İş Ortağı Merkezi veya İş Ortağı Merkezi API'lerini kullanmak için güvenlik gereksinimleri
Uygun roller: Tüm İş Ortağı Merkezi kullanıcıları
Danışman, denetim masası satıcısı veya Bulut Çözümü Sağlayıcısı (CSP) iş ortağı olarak, kimlik doğrulama seçenekleri ve diğer güvenlik konularıyla ilgili kararlarınız vardır.
Siz ve müşterileriniz için gizlilik korumaları ve güvenliği en önemli önceliklerimiz arasındadır. En iyi savunmanın önleme olduğunu ve en zayıf bağlantımız kadar güçlü olduğumuzu biliyoruz. Bu nedenle uygun güvenlik korumalarının sağlandığından emin olmak için ekosistemimizdeki herkese ihtiyacımız var.
Zorunlu güvenlik gereksinimleri
CSP programı, müşterilerin iş ortakları aracılığıyla Microsoft ürünleri ve hizmetleri satın almasını sağlar. İş ortaklarının Microsoft ile yaptıkları sözleşmeye uygun olarak ortamı yönetmesi ve satış yaptıkları müşterilere destek sağlaması gerekir.
Bu kanal üzerinden satın alan müşteriler, müşteri kiracısına yüksek ayrıcalıklı yönetici erişiminiz olduğundan iş ortağı olarak size güvenmektedir.
Zorunlu güvenlik gereksinimlerini uygulamayan iş ortakları CSP programında işlem yapamaz veya temsilci yönetici haklarını kullanarak müşteri kiracılarını yönetemez. Buna ek olarak, güvenlik gereksinimlerini uygulamayan iş ortakları programlara katılımlarını riske atabilir.
İş ortağı güvenlik gereksinimleriyle ilişkili koşullar Microsoft İş Ortağı Sözleşmesi eklenmiştir. Microsoft İş Ortağı Sözleşmesi (MPA) düzenli aralıklarla güncelleştirilir ve Microsoft, tüm iş ortaklarının düzenli aralıklarla yeniden denetlemesini önerir. Danışmanlar ile ilgili olarak, aynı sözleşme gereksinimleri yerine getirilecektir.
Tüm iş ortaklarının iş ortağı ve müşteri ortamlarının güvenliğini sağlayabilmeleri için en iyi güvenlik uygulamalarına uymaları gerekir. Bu en iyi yöntemlere bağlı olmak, güvenlik sorunlarını azaltmaya ve güvenlik yükseltmelerini düzeltmeye yardımcı olarak müşterinin güveninin tehlikeye atılmamasını sağlar.
Sizi ve müşterilerinizi korumak için iş ortaklarının hemen aşağıdaki eylemleri gerçekleştirmesini zorunlu kılarız:
İş ortağı kiracınızdaki tüm kullanıcı hesapları için MFA'yı etkinleştirme
İş ortağı kiracılarınızdaki tüm kullanıcı hesaplarında MFA'yı zorunlu kılmanız gerekir. Microsoft ticari bulut hizmetlerinde oturum açtıklarında veya İş Ortağı Merkezi aracılığıyla veya API'ler aracılığıyla Bulut Çözümü Sağlayıcısı programında işlem yaptıklarında kullanıcılarA MFA tarafından zorlanmalıdır.
MFA zorlaması şu yönergeleri izler:
- Microsoft tarafından desteklenen Microsoft Entra çok faktörlü kimlik doğrulamasını kullanan iş ortakları. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmenin birden çok yolu (MFA desteklenir)
- Herhangi bir üçüncü taraf MFA'sı uygulayan ve özel durum listesinin bir bölümünü uygulayan iş ortağı, özel durumlarla birlikte İş Ortağı Merkezi'ne ve API'lere erişmeye devam edebilir, ancak DAP/GDAP kullanarak müşteriyi yönetemez (özel durumlara izin verilmez)
- İş ortağının kuruluşuna daha önce MFA için bir özel durum verildiyse, CSP programının bir parçası olarak müşteri kiracılarını yöneten kullanıcıların 1 Mart 2022'ye kadar Microsoft MFA gereksinimlerini etkinleştirmiş olması gerekir. MFA gereksinimlerine uyulmaması, müşteri kiracı erişiminin kaybolmasına neden olabilir.
- İş ortağı kiracınız için çok faktörlü kimlik doğrulaması (MFA) oluşturma hakkında daha fazla bilgi edinin.
