CSP セキュリティのベスト プラクティス
Partner Center および Partner Center API にアクセスするクラウド ソリューション プロバイダー (CSP) プログラムのすべてのパートナーは自分自身と顧客を保護するために、この記事のセキュリティ ガイダンスに従う必要があります。
顧客のセキュリティについては、 Customer のセキュリティのベスト プラクティスを参照してください。
重要
Azure Active Directory (Azure AD) Graph は、2023 年 6 月 30 日の時点で非推奨となっています。 今後、Azure AD Graph への投資は行いません。 Azure AD Graph API には、セキュリティ関連の修正プログラム以外の SLA やメンテナンス コミットメントはありません。 新機能への投資は Microsoft Graph に対してのみ行われます。
アプリケーションを Microsoft Graph API に移行するのに十分な時間を確保できるように、段階的な手順で Azure AD Graph を廃止します。 後日お知らせしますが、Azure AD Graph を使用して新しいアプリケーションの作成をブロックします。
詳細については、「 Important: Azure AD Graph の廃止と Powershell モジュールの廃止に関するページを参照してください。
テナントで強くお勧めする手順
- パートナー センター テナントでセキュリティ関連の問題の通知を行うセキュリティ連絡先 を追加します。
- Microsoft Entra ID でのセキュリティ スコアを確認し、スコアを上げるために適切なアクションを実行します。
- 未払い、詐欺、または誤用の管理に関する記事に記載されているガイダンスを確認して実装します。
- NOBELIUM 脅威アクターと関連資料について理解します。
ID のベストプラクティス
多要素認証を要求する
- パートナー センター テナントと顧客テナント内のすべてのユーザー登録され、多要素認証 (MFA) が必要であることを確認します。 MFA を構成するには、さまざまな方法があります。 構成するテナントに適用する方法を選択します。
- パートナー センター/顧客のテナントに Microsoft Entra ID P1 がある
Conditional Access を使用して MFA を適用します。
- パートナー センター/顧客のテナントに Microsoft Entra ID P2 がある
Conditional Access を使用して MFA を適用します。- Microsoft Entra ID 保護を使用してリスクベースのポリシーを実装します。
- パートナー センター テナントの場合、内部使用権 (IUR) の特典に応じて、Microsoft 365 E3 または E5 の対象となる場合があります。 これらの SKU には、それぞれ Microsoft Entra ID P1 または 2 が含まれます。
- 顧客のテナントでは、 セキュリティの既定値を有効にすることをお勧めします。
- 顧客がレガシ認証を必要とするアプリを使用している場合、セキュリティの既定値を有効にした後、それらのアプリは機能しません。 先進認証を使用するようにアプリを置き換えたり、削除したり、更新したりできない場合は、 ユーザーの MFA を通じて MFA を適用できます。
- 次の Graph API 呼び出しを使用して、お客様によるセキュリティの既定値の使用を監視および適用できます。
- パートナー センター/顧客のテナントに Microsoft Entra ID P1 がある
- 使用する MFA 方法がフィッシングに対する耐性があることを確認します。 これを行うには、 passwordless 認証 または 番号照合を使用します。
- お客様が MFA の使用を拒否した場合は、Microsoft Entra ID への管理者ロールのアクセス権を付与したり、Azure サブスクリプションへのアクセス許可を書き込んだりしないでください。
アプリのアクセス
- セキュリティで保護されたアプリケーション モデル フレームワークを採用します。 パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。
- パートナー センターの Microsoft Entra テナントで ユーザーの同意 を無効にするか、 admin 同意ワークフローを使用します。
最小特権/永続的アクセスなし
- Microsoft Entra 特権の組み込みロールを持つユーザーは、電子メールとコラボレーションのためにこれらのアカウントを定期的に使用しないでください。 コラボレーション タスク用の Microsoft Entra 管理者ロールを持たない別のユーザー アカウントを作成します。
- 管理エージェント グループを確認し、アクセスを必要としないユーザーを削除します。
