Procedure consigliate per la sicurezza per CSP

Tutti i partner del programma Cloud Solution Provider (CSP) che accedono a Partner Center e Partner Center APIs devono seguire le indicazioni sulla sicurezza in questo articolo per proteggere sé stessi e i clienti.

Per la sicurezza dei clienti, vedere Procedure consigliate per la sicurezza dei clienti. Per le migliori pratiche per la gestione delle entità servizio, vedere Protezione delle entità servizio in Microsoft Entra ID.

Importante

Azure Active Directory (Azure AD) Graph è deprecato a partire dal 30 giugno 2023. In futuro non verranno effettuati ulteriori investimenti in Azure AD Graph. Le API Graph di Azure AD non hanno alcun contratto di servizio o impegno di manutenzione oltre alle correzioni correlate alla sicurezza. Gli investimenti in nuove funzionalità e funzionalità verranno effettuati solo in Microsoft Graph.

Azure AD Graph verrà ritirato nei passaggi incrementali in modo da avere tempo sufficiente per eseguire la migrazione delle applicazioni alle API Di Microsoft Graph. A una data successiva che verrà annunciata, si bloccherà la creazione di nuove applicazioni usando Azure AD Graph.

Per altre informazioni, vedere Importante: Ritiro di Azure AD Graph e deprecazione del modulo PowerShell.

Passaggi fortemente consigliati nei tenant

• Aggiungere un contatto di sicurezza per le notifiche relative a questioni di sicurezza nel tenant del Centro per i partner.
• Verifica il punteggio di sicurezza dell'identità in Microsoft Entra ID e intraprendi le azioni appropriate per aumentare il tuo punteggio.
• Esaminare e implementare le linee guida documentate in Gestione della mancata corresponsione, frode o uso improprio.
• Acquisire familiarità con l'attore di minaccia NOBELIUM e i materiali correlati:
  • NOBELIUM mira a privilegi amministrativi delegati per facilitare attacchi più ampi
  • Formazione sulla risposta NOBELIUM
  • Protezione del canale: Percorso verso zero attendibilità

Procedure consigliate per l'identità

Richiedere l'autenticazione a più fattori

• Assicurati che tutti gli utenti nei tenant del Centro per i partner e nei tenant dei clienti siano registrati e richiedano l'autenticazione a più fattori (MFA). Esistono diversi modi per configurare l'autenticazione a più fattori. Scegliere il metodo che si applica al tenant che si sta configurando:
  • Il tenant del mio Centro per i partner/cliente ha l'ID di Microsoft Entra P1
    • Utilizzare l'accesso condizionale per applicare l'autenticazione a più fattori.
  • Il tenant del Partner Center/del cliente ha Microsoft Entra ID P2
    • Usa l'accesso condizionale per imporre l'autenticazione a più fattori.
    • Implementare politiche basate sul rischio usando Microsoft Entra ID Protection.
    • Per il tenant del Partner Center, potresti qualificarti per Microsoft 365 E3 o E5, a seconda dei vantaggi dei diritti di uso interno (IUR). Questi SKU includono rispettivamente Microsoft Entra ID P1 o 2.
    • Per il tenant del cliente, è consigliabile abilitare le impostazioni predefinite di sicurezza.
      • Se il cliente usa app che richiedono l'autenticazione legacy, queste app non funzioneranno dopo aver abilitato le impostazioni predefinite per la sicurezza. Se l'app non può essere sostituita, rimossa o aggiornata per usare l'autenticazione moderna, puoi applicare l'autenticazione a più fattori tramite MFA per utente.
      • È possibile monitorare e applicare l'uso delle impostazioni predefinite per la sicurezza del cliente usando la chiamata API Graph seguente:
        • tipo di risorsa identitySecurityDefaultsEnforcementPolicy - Microsoft Graph v1.0 | Microsoft Learn
• Assicurarsi che il metodo MFA usato sia resistente al phishing. È possibile utilizzare l'autenticazione senza password o l'abbinamento dei numeri.
• Se un cliente rifiuta di usare l'autenticazione a più fattori, non fornire loro l'accesso ai ruoli di amministratore a Microsoft Entra ID o le autorizzazioni di scrittura per le sottoscrizioni di Azure.

Accesso all'app

• Adottare il framework del modello di applicazione sicura. Tutti i partner che integrano le API del Centro per i partner devono adottare il framework del Modello di Applicazione Sicura per qualsiasi app e applicazione del modello di autenticazione utente.
• Disabilitare il consenso dell'utente nei tenant di Microsoft Entra in Partner Center o utilizzare il flusso di lavoro di consenso amministratore.