Güvenlik Uygulama Modeli çerçevesini benimseyin
İş Ortağı Merkezi API'leriyle tümleştiren tüm iş ortakları, tüm uygulama ve kullanıcı kimlik doğrulama modeli uygulamaları için Güvenli Uygulama Modeli çerçevesini benimsemelidir.
Önemli
İş ortaklarının Azure Resource Manager veya Microsoft Graph gibi bir Microsoft API'siyle tümleştirmek veya MFA uygulandığında herhangi bir kesintiyi önlemek için kullanıcı kimlik bilgilerini kullanarak PowerShell gibi otomasyondan yararlanırken Güvenli Uygulama Modeli uygulamasını kesinlikle öneririz.
Bu güvenlik gereksinimleri altyapınızı korumaya ve müşterilerinizin verilerini hırsızlığı veya diğer dolandırıcılık olaylarını belirleme gibi olası güvenlik risklerinden korumaya yardımcı olur.
Diğer güvenlik gereksinimleri
Müşteriler, katma değerli hizmetler sağlamak için iş ortakları olarak size güvenir. Müşterinin güvenini ve iş ortağı olarak itibarınızı korumak için tüm güvenlik önlemlerini almanız şarttır.
Microsoft, tüm iş ortaklarının müşterilerinin güvenliğine bağlı kalmaları ve önceliklerini belirlemeleri için zorlama önlemleri eklemeye devam eder. Bu güvenlik gereksinimleri, altyapınızı korumaya ve müşterilerinizin verilerini hırsızlığı veya diğer dolandırıcılık olaylarını tanımlama gibi olası güvenlik risklerine karşı korumaya yardımcı olur.
İş ortağı, özellikle aşağıdakiler olmak üzere sıfır güven ilkelerini benimsediklerinden emin olmakla sorumludur.
Yönetici Ayrıcalıkları Temsilcisi (DAP)
Temsilci yönetici ayrıcalıkları (DAP), müşterinin hizmetini veya aboneliğini kendi adına yönetme olanağı sağlar. Müşterinin bu hizmet için iş ortağı yönetim izinleri vermesi gerekir. Müşteriyi yönetmek için iş ortağına sağlanan ayrıcalıklar yüksek oranda yükseltildiğinden, Microsoft tüm iş ortaklarının etkin olmayan DAP'leri kaldırmasını önerir. Temsilci Yönetici Ayrıcalıklarını kullanarak müşteri kiracısını yöneten tüm iş ortakları, müşteri kiracısı ve varlıkları üzerindeki herhangi bir etkiyi önlemek için etkin olmayan DAP'ı İş Ortağı Merkezi'nden kaldırmalıdır.
Daha fazla bilgi için bkz . Yönetim ilişkilerini izleme ve self servis DAP kaldırma kılavuzu, Temsilci yönetim ayrıcalıkları SSS ve NOBELIUM temsilci yönetici ayrıcalıklarını hedefleme kılavuzu.
Ayrıca, DAP yakında kullanımdan kaldırılacaktır. MÜŞTERI kiracılarını yönetmek ve müşterilerinin kiracılarını güvenli bir şekilde yönetmek için en az ayrıcalıklı Ayrıntılı Yönetici Ayrıcalıkları modeline geçmek için DAP kullanan tüm iş ortaklarını kesinlikle öneririz.
Müşteri kiracılarınızı yönetmek için en az ayrıcalık rollerine geçiş
DAP yakında kullanımdan kaldırılacağından, Microsoft geçerli DAP modelinden ayrılmanızı (Yönetici aracılarına ayakta veya kalıcı Genel yönetici erişimi sağlar) ve bunu ayrıntılı bir temsilci erişim modeliyle değiştirmenizi kesinlikle önerir. Ayrıntılı temsilci erişim modeli, müşterilerin güvenlik risklerini ve bu risklerin onlar üzerindeki etkilerini azaltır. Ayrıca, müşterilerinizin hizmetlerini ve ortamlarını yöneten çalışanlarınızın iş yükü düzeyinde müşteri başına erişimi kısıtlama denetimi ve esnekliği de sağlar.
