ge tillstånd för multifaktorautentisering (MFA) för din partnerklientorganisation.
Införa Secure Application Model-ramverket
Alla partner som integrerar med Partnercenter-API:er måste använda ramverket för säker programmodell för alla program för app- och användarautentiseringsmodeller.
Viktigt!
Vi rekommenderar starkt att partner implementerar den säkra programmodellen för integrering med ett Microsoft-API, till exempel Azure Resource Manager eller Microsoft Graph, eller när de använder automatisering, till exempel PowerShell med hjälp av användarautentiseringsuppgifter, för att undvika störningar när MFA tillämpas.
Dessa säkerhetskrav hjälper dig att skydda din infrastruktur och skydda dina kunders data från potentiella säkerhetsrisker, till exempel identifiera stölder eller andra bedrägeriincidenter.
Andra säkerhetskrav
Kunderna litar på att du som partner tillhandahåller mervärdestjänster. Det är absolut nödvändigt att du vidtar alla säkerhetsåtgärder för att skydda kundens förtroende och ditt rykte som partner.
Microsoft fortsätter att lägga till verkställighetsåtgärder så att alla partner måste följa och prioritera säkerheten för sina kunder. Dessa säkerhetskrav hjälper dig att skydda din infrastruktur och skydda dina kunders data från potentiella säkerhetsrisker, till exempel identifiera stölder eller andra bedrägeriincidenter.
Partnern ansvarar för att säkerställa att de antar principerna om noll förtroende, särskilt följande.
Delegerade administratörsprivilegier (DAP)
Delegerade administratörsprivilegier (DAP) ger möjlighet att hantera en kunds tjänst eller prenumeration för deras räkning. Kunden måste bevilja partnerns administrativa behörigheter för den tjänsten. Eftersom de behörigheter som ges till partnern för att hantera kunden är mycket utökade rekommenderar Microsoft att alla partner tar bort inaktiva DAP:er. Alla partner som hanterar kundklientorganisationen med delegerade administratörsprivilegier bör ta bort inaktiv DAP från Partnercenter för att förhindra påverkan på kundens klientorganisation och deras tillgångar.
Mer information finns i guiden Övervaka administrativa relationer och dap-borttagning via självbetjäning, vanliga frågor och svar om delegerade administrationsprivilegier och nobelium som riktar sig mot delegerade administrativa privilegier.
Dessutom kommer DAP snart att bli inaktuellt. Vi rekommenderar starkt att alla partner som aktivt använder DAP hanterar sina kundklienter och går mot en modell med minsta möjliga privilegier för delegerade administratörsprivilegier för att hantera sina kunders klienter på ett säkert sätt.
Övergå till roller med minsta behörighet för att hantera kundklientorganisationer
Eftersom DAP snart kommer att bli inaktuell rekommenderar Microsoft starkt att du flyttar från den aktuella DAP-modellen (vilket ger administratörsagenter stående eller evig global administratörsåtkomst) och ersätter den med en detaljerad delegerad åtkomstmodell. Den detaljerade delegerade åtkomstmodellen minskar säkerhetsriskerna för kunderna och effekterna av dessa risker på dem. Det ger dig också kontroll och flexibilitet för att begränsa åtkomsten per kund på arbetsbelastningsnivå för dina anställda som hanterar dina kunders tjänster och miljöer.
Mer information finns i översikten över detaljerade delegerade administratörsprivilegier (GDAP), information om roller med minst privilegier och vanliga frågor och svar om GDAP
Håll utkik efter Azure-bedrägerimeddelanden
Som partner i CSP-programmet ansvarar du för kundens Azure-förbrukning, så det är viktigt att du är medveten om eventuella aktiviteter för kryptovalutautvinning i dina kunders Azure-prenumerationer. Med den här medvetenheten kan du vidta omedelbara åtgärder för att avgöra om beteendet är legitimt eller bedrägligt och, om det behövs, avbryta de berörda Azure-resurserna eller Azure-prenumerationen för att åtgärda problemet.
Mer information finns i Identifiering och meddelande om Azure-bedrägeri.
Registrera dig för Microsoft Entra ID P2
Alla administratörsagenter i CSP-klienten bör stärka sin cybersäkerhet genom att implementera Microsoft Entra ID P2 och dra nytta av de olika funktionerna för att stärka din CSP-klientorganisation. Microsoft Entra ID P2 ger utökad åtkomst till inloggningsloggar och premiumfunktioner som Microsoft Entra Privileged Identity Management (PIM) och riskbaserade funktioner för villkorsstyrd åtkomst för att stärka säkerhetskontrollerna.