Privilegi minimi/Nessun accesso permanente

• Gli utenti con ruoli predefiniti con privilegi di Microsoft Entra non devono usare regolarmente tali account per la posta elettronica e la collaborazione. Creare un account utente separato senza ruoli amministrativi di Microsoft Entra per le attività di collaborazione.
• Esaminare il gruppo agente di amministrazione e rimuovere persone che non hanno bisogno di accesso.
• Esaminare regolarmente l'accesso al ruolo amministrativo in Microsoft Entra ID e limitare l'accesso al minor numero possibile di account. Per ulteriori informazioni, vedere Ruoli predefiniti di Microsoft Entra.
• Gli utenti che lasciano l'azienda o modificano i ruoli all'interno dell'azienda devono essere rimossi dall'accesso al Centro per i partner.
• Se si ha Microsoft Entra ID P2, usare Privileged Identity Management (PIM) per applicare l'accesso just-in-time (JIT). Usare la doppia custodia per esaminare e approvare l'accesso per i ruoli di amministratore di Microsoft Entra e i ruoli del Centro per i partner.
• Per proteggere i ruoli privilegiati, vedere Panoramica sulla protezione dell'accesso privilegiato.
• Esaminare regolarmente l'accesso agli ambienti dei clienti.
  • Rimuovere i privilegi di amministrazione delegata (DAP) inattivi.
  • Domande frequenti su GDAP.
  • Assicurarsi che le relazioni GDAP utilizzino ruoli con i privilegi minimi necessari.

Isolamento delle identità

• Evitare di ospitare l'istanza del Centro per i partner nello stesso tenant di Microsoft Entra che ospita i servizi IT interni, ad esempio gli strumenti di posta elettronica e collaborazione.
• Usare account utente dedicati e separati per gli utenti privilegiati del Partner Center che hanno accesso ai dati dei clienti.
• Evitare di creare account utente nei tenant Microsoft Entra del cliente destinati a essere usati dai partner per amministrare il tenant del cliente e le app e i servizi correlati.

Procedure consigliate per i dispositivi

• Consentire solo l'accesso al Centro per i partner e al tenant dei clienti da workstation registrate e integre con baseline di sicurezza gestite e monitorate per i rischi per la sicurezza.
• Per gli utenti del Centro per i partner con accesso privilegiato agli ambienti dei clienti, è consigliabile richiedere workstation dedicate (virtuali o fisiche) per consentire a tali utenti di accedere agli ambienti dei clienti. Per ulteriori informazioni, vedere Protezione dell'accesso privilegiato.

Procedure consigliate per il monitoraggio

API del Partner Center

• Tutti i fornitori di Pannello di controllo dovrebbero abilitare il modello di sicurezza delle applicazioni e attivare la registrazione di ogni attività dell'utente.
• I fornitori del pannello di controllo dovrebbero abilitare l'auditing di ogni agente partner che accede all'applicazione e tutte le azioni da loro eseguite.

Monitoraggio e verifica dell'accesso

• I partner con una licenza Microsoft Entra ID P2 si qualificano automaticamente per mantenere i dati di log di controllo e accesso fino a 30 giorni.

  Confermare che:

  • La registrazione di controllo è disponibile laddove sono utilizzati account amministratore delegato.
  • I log acquisiscono il livello massimo di dettagli forniti dal servizio.
  • I log vengono conservati per un periodo accettabile (fino a 30 giorni) che consente il rilevamento di attività anomale.

  La registrazione di controllo dettagliata potrebbe richiedere l'acquisto di più servizi. Per ulteriori informazioni, vedere Per quanto tempo Microsoft Entra ID archivia i dati dei report?

• Esaminare e verificare regolarmente gli indirizzi di posta elettronica di ripristino delle password e i numeri di telefono all'interno di Microsoft Entra ID per tutti gli utenti con i ruoli di amministratore di Entra con privilegi e aggiornare, se necessario.

  • Se il tenant di un cliente è compromesso, il partner CSP Direct Bill, il provider indiretto o il rivenditore indiretto non possono contattare il supporto per richiedere una modifica della password dell'amministratore nel tenant del cliente. Il Cliente deve chiamare il supporto tecnico Microsoft seguendo le istruzioni riportate nell'argomento Reimpostare la mia password di amministratore. L'argomento Reimposta la mia password di amministratore contiene un collegamento che i clienti possono usare per chiamare il supporto tecnico Microsoft. Istruire il cliente a menzionare che il CSP non ha più accesso al loro tenant per aiutare nella reimpostazione della password. Il fornitore di servizi cloud dovrebbe considerare la sospensione delle sottoscrizioni del cliente fino a quando l'accesso non sia stato ripristinato e le parti responsabili siano state rimosse.

• Implementare le procedure consigliate per la registrazione di controllo ed eseguire una revisione di routine delle attività eseguite dagli account amministratore delegati.

  • Che cosa sono i report di Microsoft Entra?
  • Analizzare i log attività usando i log di Monitoraggio di Azure
  • Microsoft Entra riferimento attività di audit

• I partner devono esaminare il rapporto degli utenti rischiosi all'interno del loro ambiente e gestire gli account rilevati come a rischio in base alle indicazioni pubblicate.

  • Correggere i rischi e sbloccare gli utenti
  • Esperienze utente con Microsoft Entra ID Protection

Contenuto correlato

• Requisiti di sicurezza dei partner
• Principi guida di Zero Trust
• Migliori pratiche per la sicurezza dei clienti