Requisiti di sicurezza per l'uso del Centro per i partner o delle sue API
ruoli appropriati: tutti gli utenti del Centro per i partner
In qualità di consulente, fornitore del pannello di controllo o partner CSP (Cloud Solution Provider), si hanno decisioni da prendere per quanto riguarda le opzioni di autenticazione e altre considerazioni sulla sicurezza.
Le garanzie di privacy e la sicurezza per te e i tuoi clienti sono tra le nostre priorità principali. Sappiamo che la migliore difesa è la prevenzione e che siamo forti quanto il nostro anello più debole. Abbiamo bisogno di tutti nell'ecosistema per garantire che siano presenti protezioni di sicurezza appropriate.
Requisiti di sicurezza obbligatori
Il programma CSP consente ai clienti di acquistare prodotti e servizi Microsoft tramite partner. In conformità con il contratto con Microsoft, i partner devono gestire l'ambiente e fornire supporto ai clienti a cui vendono.
I clienti che acquistano tramite questo canale ripongono la loro fiducia in voi come partner perché disponete dell'accesso amministrativo con privilegi elevati all'ambiente cliente.
I partner che non implementano i requisiti di sicurezza obbligatori non sono in grado di eseguire transazioni nel programma CSP. Non possono anche gestire i tenant dei clienti che usano diritti di amministratore delegati. Inoltre, i partner che non implementano i requisiti di sicurezza potrebbero mettere a rischio la partecipazione ai programmi.
Le condizioni associate ai requisiti di sicurezza dei partner vengono aggiunte al Contratto Microsoft Partner. Il Microsoft Partner Agreement (MPA) viene aggiornato periodicamente, e Microsoft consiglia a tutti i partner di controllare regolarmente. In relazione ai consulenti, sono in vigore gli stessi requisiti contrattuali.
Tutti i partner devono rispettare procedure consigliate per la sicurezza in modo che possano proteggere gli ambienti partner e clienti. Queste procedure consigliate consentono di attenuare i problemi di sicurezza, correggere le escalation della sicurezza e assicurarsi che l'attendibilità dei clienti non venga compromessa.
Per proteggere l'utente e i clienti, è necessario eseguire immediatamente le azioni seguenti:
Abilitare MFA per tutti gli account utente nel tenant partner
È necessario applicare l'autenticazione a più fattori (MFA) a tutti gli account utente nei tenant partner. L'autenticazione a più fattori sfida gli utenti quando:
- Accedere ai servizi cloud commerciali Microsoft.
- Eseguire transazioni nel programma Cloud Solution Provider tramite il Centro per i partner.
- Eseguire transazioni tramite API.
L'implementazione dell'autenticazione a più fattori (MFA) segue queste linee guida:
- Partner che utilizzano l'autenticazione multifattoriale supportata da Microsoft. Per altre informazioni, vedere Più modi per abilitare l'autenticazione a più fattori di Microsoft Entra.
- Partner che hanno implementato qualsiasi MFA non Microsoft e fanno parte dell'elenco delle eccezioni. Possono comunque accedere al Centro per i partner e alle API con eccezioni, ma non possono gestire i clienti usando DAP/GDAP. Nessuna eccezione.
- Organizzazione del partner a cui è stata precedentemente concessa un'eccezione per l'autenticazione a più fattori. Se a un'organizzazione partner è stata concessa un'eccezione per l'autenticazione a più fattori, le eccezioni vengono rispettate solo se gli utenti che gestiscono i tenant dei clienti come parte del programma Cloud Solution Provider li hanno abilitati prima del 1° marzo 2022. La mancata conformità ai requisiti di autenticazione a più fattori può comportare la perdita dell'accesso al tenant del cliente.
Per ulteriori informazioni, vedere Richiedere l'autenticazione a più fattori per il tenant partner.
Adottare il framework del modello di applicazione sicura
Tutti i partner che si integrano con le API del Centro per i partner devono adottare il framework del modello di applicazione sicura per qualsiasi applicazione del modello di autenticazione utente e app.
Importante
È consigliabile che i partner implementino il modello di applicazione sicura per l'integrazione con un'API Microsoft, ad esempio Azure Resource Manager o Microsoft Graph. Inoltre, i partner devono implementare il modello di applicazione sicura quando sfruttano l'automazione, ad esempio PowerShell usando le credenziali del cliente, per evitare interruzioni quando applicano l'autenticazione a più fattori.
Questi requisiti di sicurezza consentono di proteggere l'infrastruttura e proteggere i dati dei clienti da potenziali rischi per la sicurezza, ad esempio identificare il furto o altri eventi illeciti.