- Microsoft Entra ID の管理ロール アクセスを定期的に確認し、アクセスを可能な限り少数のアカウントに制限します。 詳細については、「Microsoft Entra 組み込みロール」を参照してください。
- 退職したユーザーや社内のロールを変更するユーザーは、パートナー センターのアクセスから削除する必要があります。
- Microsoft Entra ID P2 をお持ちの場合は、 Privileged Identity Management (PIM) を使用して、Just-In-Time (JIT) アクセスを適用します。 デュアル カストディを使用して、Microsoft Entra 管理者ロールとパートナー センターロールのアクセス権を確認および承認します。
- 特権ロールのセキュリティ保護については、「 特権アクセスのセキュリティ保護の概要を参照してください。
- 顧客環境へのアクセスを定期的に確認します。
- 非アクティブな委任された管理特権 (DAP) を削除します。
- GDAP に関してよく寄せられる質問。
- GDAP リレーションシップで、必要な 最小限の特権を持つロールが使用されていることを確認します。
ID の分離
- メールやコラボレーション ツールなどの内部 IT サービスをホストするのと同じ Microsoft Entra テナントでパートナー センター インスタンスをホストすることは避けてください。
- 顧客アクセス権を持つパートナー センター特権ユーザーには、個別の専用ユーザー アカウントを使用します。
- パートナーが顧客テナントおよび関連するアプリとサービスを管理するために使用することを意図した顧客の Microsoft Entra テナントにユーザー アカウントを作成することは避けてください。
デバイスのベスト プラクティス
- セキュリティ ベースラインを管理し、セキュリティ リスクを監視している、登録済みの正常なワークステーションからのパートナー センターと顧客テナントへのアクセスのみを許可します。
- 顧客環境への特権アクセス権を持つパートナー センター ユーザーの場合は、それらのユーザーが顧客環境にアクセスするために専用ワークステーション (仮想または物理) を要求することを検討してください。 詳細については、「特権アクセスの保護」を参照してください。
監視のベスト プラクティス
パートナー センター API
- すべてのコントロール パネル ベンダーはセキュリティで保護されたアプリケーション モデルを有効にしすべてのユーザー アクティビティのログ記録を有効にする必要があります。
- コントロール パネルベンダーは、アプリケーションにログインするすべてのパートナー エージェントと実行されたすべてのアクションの監査を有効にする必要があります。
サインインの監視と監査
Microsoft Entra ID P2 ライセンスを持つパートナーは、監査とサインインのログ データを最大 30 日間保持する資格を自動的に得られます。
次の点を確認します。
- 監査ログは、委任された管理者アカウントが使用される場所にあります。
- ログは、サービスによって提供される詳細の最大レベルをキャプチャしています。
- ログは、異常なアクティビティを検出できる許容期間 (最大 30 日間) 保持されます。
詳細な監査ログには、より多くのサービスを購入する必要がある場合があります。 詳細については、「 Microsoft Entra ID でレポート データが格納される期間」を参照してください。
特権 Entra 管理者ロールを持つすべてのユーザーについて、Microsoft Entra ID 内のパスワード回復の電子メール アドレスと電話番号を定期的に確認し、必要に応じて更新します。
- 顧客のテナントが侵害された場合:CSP 直接請求パートナー、間接プロバイダー、または間接リセラー できません 顧客のテナントで管理者パスワードの変更を要求するサポートにお問い合わせください。 Customer は、管理者パスワードの設定に関するトピックの手順に従って Microsoft サポート呼び出す必要があります。 管理者パスワードの設定トピックには、ユーザーがMicrosoft サポートを呼び出すために使用できるリンクがあります。 CSP がパスワードのリセットを支援するためにテナントへのアクセス権を持たなくなったことを顧客に指示します。 CSP は、アクセスが回復し、問題のある関係者が削除されるまで、顧客のサブスクリプションを中断することを検討する必要があります。
監査ログのベスト プラクティスを実装し、代理管理者アカウントによって実行されるアクティビティの定期的なレビューを実行します。
パートナーは、環境内で risky ユーザー レポート を確認し、公開されたガイダンスに従ってリスクを提示することが検出されたアカウントに対処する必要があります。
関連資料
- サービス プリンシパルを管理するためのベスト プラクティスについては、「 Microsoft Entra ID でのサービス プリンシパルのセキュリティ保護を参照してください。
- パートナーのセキュリティ要件
- ゼロ トラストの基本原則
- 顧客のセキュリティに関するベスト プラクティス