Daha fazla bilgi için bkz. Ayrıntılı yönetici ayrıcalıklarına (GDAP) genel bakış, en az ayrıcalıklı roller hakkında bilgi ve GDAP SSS
Azure sahtekarlık bildirimlerini izleyin
CSP programının iş ortağı olarak, müşterinizin Azure tüketiminden siz sorumlu olursunuz, bu nedenle müşterilerinizin Azure aboneliklerindeki olası kripto para birimi madenciliği etkinliklerinin farkında olmanız önemlidir. Bu farkındalık, davranışın meşru mu yoksa sahte mi olduğunu belirlemek için hemen harekete geçmenizi ve gerekirse sorunu azaltmak için etkilenen Azure kaynaklarını veya Azure aboneliğini askıya almanıza olanak tanır.
Daha fazla bilgi için bkz . Azure sahtekarlığı algılama ve bildirimi.
Microsoft Entra ID P2'ye kaydolma
CSP kiracısında yer alan tüm Yönetici Aracıları, Microsoft Entra ID P2'yi uygulayarak siber güvenliklerini güçlendirmeli ve CSP kiracınızı güçlendirmek için çeşitli özelliklerden yararlanmalıdır. Microsoft Entra Id P2, güvenlik denetimlerini güçlendirmek için oturum açma günlüklerine ve Microsoft Entra Privileged Identity Management (PIM) ve risk tabanlı Koşullu Erişim özellikleri gibi premium özelliklere genişletilmiş erişim sağlar.
CSP güvenlik en iyi yöntemlerine uyma
Güvenlik için tüm CSP en iyi yöntemlerini izlemek önemlidir. Bulut Çözümü Sağlayıcısı en iyi güvenlik yöntemleri bölümünden daha fazla bilgi edinin.
Çok faktörlü kimlik doğrulamasını uygulama
İş ortağı güvenlik gereksinimlerine uymak için, iş ortağı kiracınızdaki her kullanıcı hesabı için MFA uygulamanız ve zorunlu kılmanız gerekir. Bunu aşağıdaki yollardan birini yapabilirsiniz:
- Microsoft Entra güvenlik varsayılanlarını uygulayın. Güvenlik varsayılanları başlıklı sonraki bölümde daha fazla bilgi bulabilirsiniz.
- Her kullanıcı hesabı için Microsoft Entra ID P1 veya P2 satın alın. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama.
Güvenlik varsayılanları
İş ortaklarının MFA gereksinimlerini uygulamak için seçebileceği seçeneklerden biri, Microsoft Entra Id'de güvenlik varsayılanlarını etkinleştirmektir. Güvenlik varsayılanları, ek ücret ödemeden temel bir güvenlik düzeyi sunar. Güvenlik varsayılanlarını etkinleştirmeden önce Microsoft Entra ID ile kuruluşunuz için MFA'yı etkinleştirmeyi ve aşağıdaki önemli noktaları gözden geçirin.
- Temel ilkeleri zaten benimseyen iş ortaklarının güvenlik varsayılanlarına geçiş yapmak için işlem gerçekleştirmesi gerekir.
- Güvenlik varsayılanları, önizleme temel ilkelerinin genel kullanılabilirlik değişimidir. İş ortağı güvenlik varsayılanlarını etkinleştirdikten sonra temel ilkeleri etkinleştiremez.
- Güvenlik varsayılanları ile tüm ilkeler aynı anda etkinleştirilir.
- Koşullu erişim kullanan iş ortakları için güvenlik varsayılanları kullanılamaz.
- Eski kimlik doğrulama protokolleri engellenir.
- Microsoft Entra Connect eşitleme hesabı güvenlik varsayılanlarının dışında tutulur ve çok faktörlü kimlik doğrulamasına kaydolması veya gerçekleştirmesi istenmez. Kuruluşlar bu hesabı başka amaçlarla kullanmamalıdır.
Ayrıntılı bilgi için bkz . Kuruluşunuz için Microsoft Entra çok faktörlü kimlik doğrulamasına genel bakış ve Güvenlik varsayılanları nelerdir?.
Not
Microsoft Entra güvenlik varsayılanları, basitleştirilen temel koruma ilkelerinin evrimidir. Temel koruma ilkelerini zaten etkinleştirdiyseniz, güvenlik varsayılanlarını etkinleştirmeniz kesinlikle önerilir.
Uygulama hakkında sık sorulan sorular (SSS)
Bu gereksinimler iş ortağı kiracınızdaki tüm kullanıcı hesapları için geçerli olduğundan sorunsuz bir dağıtım sağlamak için birkaç şeyi göz önünde bulundurmanız gerekir. Örneğin, Microsoft Entra Id'de MFA gerçekleştirememe kullanıcı hesaplarını ve kuruluşunuzda modern kimlik doğrulamasını desteklemeyen uygulamaları ve cihazları tanımlayın.
