Sdílet prostřednictvím

Požadavky na zabezpečení k používání Partnerského centra nebo rozhraní API Partnerského centra

  • Článek

příslušné role: Všichni uživatelé Partnerského centra

Jako poradce, dodavatel ovládacích panelů nebo partner CSP (Cloud Solution Provider) máte rozhodnutí ohledně možností ověřování a dalších aspektů zabezpečení.

Ochrana osobních údajů a zabezpečení pro vás a vaše zákazníky patří mezi naše hlavní priority. Víme, že nejlepší obranou je prevence a že jsme tak silní jako náš nejslabší článek. Potřebujeme, aby všichni v našem ekosystému zajistili, že budou zavedeny vhodné bezpečnostní ochrany.

Povinné požadavky na zabezpečení

Program CSP pomáhá zákazníkům nakupovat produkty a služby Microsoftu prostřednictvím partnerů. V souladu se smlouvou s Microsoftem jsou partneři povinni spravovat prostředí a poskytovat podporu zákazníkům, kterým prodávají.

Zákazníci, kteří nakupují prostřednictvím tohoto kanálu, vkládají do vás svou důvěru jako partnerovi, protože máte administrátorský přístup s vysokými oprávněními k tenantovi zákazníka.

Partneři, kteří neimplementují povinné požadavky na zabezpečení, nemůžou provádět transakce v programu CSP. Nemůžou také spravovat tenanty zákazníků, kteří používají delegovaná práva správce. Kromě toho můžou partneři, kteří neimplementují požadavky na zabezpečení, riskovat účast v programech.

Podmínky přidružené k požadavkům na zabezpečení partnera se přidají do smlouvy s partnerem Microsoftu. Smlouva s partnery společnosti Microsoft (MPA) se pravidelně aktualizuje a Microsoft doporučuje, aby ji všichni partneři pravidelně kontrolovali. Pokud jde o poradce, platí stejné smluvní požadavky.

Všichni partneři musí dodržovat osvědčené postupy zabezpečení , aby mohli zabezpečit prostředí partnerů a zákazníků. Tyto osvědčené postupy vám pomůžou zmírnit problémy se zabezpečením, napravit eskalace zabezpečení a zajistit, aby důvěryhodnost vašich zákazníků nebyla ohrožena.

Pokud chcete chránit vás a vaše zákazníky, musíte okamžitě provést následující akce:

Povolení vícefaktorového ověřování pro všechny uživatelské účty v partnerském tenantovi

U všech uživatelských účtů v partnerských tenantech musíte vynutit vícefaktorové ověřování (MFA). Uživatelé se setkávají s výzvami vícefaktorového ověřování, když:

  • Přihlaste se ke komerčním cloudovým službám Microsoftu.
  • Transakce v programu Cloud Solution Provider prostřednictvím Partnerského centra
  • Transakce prostřednictvím rozhraní API

Vynucování MFA se řídí těmito pokyny:

  • Partneři, kteří používají vícefaktorové ověřování Microsoft Entra podporované microsoftem. Další informace naleznete v tématu Více způsobů, jak povolit vícefaktorové ověřování Microsoft Entra.
  • Partner, který implementoval jakékoli vícefaktorové ověřování jiné společnosti než Microsoft, a je součástí seznamu výjimek. Stále mají přístup k Partnerskému centru a rozhraním API s výjimkami, ale nemůžou spravovat zákazníky pomocí DAP/GDAP. Žádné výjimky.
  • Organizace partnera, které byla dříve udělena výjimka pro MFA. Pokud byla partnerské organizaci udělena výjimka pro vícefaktorové ověřování, budou tyto výjimky dodrženy pouze v případě, že je uživatelé, kteří spravují tenanty zákazníků v rámci programu Cloud Solution Provider, povolili před 1. březnem 2022. Nedodržování požadavků na vícefaktorové ověřování může vést ke ztrátě přístupu zákazníka k nájemnímu prostředí.

Pro více informací si přečtěte téma Požadavek na vícefaktorové ověřování pro vašeho partnerského tenanta.

Přijetí architektury zabezpečeného aplikačního modelu

Všichni partneři, kteří se integrují s rozhraními API Partnerského centra, musí přijmout architekturu zabezpečeného aplikačního modelu pro všechny aplikace a aplikace modelu ověřování uživatelů.