Altri requisiti di sicurezza
I clienti si fidano dell'utente, come partner, per fornire servizi a valore aggiunto. È fondamentale adottare tutte le misure di sicurezza per proteggere la fiducia del cliente e la reputazione come partner.
Microsoft continua ad aggiungere misure di imposizione in modo che i partner siano tenuti a rispettare e classificare in ordine di priorità la sicurezza dei clienti. Questi requisiti di sicurezza consentono di proteggere l'infrastruttura e proteggere i dati dei clienti da potenziali rischi per la sicurezza, ad esempio identificare il furto o altri eventi illeciti.
I partner devono assicurarsi di adottare i principi di Zero Trust, come descritto nelle sezioni seguenti.
Privilegi di amministratore delegato
I privilegi di amministratore delegato (DAP) offrono la possibilità di gestire il servizio o la sottoscrizione di un cliente per loro conto. Il cliente deve concedere le autorizzazioni amministrative del partner per tale servizio. Poiché i privilegi forniti al partner per gestire il cliente sono altamente elevati, Microsoft consiglia ai partner di rimuovere indirizzi DAP inattivi. I partner che gestiscono il tenant del cliente usando privilegi di amministratore delegato devono rimuovere il DAP inattivo dal centro per i partner per evitare alcun impatto sul tenant del cliente e sulle relative risorse.
Per altre informazioni, vedere la guida per monitorare le relazioni amministrative e la rimozione self-service daP, le domande frequenti sui privilegi di amministrazione delegata e la guida NOBELIUM per i privilegi amministrativi delegati guida.
Inoltre, DAP sarà presto eliminato. È consigliabile che tutti i partner che usano attivamente DAP per gestire i tenant dei clienti passino a privilegi minimi modello granulare di privilegi di amministratore delegato per gestire in modo sicuro i tenant dei clienti.
Eseguire la transizione ai ruoli con privilegi minimi per gestire i tenant dei clienti
Poiché DAP è deprecato a breve, Microsoft consiglia vivamente di passare dal modello DAP corrente, che fornisce agli agenti di amministrazione permanenti o perpetui l'accesso di amministratore globale. Sostituirlo con un modello di accesso delegato con granularità fine. Il modello di accesso delegato con granularità fine riduce i rischi di sicurezza per i clienti e gli effetti di tali rischi. Offre anche il controllo e la flessibilità per limitare l'accesso per ogni cliente a livello di carico di lavoro dei dipendenti che gestiscono i servizi e gli ambienti dei clienti.
Per altre informazioni, vedere la panoramica granulare dei privilegi di amministratore delegato (GDAP), informazioni su ruoli con privilegi minimie domande frequenti GDAP
Controllare le notifiche di illecito di Azure
In qualità di partner del programma CSP, si è responsabili del consumo di Azure del cliente, quindi è importante conoscere eventuali attività di mining di criptovaluta nelle sottoscrizioni di Azure dei clienti. Questa consapevolezza consente di intervenire immediatamente per determinare se il comportamento è legittimo o fraudolento. Se necessario, è possibile sospendere le risorse di Azure interessate o la sottoscrizione di Azure per attenuare il problema.
Per altre informazioni, vedere rilevamento e notifica delle frodi di Azure.
Iscriversi a Microsoft Entra ID P2
Tutti gli agenti di amministrazione nel tenant CSP devono rafforzare la sicurezza informatica implementando Microsoft Entra ID P2e sfruttare le varie funzionalità per rafforzare il tenant CSP. Microsoft Entra ID P2 fornisce l'accesso esteso ai log di accesso e alle funzionalità Premium, ad esempio Microsoft Entra Privileged Identity Management (PIM) e funzionalità di accesso condizionale basato sul rischio per rafforzare i controlli di sicurezza.
Attenersi alle procedure consigliate per la sicurezza CSP
È importante seguire tutte le procedure consigliate CSP per la sicurezza. Per altre informazioni, vedere Procedure consigliate per la sicurezza di Cloud Solution Provider.
Implementazione dell'autenticazione a più fattori
Per rispettare i requisiti di sicurezza dei partner, è necessario implementare e applicare l'autenticazione a più fattori per ogni account utente nel tenant partner. È possibile eseguire questa operazione in uno dei modi seguenti:
- Implementare impostazioni predefinite per la sicurezza di Microsoft Entra. Per altre informazioni, vedere la sezione successiva Impostazioni predefinite per la sicurezza.
- Acquistare Microsoft Entra ID P1 o P2 per ogni account utente. Per altre informazioni, vedere Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.