Herhangi bir eylem gerçekleştirmeden önce aşağıdaki doğrulamaları tamamlamanızı öneririz.
Modern kimlik doğrulaması kullanımını desteklemeyen bir uygulamanız veya cihazınız var mı?
MFA'yı zorunlu bıraktığınızda, eski kimlik doğrulaması IMAP, POP3, SMTP ve diğerleri gibi protokolleri kullanır, çünkü MFA'yı desteklemez. Bu sınırlamayı gidermek için uygulama veya cihazın kimliğini doğrulamaya devam edeceğinden emin olmak için uygulama parolaları özelliğini kullanın. Uygulama parolalarını kullanırken dikkat edilmesi gereken noktaları gözden geçirerek bunların ortamınızda kullanılıp kullanılamadığını belirleyin.
İş ortağı kiracınızla ilişkili lisanslara sahip Office 365 kullanıcılarınız var mı?
Herhangi bir çözümü uygulamadan önce, iş ortağı kiracınızdaki Microsoft Office kullanıcılarının hangi sürümlerini kullandığını belirlemenizi öneririz. Kullanıcılarınızın Outlook gibi uygulamalarla bağlantı sorunları yaşama olasılığı vardır. MFA'yı uygulamadan önce, Outlook 2013 SP1 veya sonraki bir sürümü kullandığınızdan ve kuruluşunuzun modern kimlik doğrulamasının etkinleştirildiğinden emin olmanız önemlidir. Daha fazla bilgi için bkz . Exchange Online'da modern kimlik doğrulamasını etkinleştirme.
Microsoft Office 2013 yüklü Windows çalıştıran cihazlarda modern kimlik doğrulamasını etkinleştirmek için iki kayıt defteri anahtarı oluşturmanız gerekir. Bkz . Windows cihazlarında Office 2013 için Modern Kimlik Doğrulamasını Etkinleştirme.
Kullanıcılarınızdan herhangi birinin çalışırken mobil cihazlarını kullanmasını engelleyen bir ilke var mı?
Hangi MFA çözümünü uyguladığınızı etkileyebileceğinden, çalışanların çalışırken mobil cihazları kullanmasını engelleyen tüm şirket ilkelerini belirlemek önemlidir. Microsoft Entra güvenlik varsayılanlarının uygulanmasıyla sağlanan ve yalnızca doğrulama için bir kimlik doğrulayıcı uygulamasının kullanılmasına izin veren çözümler vardır. Kuruluşunuzda mobil cihazların kullanımını engelleyen bir ilke varsa aşağıdaki seçeneklerden birini göz önünde bulundurun:
- Güvenli sistemde çalışabilen zamana dayalı bir tek seferlik temel parola (TOTP) uygulaması dağıtın.
Kimlik doğrulaması için kullanıcı kimlik bilgilerini kullanmanız gereken otomasyon veya tümleştirme nedir?
İş ortağı dizininizde hizmet hesapları da dahil olmak üzere her kullanıcı için MFA'nın uygulanması, kimlik doğrulaması için kullanıcı kimlik bilgilerini kullanan tümleştirmeyi veya tümleştirmeyi etkileyebilir. Bu nedenle, bu durumlarda hangi hesapların kullanıldığını belirlemeniz önemlidir. Göz önünde bulundurulacak örnek uygulama veya hizmetlerin aşağıdaki listesine bakın:
- Müşterileriniz adına kaynak sağlamak için kullanılan denetim masası
- Faturalama (CSP programıyla ilgili olduğu gibi) ve müşterilerinizi desteklemek için kullanılan herhangi bir platformla tümleştirme
- Az, AzureRM , Microsoft Graph PowerShell ve diğer modülleri kullanan PowerShell betikleri
Yukarıdaki liste kapsamlı olmadığından, ortamınızda kimlik doğrulaması için kullanıcı kimlik bilgilerini kullanan herhangi bir uygulama veya hizmetin tam değerlendirmesini yapmanız önemlidir. MFA gereksinimini yerine getirmek için, mümkün olduğunca Güvenli Uygulama Modeli çerçevesinde kılavuzu uygulamanız gerekir.