Důležitý

Důrazně doporučujeme, aby partneři implementovali model zabezpečené aplikace pro integraci s rozhraním Microsoft API, jako je Azure Resource Manager nebo Microsoft Graph. Partneři by také měli implementovat zabezpečený aplikační model, když využívají automatizaci, jako je PowerShell pomocí přihlašovacích údajů zákazníka, aby se zabránilo přerušení při vynucování vícefaktorového ověřování.

Tyto požadavky na zabezpečení pomáhají chránit infrastrukturu a chránit data vašich zákazníků před potenciálními bezpečnostními riziky, jako je identifikace krádeže nebo jiných incidentů podvodu.

Další požadavky na zabezpečení

Zákazníci vám jako partnerovi důvěřují za poskytování služeb s přidanou hodnotou. Je nezbytné, abyste podnikli všechna bezpečnostní opatření k ochraně důvěry zákazníka a vaší pověsti partnera.

Microsoft nadále přidává vynucovací opatření, aby partneři museli dodržovat zabezpečení svých zákazníků a určovat jejich prioritu. Tyto požadavky na zabezpečení pomáhají chránit infrastrukturu a chránit data vašich zákazníků před potenciálními bezpečnostními riziky, jako je identifikace krádeže nebo jiných incidentů podvodu.

Partneři musí zajistit, aby přijali zásady nulové důvěryhodnosti, jak je popsáno v následujících částech.

Delegovaná oprávnění správce

Delegovaná oprávnění správce (DAP) poskytují možnost spravovat službu nebo předplatné zákazníka svým jménem. Zákazník musí partnerovi udělit administrativní oprávnění pro tuto službu. Vzhledem k tomu, že oprávnění poskytnutá partnerovi pro správu zákazníka jsou výrazně zvýšená, Microsoft doporučuje, aby partneři odstranili neaktivní DAPs. Partneři, kteří spravují tenanta zákazníka pomocí oprávnění delegovaného správce, by měli z Partnerského centra odebrat neaktivní DAP, aby se zabránilo dopadu na tenanta zákazníka a jeho prostředky.

Další informace najdete v průvodci Sledování správních vztahů a odebrání DAP samoobsluhou, v nejčastějších dotazech k oprávněním delegované správy a v příručce NOBELIUM zaměřenou na delegovaná oprávnění správce.

Také DAP bude brzy zastaralý. Důrazně doporučujeme všem partnerům, kteří aktivně používají DAP ke správě tenantů svých zákazníků, přejít k modelu s nejnižšími potřebnými oprávněními pomocí podrobných delegovaných oprávnění správce pro bezpečnou správu tenantů svých zákazníků.

Přechod na role s minimálními oprávněními pro správu nájemců zákazníků

Vzhledem k tomu, že se DAP brzy nepoužívá, Microsoft důrazně doporučuje přejít z aktuálního modelu DAP, který poskytuje agentům správy trvalý nebo neomezený přístup globálního správce. Nahraďte ho jemně odstupňovaným delegovaným modelem přístupu. Jemně odstupňovaný model delegovaného přístupu snižuje rizika zabezpečení pro zákazníky a účinky těchto rizik. Poskytuje také kontrolu a flexibilitu omezení přístupu pro jednotlivé zákazníky na úrovni úloh vašich zaměstnanců, kteří spravují služby a prostředí vašich zákazníků.

Další informace najdete v přehledu podrobných delegovaných oprávnění správce (GDAP), informace o nejméně privilegovaných rolích a nejčastějších dotazech k GDAP

Sledování oznámení o podvodech v Azure

Jako partner v programu CSP zodpovídáte za spotřebu Azure vašich zákazníků, takže je důležité, abyste byli informováni o všech potenciálních aktivitách dolování kryptoměn v předplatných Azure vašich zákazníků. Toto povědomí vám pomůže provést okamžitou akci, abyste zjistili, jestli je chování legitimní nebo podvodné. V případě potřeby můžete problém zmírnit pozastavením ovlivněných prostředků Azure nebo předplatného Azure.

Další informace najdete v dokumentaci k detekci podvodů a oznámení Azure .

Registrace k Microsoft Entra ID P2

Všichni agenti pro správu v tenantovi CSP by měli posílit svou kybernetickou bezpečnost implementací Microsoft Entra ID P2 a využít různé možnosti k posílení vašeho tenanta CSP. Microsoft Entra ID P2 poskytuje rozšířený přístup k protokolům přihlašování a prémiovým funkcím, jako je Microsoft Entra Privileged Identity Management (PIM) a možnosti podmíněného přístupu založené na rizicích za účelem posílení kontrolních mechanismů zabezpečení.