Följ metodtipsen för CSP-säkerhet
Det är viktigt att följa alla metodtips för CSP för säkerhet. Läs mer på Dobavljač rešenja u oblaku bästa praxis för säkerhet.
Implementera multifaktorautentisering
För att uppfylla partnersäkerhetskraven måste du implementera och tillämpa MFA för varje användarkonto i din partnerklientorganisation. Du kan göra detta på något av följande sätt:
- Implementera Microsoft Entra-säkerhetsstandarder. Se mer i nästa avsnitt, Standardinställningar för säkerhet.
- Köp Microsoft Entra ID P1 eller P2 för varje användarkonto. Mer information finns i Planera en distribution av multifaktorautentisering i Microsoft Entra.
Standardinställningar för säkerhet
Ett av alternativen som partner kan välja att implementera MFA-krav är att aktivera standardinställningar för säkerhet i Microsoft Entra-ID. Standardinställningar för säkerhet erbjuder en grundläggande säkerhetsnivå utan extra kostnad. Granska hur du aktiverar MFA för din organisation med Microsoft Entra-ID och de viktigaste övervägandena nedan innan du aktiverar standardinställningar för säkerhet.
- Partner som redan har antagit baslinjeprinciper måste vidta åtgärder för att övergå till standardinställningar för säkerhet.
- Standardinställningar för säkerhet är den allmänna tillgänglighetsersättningen för baslinjeprinciperna för förhandsversionen. När en partner har aktiverat standardinställningarna för säkerhet kan de inte aktivera baslinjeprinciper.
- Med standardinställningar för säkerhet aktiveras alla principer samtidigt.
- För partner som använder villkorlig åtkomst är säkerhetsstandarder inte tillgängliga.
- Äldre autentiseringsprotokoll blockeras.
- Microsoft Entra Connect-synkroniseringskontot undantas från säkerhetsstandarder och uppmanas inte att registrera sig för eller utföra multifaktorautentisering. Organisationer bör inte använda det här kontot i andra syften.
Detaljerad information finns i Översikt över Microsoft Entra multifaktorautentisering för din organisation och Vad är säkerhetsstandarder?.
Kommentar
Microsoft Entra-säkerhetsstandarder är utvecklingen av baslinjeskyddsprinciperna förenklad. Om du redan har aktiverat baslinjeskyddsprinciperna rekommenderar vi starkt att du aktiverar standardinställningar för säkerhet.
Vanliga frågor och svar om implementering
Eftersom dessa krav gäller för alla användarkonton i din partnerklientorganisation måste du överväga flera saker för att säkerställa en smidig distribution. Du kan till exempel identifiera användarkonton i Microsoft Entra-ID som inte kan utföra MFA och program och enheter i din organisation som inte stöder modern autentisering.
Innan du utför någon åtgärd rekommenderar vi att du slutför följande valideringar.
Har du ett program eller en enhet som inte stöder användning av modern autentisering?
När du tillämpar MFA använder äldre autentisering protokoll som IMAP, POP3, SMTP och andra blockeras eftersom de inte stöder MFA. Du kan åtgärda den här begränsningen genom att använda funktionen för applösenord för att säkerställa att programmet eller enheten fortfarande autentiseras. Granska övervägandena för att använda applösenord för att avgöra om de kan användas i din miljö.
Har du Office 365-användare med licenser som är associerade med din partnerklientorganisation?
Innan du implementerar någon lösning rekommenderar vi att du fastställer vilka versioner av Microsoft kancelarija användare i din partnerklientorganisation använder. Det finns en chans att användarna får anslutningsproblem med program som Outlook. Innan du framtvingar MFA är det viktigt att se till att du använder Outlook 2013 SP1 eller senare och att din organisation har modern autentisering aktiverad. Mer information finns i Aktivera modern autentisering i Exchange Online.
Om du vill aktivera modern autentisering för enheter som kör Windows som har Microsoft kancelarija 2013 installerat måste du skapa två registernycklar. Se Aktivera modern autentisering för Office 2013 på Windows-enheter.
Finns det en princip som hindrar någon av dina användare från att använda sina mobila enheter när de arbetar?
Det är viktigt att identifiera alla företagsprinciper som hindrar anställda från att använda mobila enheter när de arbetar eftersom det påverkar vilken MFA-lösning du implementerar. Det finns lösningar, till exempel den som tillhandahålls via implementeringen av Microsoft Entra-säkerhetsstandarder, som endast tillåter användning av en autentiseringsapp för verifiering. Om din organisation har en princip som förhindrar användning av mobila enheter bör du överväga något av följande alternativ:
- Distribuera ett tidsbaserat totp-program (engångsbaslösenord) som kan köras på ett säkert system.