Impostazioni predefinite per la sicurezza
Una delle opzioni che i partner possono usare per implementare i requisiti di autenticazione a più fattori consiste nell'abilitare le impostazioni predefinite per la sicurezza in Microsoft Entra ID. Le impostazioni predefinite per la sicurezza offrono un livello di sicurezza di base senza costi aggiuntivi. Vedere come abilitare l'autenticazione a più fattori per l'organizzazione con Microsoft Entra ID. Di seguito sono riportate alcune considerazioni chiave prima di abilitare le impostazioni predefinite per la sicurezza.
- I partner che hanno già adottato i criteri di base devono intervenire per passare alle impostazioni predefinite per la sicurezza.
- Le impostazioni predefinite per la sicurezza sono la sostituzione della disponibilità generale dei criteri di base di anteprima. Dopo che un partner abilita le impostazioni predefinite per la sicurezza, non può abilitare i criteri di base.
- I criteri predefiniti per la sicurezza sono abilitati contemporaneamente.
- I partner che usano l'accesso condizionale, non possono usare le impostazioni predefinite per la sicurezza .
- I protocolli di autenticazione legacy sono bloccati.
- L'account di sincronizzazione Microsoft Entra Connect viene escluso dalle impostazioni predefinite per la sicurezza e non viene richiesto di eseguire la registrazione o l'autenticazione a più fattori. Le organizzazioni non devono usare questo account per altri scopi.
Per altre informazioni, vedere Panoramica dell'autenticazione a più fattori Microsoft Entra per l'organizzazione e Quali sono le impostazioni predefinite per la sicurezza?.
Nota
Le impostazioni predefinite per la sicurezza di Microsoft Entra sono l'evoluzione dei criteri di protezione di base semplificati. Se sono già stati abilitati i criteri di protezione di base, è consigliabile abilitare le impostazioni predefinite per la sicurezza .
Domande frequenti sull'implementazione
Poiché questi requisiti si applicano a tutti gli account utente nel tenant partner, è necessario prendere in considerazione diversi aspetti per garantire una distribuzione uniforme. Ad esempio, identificare gli account utente in Microsoft Entra ID che non possono eseguire mfa e applicazioni e dispositivi nell'organizzazione che non supportano l'autenticazione moderna.
Prima di eseguire qualsiasi azione, è consigliabile completare le convalide seguenti.
Si dispone di un'applicazione o di un dispositivo che non supporta l'uso dell'autenticazione moderna?
Quando si applica MFA, le autenticazioni legacy che usano IMAP, POP3, SMTP e i protocolli vengono bloccati. Perché questi protocolli non supportano l'autenticazione a più fattori. Per correggere questa limitazione, utilizzare la funzionalità password dell'app per assicurarsi che l'applicazione o il dispositivo continui a eseguire l'autenticazione. Esaminare considerazioni sull'uso delle password delle app per determinare se possono essere utilizzate nel proprio ambiente.
Sono presenti utenti di Office 365 con licenze associate al tenant del partner?
Prima di implementare qualsiasi soluzione, è consigliabile determinare quali versioni di Microsoft Office vengono usati dagli utenti nel tenant partner. È possibile che gli utenti possano riscontrare problemi di connettività con applicazioni come Outlook. Prima di applicare l'autenticazione a più fattori, è importante assicurarsi di usare Outlook 2013 SP1 o versione successiva e che l'organizzazione disponga dell'autenticazione moderna abilitata. Per altre informazioni, vedere Abilitare l'autenticazione moderna in Exchange Online.
Per abilitare l'autenticazione moderna per i dispositivi che eseguono Windows e in cui è installato Microsoft Office 2013, è necessario creare due chiavi del Registro di sistema. Consulta Abilitare l'autenticazione moderna per Office 2013 nei dispositivi Windows.
Esiste una politica che impedisce a uno qualsiasi dei vostri utenti di usare i loro dispositivi mobili mentre lavorano?
È importante identificare i criteri aziendali che impediscono ai dipendenti di usare dispositivi mobili mentre lavorano perché influisce sulla soluzione MFA implementata. Esistono soluzioni, ad esempio quella fornita tramite l'implementazione di impostazioni predefinite di sicurezza di Microsoft Entra, che consentono solo l'uso di un'app di autenticazione per la verifica. Se l'organizzazione ha criteri che impediscono l'uso dei dispositivi mobili, prendere in considerazione una delle opzioni seguenti:
- Distribuire un'applicazione TOTP (One-TimeBase Password) basata sul tempo che può essere eseguita nel sistema protetto.
Quali automazioni o integrazioni avete per autenticare le credenziali degli utenti?