Dodržování osvědčených postupů zabezpečení CSP

Je důležité dodržovat všechny osvědčené postupy CSP pro zabezpečení. Další informace najdete v osvědčených postupech zabezpečení Cloud Solution Provider.

Implementace vícefaktorového ověřování

Pokud chcete splnit požadavky na zabezpečení partnera, musíte implementovat a vynutit vícefaktorové ověřování pro každý uživatelský účet v partnerském tenantovi. Můžete to udělat jedním z následujících způsobů:

Výchozí hodnoty zabezpečení

Jednou z možností, kterou partneři můžou použít k implementaci požadavků na vícefaktorové ověřování, je povolení výchozích hodnot zabezpečení v Microsoft Entra ID. Výchozí nastavení zabezpečení nabízí základní úroveň zabezpečení bez dalších poplatků. Přečtěte si, jak povolit vícefaktorové ověřování pro vaši organizaci pomocí Microsoft Entra ID. Tady je několik klíčových aspektů před povolením výchozích hodnot zabezpečení.

  • Partneři, kteří už přijali základní zásady, musí podniknout kroky pro přechod na výchozí nastavení zabezpečení.
  • Výchozí nastavení zabezpečení jsou náhradou předběžných základních zásad v rámci obecné dostupnosti. Jakmile partner povolí výchozí nastavení zabezpečení, nemůže povolit základní zásady.
  • Zásady výchozího nastavení zabezpečení jsou současně povoleny.
  • Partneři, kteří používají podmíněného přístupu , nemůžou používat výchozí nastavení zabezpečení .
  • Starší ověřovací protokoly jsou blokované.
  • Synchronizační účet Microsoft Entra Connect je vyloučen z výchozích hodnot zabezpečení a nezobrazí se výzva k registraci nebo provedení vícefaktorového ověřování. Organizace by tento účet neměly používat pro jiné účely.

Další informace najdete v tématu Přehled vícefaktorového ověřování Microsoft Entra pro vaši organizaci a Co jsou výchozí hodnoty zabezpečení?.

Poznámka

Výchozí zabezpečení Microsoft Entra představuje vývoj základních zásad ochrany, které byly zjednodušeny. Pokud jste už povolili zásady základní ochrany, důrazně doporučujeme povolit výchozí nastavení zabezpečení.

Nejčastější dotazy k implementaci

Vzhledem k tomu, že tyto požadavky platí pro všechny uživatelské účty ve vašem partnerském tenantovi, je potřeba zvážit několik věcí, abyste zajistili bezproblémové nasazení. Identifikujte například uživatelské účty v Microsoft Entra ID, které nemůžou provádět vícefaktorové ověřování, a aplikace a zařízení ve vaší organizaci, které nepodporují moderní ověřování.

Před provedením jakékoli akce doporučujeme provést následující ověření.

Máte aplikaci nebo zařízení, které nepodporuje použití moderního ověřování?

Při vynucení vícefaktorového ověřování se zablokují starší ověřování, která používají protokoly IMAP, POP3, SMTP. Je to proto, že tyto protokoly nepodporují vícefaktorové ověřování. Pokud chcete toto omezení opravit, použijte funkci hesla aplikací, čímž zajistíte, že se aplikace nebo zařízení stále ověřuje. Přezkoumejte aspekty používání hesel aplikací, abyste zjistili, zda je můžete použít ve svém prostředí.

Máte uživatele Office 365 s licencemi přidruženými k partnerskému tenantovi?

Před implementací jakéhokoli řešení doporučujeme určit, které verze Microsoft Office uživatelé ve vašem partnerském tenantovi používají. Je možné, že uživatelé můžou mít problémy s připojením k aplikacím, jako je Outlook. Než vynutíte vícefaktorové ověřování, je důležité zajistit, abyste používali Outlook 2013 SP1 nebo novější a aby vaše organizace povolila moderní ověřování. Další informace najdete v tématu Povolení moderního ověřování v Exchangi Online.

Pokud chcete povolit moderní ověřování pro zařízení s Windows a nainstalovaný Microsoft Office 2013, musíte vytvořit dva klíče registru. Viz Povolení moderního ověřování pro Office 2013 na zařízeních s Windows.

Brání některým uživatelům používání mobilních zařízení při práci nějaká zásada?