Vilken automatisering eller integrering måste du använda användarautentiseringsuppgifter för autentisering?
Tillämpning av MFA för varje användare, inklusive tjänstkonton, i din partnerkatalog, kan påverka all automatisering eller integrering som använder användarautentiseringsuppgifter för autentisering. Därför är det viktigt att du identifierar vilka konton som används i dessa situationer. Se följande lista över exempelprogram eller tjänster att överväga:
- Kontrollpanelen som används för att etablera resurser åt dina kunder
- Integrering med alla plattformar som används för fakturering (när det gäller CSP-programmet) och stöd för dina kunder
- PowerShell-skript som använder Modulerna Az, AzureRM, Microsoft Graph PowerShell och andra
Föregående lista är inte omfattande, så det är viktigt att du utför en fullständig utvärdering av alla program eller tjänster i din miljö som använder användarautentiseringsuppgifter för autentisering. För att uppfylla kravet på MFA bör du implementera vägledningen i ramverket för säker programmodell där det är möjligt.
Åtkomst till din miljö
För att bättre förstå vad eller vem som autentiserar utan att bli utmanad för MFA rekommenderar vi att du granskar inloggningsaktiviteten. Via Microsoft Entra ID P1 eller P2 kan du använda inloggningsrapporten. Mer information om det här ämnet finns i Rapporter om inloggningsaktivitet i administrationscentret för Microsoft Entra. Om du inte har Microsoft Entra ID P1 eller P2, eller om du letar efter ett sätt att få den här inloggningsaktiviteten via PowerShell, måste du använda cmdleten Get-PartnerUserSignActivity från PowerShell-modulen Partnercenter.
Så här framtvingas kraven
Om din partners organisation tidigare har beviljats ett undantag för MFA måste användare som hanterar kundklientorganisationer som en del av CSP-programmet ha aktiverat Microsoft MFA-krav före den 1 mars 2022. Om MFA-kraven inte uppfylls kan det leda till att kundklientåtkomsten går förlorad.
Partnersäkerhetskrav tillämpas av Microsoft Entra-ID och i sin tur Partnercenter genom att kontrollera om MFA-anspråket finns för att identifiera att MFA-verifiering har ägt rum. Sedan den 18 november 2019 har Microsoft aktiverat fler säkerhetsskydd (tidigare kallat "teknisk tillämpning") för partnerklientorganisationer.
Vid aktivering uppmanas användare i partnerklientorganisationen att slutföra MFA-verifieringen när de utför en administratör för (AOBO)-åtgärder, får åtkomst till Partnercenter eller anropar API:er för Partnercenter. Mer information finns i Mandating multifactor authentication (MFA) för din partnerklientorganisation.
Partner som inte har uppfyllt kraven bör implementera dessa åtgärder så snart som möjligt för att undvika avbrott i verksamheten. Om du använder Microsoft Entra-multifaktorautentisering eller Microsoft Entra-säkerhetsstandarder behöver du inte vidta några andra åtgärder.
Om du använder en MFA-lösning från tredje part finns det en risk att MFA-anspråket inte utfärdas. Om det här anspråket saknas kan Microsoft Entra-ID:t inte avgöra om autentiseringsbegäran har ifrågasatts av MFA. Information om hur du verifierar att din lösning utfärdar det förväntade anspråket finns i Testa partnersäkerhetskraven.
Viktigt!
Om din tredjepartslösning inte utfärdar det förväntade anspråket måste du samarbeta med leverantören som utvecklade lösningen för att avgöra vilka åtgärder som ska vidtas.
Resurser och exempel
Se följande resurser för support och exempelkod:
- Partner center security guidance group community: Partner Center Security Guidance Group community är en onlinecommunity där du kan lära dig mer om kommande händelser och ställa eventuella frågor som du kan ha.
- Partnercenter .NET-exempel: Den här GitHub-lagringsplatsen innehåller exempel som har utvecklats med hjälp av .NET som visar hur du kan implementera ramverket för säker programmodell.
- Java-exempel för Partnercenter: Den här GitHub-lagringsplatsen innehåller exempel som har utvecklats med Java som visar hur du kan implementera ramverket för säker programmodell.
- Partnercenter PowerShell – multifaktorautentisering: Den här artikeln om multifaktorautentisering innehåller information om hur du implementerar ramverket för säker programmodell med PowerShell.
- Funktioner och licenser för Microsoft Entra multifaktorautentisering
- Planera en microsoft entra-multifaktordistribution
- Testa partnersäkerhetskraven med PowerShell