L'applicazione dell'autenticazione a più fattori per gli utenti, inclusi gli account di servizio, nella tua directory partner, può influire su qualsiasi automazione o integrazione che usa le credenziali utente per l'autenticazione. È quindi importante identificare gli account usati in queste situazioni. Vedere l'elenco seguente di applicazioni o servizi di esempio da considerare:
- Usare un pannello di controllo per preparare le risorse per conto dei clienti.
- ** Integra con qualsiasi piattaforma che emette fatture (in relazione al programma CSP) e che supporta i tuoi clienti.
- Usare script di PowerShell che usano i cmdlet Az, AzureRM, Microsoft Graph PowerShelle altri moduli.
Questo elenco non è completo, quindi è importante eseguire una valutazione completa di qualsiasi applicazione o servizio nell'ambiente che usa le credenziali utente per l'autenticazione. Per affrontare il requisito di MFA, usare le linee guida nel framework Modello di Applicazione Sicura laddove possibile.
Accedi al tuo ambiente
Per comprendere meglio chi o cosa si autentica senza richiesta MFA, è consigliabile esaminare l'attività di accesso. Tramite Microsoft Entra ID P1 o P2, è possibile usare il report di accesso. Per altre informazioni, vedere report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra. Se non si ha Microsoft Entra ID P1 o P2 o se è necessario un modo per ottenere l'attività di accesso tramite PowerShell, usare il cmdlet Get-PartnerUserSignActivity dal modulo powerShell del Centro per i partner.
Modalità di applicazione dei requisiti
Se a un'organizzazione partner è stata concessa un'eccezione per l'autenticazione a più fattori, le eccezioni vengono rispettate solo se gli utenti che gestiscono i tenant dei clienti come parte del programma Cloud Solution Provider li hanno abilitati prima del 1° marzo 2022. La mancata conformità ai requisiti di autenticazione a più fattori può comportare la perdita dell'accesso al tenant del cliente.
Microsoft Entra ID e Centro per i partner applicano i requisiti di sicurezza dei partner verificando la presenza dell'attestazione MFA per identificare che viene eseguita la verifica MFA. A partire dal 18 novembre 2019, Microsoft ha attivato più misure di sicurezza, precedentemente note come "imposizione tecnica" per i tenant partner.
Al momento dell'attivazione, agli utenti nel tenant partner viene richiesto di completare la verifica dell'autenticazione a più fattori quando eseguono qualsiasi operazione amministrativa per conto di altri (AOBO). Gli utenti devono anche completare la verifica dell'autenticazione a più fattori quando accedono al Centro per i partner o chiamano le API del Centro per i partner. Per ulteriori informazioni, vedere Imporre al tenant partner l'autenticazione a più fattori.
I partner che non soddisfano i requisiti devono implementare queste misure il prima possibile per evitare interruzioni aziendali. Se si usa l'autenticazione a più fattori Microsoft Entra o le impostazioni predefinite di sicurezza di Microsoft Entra, non è necessario eseguire altre azioni.
Se si usa una soluzione MFA non Microsoft, è possibile che l'attestazione MFA non venga rilasciata. Quando l'attestazione non è presente, l'ID Entra di Microsoft non è in grado di determinare se MFA richiede la richiesta di autenticazione. Per informazioni su come verificare che la soluzione verifichi l'attestazione prevista, vedere Testare i requisiti di sicurezza dei partner.
Importante
Se la soluzione non Microsoft non rilascia l'attestazione prevista, rivolgersi al fornitore che ha sviluppato la soluzione per determinare le azioni da intraprendere.
Risorse ed esempi
Per il supporto e il codice di esempio, vedere le risorse seguenti:
- community del gruppo di linee guida per la sicurezza del Centro per i partner: la community del gruppo di linee guida per la sicurezza del Centro per i partner è una community online in cui è possibile ottenere informazioni sugli eventi imminenti e porre domande.
- esempi .NET del Centro per i partner: questo repository GitHub contiene esempi sviluppati usando .NET che illustrano come implementare il framework del modello di applicazione sicura.
- esempi Java del Centro per i partner: questo repository GitHub contiene esempi sviluppati usando Java che illustrano come implementare il framework del modello di applicazione sicura.
- Centro per i partner PowerShell - Autenticazione a più fattori: questo articolo sull'autenticazione a più fattori fornisce informazioni dettagliate su come implementare il framework del modello di applicazione sicura con PowerShell.
- Funzionalità e licenze per l'autenticazione multifattore di Microsoft Entra
- Pianificare una distribuzione multifattoriale di Microsoft Entra
- Testare i requisiti di sicurezza dei partner con PowerShell