Je důležité identifikovat všechny firemní zásady, které zaměstnancům brání v používání mobilních zařízení při práci, protože ovlivňuje, jaké řešení MFA implementujete. Existují řešení, jako je řešení poskytovaná prostřednictvím implementace výchozích hodnot zabezpečení Microsoft Entra, která umožňují pouze použití ověřovací aplikace k ověření. Pokud má vaše organizace zásady, které brání použití mobilních zařízení, zvažte jednu z následujících možností:

  • Nasaďte jednorázovou aplikaci s jednorázovým heslem (TOTP), která může běžet v zabezpečeném systému.

Jakou automatizaci nebo integraci potřebujete k ověření přihlašovacích údajů uživatele?

Vynucení vícefaktorového ověřování pro uživatele, včetně účtů služeb, ve vašem partnerském adresáři může ovlivnit jakoukoli automatizaci nebo integraci, která k ověřování využívá přihlašovací údaje uživatele. Proto je důležité určit, které účty se v těchto situacích používají. Podívejte se na následující seznam ukázkových aplikací nebo služeb, které byste měli zvážit:

  • Pomocí ovládacího panelu můžete připravit prostředky jménem vašich zákazníků.
  • Integrujte se všemi platformami, které fakturují (jak souvisí s programem CSP) a podporují vaše zákazníky.
  • Použijte skripty PowerShellu, které používají rutiny Az, AzureRM, Microsoft Graph PowerShellu a další moduly.

Tento seznam není vyčerpávající, proto je důležité provést úplné posouzení jakékoli aplikace nebo služby ve vašem prostředí, které k ověřování používá přihlašovací údaje uživatele. Pokud se chcete potýkat s požadavkem na vícefaktorové ověřování, použijte pokyny v rozhraní zabezpečeného aplikačního modelu, pokud je to možné.

Přístup k prostředí

Pokud chcete lépe porozumět tomu, co nebo kdo ověřuje bez výzvy vícefaktorového ověřování, doporučujeme zkontrolovat přihlašovací aktivitu. Prostřednictvím Microsoft Entra ID P1 nebo P2 můžete použít sestavu přihlášení. Další informace najdete v tématu sestavy aktivit přihlašování v Centru pro správu Microsoft Entra. Pokud nemáte Microsoft Entra ID P1 nebo P2 nebo pokud potřebujete způsob, jak získat přihlašovací aktivitu prostřednictvím PowerShellu, použijte rutinu Get-PartnerUserSignActivity z modulu Partnerského centra PowerShellu.

Jak se požadavky vynucují

Pokud byla partnerské organizaci udělena výjimka pro vícefaktorové ověřování, budou tyto výjimky dodrženy pouze v případě, že je uživatelé, kteří spravují tenanty zákazníků v rámci programu Cloud Solution Provider, povolili před 1. březnem 2022. Nedodržování požadavků na vícefaktorové ověřování může vést ke ztrátě přístupu tenanta zákazníka.

Microsoft Entra ID a Partnerské centrum vynucují požadavky na zabezpečení partnerů kontrolou přítomnosti požadavku na MFA pro určení, že probíhá MFA ověření. Od 18. listopadu 2019 společnost Microsoft aktivovala další bezpečnostní opatření, dříve označovaná jako "technické vynucování" pro partnerské tenanty.

V době aktivace jsou uživatelé v partnerském tenantovi požádáni o dokončení ověřování vícefaktorového ověřování, když provádějí jakékoli operace správce jménem (AOBO). Uživatelé také musí dokončit vícefaktorové ověření, když přistupují k Partnerskému centru nebo volají rozhraní API Partnerského centra. Další informace naleznete v části Povinné vícefaktorové ověřování pro partnerského tenanta.

Partneři, kteří nesplňují požadavky, by měli tato opatření implementovat co nejdříve, aby se zabránilo narušení provozu. Pokud používáte vícefaktorové ověřování Microsoft Entra nebo výchozí nastavení zabezpečení Microsoft Entra, nemusíte provádět žádné další akce.

Pokud používáte jiné řešení než Microsoft MFA, je možné, že deklarace vícefaktorového ověřování nemusí být vydána. Pokud chybí atribut, ID Microsoft Entra nemůže určit, zda vícefaktorové ověřování vyvolává výzvu k žádosti o ověření. Informace o tom, jak ověřit, že vaše řešení vydává očekávaný nárok, najdete v tématu Požadavky na zabezpečení testovacího partnera.

Důležitý

Pokud řešení od jiného dodavatele než Microsoft nevydá očekávaný nárok, obraťte se na dodavatele, který řešení vyvinul, a zjistěte, jaké kroky podniknout.

Zdroje a ukázky

Informace o podpoře a vzorovém kódu najdete v následujících zdrojích informací:

Související obsah