Ortamınıza erişme
MFA için zorlanmadan kimlerin veya nelerin kimlik doğrulaması yaptığını daha iyi anlamak için oturum açma etkinliğini gözden geçirmenizi öneririz. Microsoft Entra Id P1 veya P2 aracılığıyla oturum açma raporunu kullanabilirsiniz. Bu konu hakkında daha fazla bilgi için bkz . Microsoft Entra yönetim merkezinde oturum açma etkinlik raporları. Microsoft Entra ID P1 veya P2'niz yoksa veya powershell aracılığıyla bu oturum açma etkinliğini elde etmenin bir yolunu arıyorsanız İş Ortağı Merkezi PowerShell modülündeki Get-PartnerUserSignActivity cmdlet'ini kullanmanız gerekir.
Gereksinimler nasıl uygulanır?
İş ortağınızın kuruluşuna daha önce MFA için bir özel durum verildiyse, CSP programının bir parçası olarak müşteri kiracılarını yöneten kullanıcıların 1 Mart 2022'ye kadar Microsoft MFA gereksinimlerini etkinleştirmiş olması gerekir. MFA gereksinimlerine uyulmaması, müşteri kiracı erişiminin kaybolmasına neden olabilir.
İş ortağı güvenlik gereksinimleri, MFA doğrulamasının gerçekleştiğini belirlemek için MFA talebi olup olmadığını denetleyerek Microsoft Entra Id ve buna karşılık İş Ortağı Merkezi tarafından uygulanır. Microsoft, 18 Kasım 2019'dan bu yana iş ortağı kiracıları için daha fazla güvenlik önlemi ("teknik uygulama" olarak bilinirdi) etkinleştirmiştir.
Etkinleştirmeden sonra, iş ortağı kiracısı kullanıcıların (AOBO) işlemleri adına herhangi bir yönetici gerçekleştirirken, İş Ortağı Merkezi'ne erişirken veya İş Ortağı Merkezi API'lerini çağırırken MFA doğrulamasını tamamlamaları istenir. Daha fazla bilgi için bkz . İş ortağı kiracınız için çok faktörlü kimlik doğrulamasını (MFA) mandating.
Gereksinimleri karşılamayan iş ortakları, iş kesintilerini önlemek için bu önlemleri mümkün olan en kısa sürede uygulamalıdır. Microsoft Entra çok faktörlü kimlik doğrulamasını veya Microsoft Entra güvenlik varsayılanlarını kullanıyorsanız başka bir işlem yapmanız gerekmez.
Üçüncü taraf MFA çözümü kullanıyorsanız, MFA talebi verilmemiş olabilir. Bu talep eksikse, Microsoft Entra Id kimlik doğrulaması isteğinin MFA tarafından istenip istenmediğini saptayamaz. Çözümünüzün beklenen talebi gönderdiğini doğrulama hakkında bilgi için İş Ortağı Güvenlik Gereksinimlerini Test Etme konusuna bakın.
Önemli
Üçüncü taraf çözümünüz beklenen talebi vermezse, hangi eylemlerin gerçekleştirileceğini belirlemek için çözümü geliştiren satıcıyla birlikte çalışmanız gerekir.
Kaynaklar ve örnekler
Destek ve örnek kod için aşağıdaki kaynaklara bakın:
- İş Ortağı Merkezi Güvenlik Kılavuzu Grubu topluluğu: İş Ortağı Merkezi Güvenlik Kılavuzu Grubu topluluğu, yaklaşan etkinlikler hakkında bilgi edinebileceğiniz ve sorularınızı sorabileceğiniz çevrimiçi bir topluluktır.
- İş Ortağı Merkezi .NET Örnekleri: Bu GitHub deposu, Güvenli Uygulama Modeli çerçevesini nasıl uygulayabileceğinizi gösteren .NET kullanılarak geliştirilmiş örnekler içerir.
- İş Ortağı Merkezi Java Örnekleri: Bu GitHub deposu, Güvenli Uygulama Modeli çerçevesini nasıl uygulayabileceğinizi gösteren Java kullanılarak geliştirilmiş örnekler içerir.
- İş Ortağı Merkezi PowerShell - çok faktörlü kimlik doğrulaması: Bu çok faktörlü kimlik doğrulaması makalesi, PowerShell kullanarak Güvenli Uygulama Modeli çerçevesinin nasıl uygulanamaya ilişkin ayrıntıları sağlar.
- Microsoft Entra çok faktörlü kimlik doğrulaması için özellikler ve lisanslar
- Microsoft Entra çok faktörlü dağıtım planlama
- PowerShell kullanarak İş Ortağı Güvenlik Gereksinimlerini Test Etme