Best practices voor CSP-beveiliging

Alle partners in het Cloud Solution Provider (CSP)-programma die toegang hebben tot Partner Center en Partner Center API's, moeten de beveiligingsrichtlijnen in dit artikel volgen om zichzelf en klanten te beschermen.

Voor klantbeveiliging, zie Beste praktijken voor klantbeveiliging. Voor aanbevolen procedures voor het beheren van service-principals, zie Service-principals beveiligen in Microsoft Entra ID.

Belangrijk

Azure Active Directory (Azure AD) Graph is vanaf 30 juni 2023 afgeschaft. In de toekomst doen we geen verdere investeringen in Azure AD Graph. Azure AD Graph-API's hebben geen SLA of onderhoudsverplichting buiten beveiligingsgerelateerde oplossingen. Investeringen in nieuwe functies en functionaliteiten worden alleen gedaan in Microsoft Graph.

Azure AD Graph wordt in incrementele stappen buiten gebruik gesteld, zodat u voldoende tijd hebt om uw toepassingen te migreren naar Microsoft Graph-API's. Op een later tijdstip dat we zullen aankondigen, blokkeren we het maken van nieuwe toepassingen met behulp van Azure AD Graph.

Voor meer informatie, zie Belangrijk: Buitengebruikstelling van Azure AD Graph en Afschaffing van Powershell-module.

Aanbevolen stappen in uw huurders

• Voeg een beveiligingscontactpersoon toe voor meldingen over beveiligingsproblemen in de partnercentrum-tenant.
• Controleer uw identity secure score in Microsoft Entra ID en neem de juiste maatregelen om uw score te verhogen.
• Bekijk en implementeer de richtlijnen die worden beschreven in Het beheer van niet-betaling, fraude of misbruik.
• Raak vertrouwd met de NOBELIUM-bedreigingsacteur en gerelateerde materialen:
  • NOBELIUM richt zich op het benutten van gedelegeerde beheerdersbevoegdheden om bredere aanvallen te vergemakkelijken.
  • NOBELIUM-responstraining
  • Het communicatiekanaal beveiligen: Reis naar zero trust

Beste praktijken voor identiteit

Meervoudige verificatie vereisen

• Zorg ervoor dat alle gebruikers in uw Partner Center-tenants en klantenttenants geregistreerd zijn en meervoudige verificatie (MFA) vereisen. Er zijn verschillende manieren om MFA te configureren. Kies de methode die van toepassing is op de tenant die u configureert:
  • De tenant van mijn partnercentrum/klant heeft Microsoft Entra ID P1
    • Gebruik Voorwaardelijke Toegang om MFA af te dwingen.
  • De tenant van mijn partnercentrum/klant heeft Microsoft Entra ID P2
    • Gebruik voorwaardelijke toegang om MFA af te dwingen.
    • "Implementeer risico-gebaseerde beleidsregels met behulp van Microsoft Entra ID Protection."
    • Voor uw Partnercentrum-tenant komt u mogelijk in aanmerking voor Microsoft 365 E3 of E5, afhankelijk van uw IUR-voordelen (Internal Use Rights). Deze SKU's omvatten respectievelijk Microsoft Entra ID P1 of 2.
    • Voor de tenant van uw klant raden we aan de beveiligingsstandaarden in te schakelen.
      • Als uw klant apps gebruikt waarvoor verouderde verificatie is vereist, werken deze apps niet nadat u de standaardinstellingen voor beveiliging hebt ingeschakeld. Als de app niet kan worden vervangen, verwijderd of bijgewerkt om moderne verificatie te gebruiken, kunt u MFA per gebruiker afdwingen.
      • U kunt het gebruik van de standaardinstellingen voor beveiliging van uw klant bewaken en afdwingen met behulp van de volgende Graph API-aanroep:
        • identitySecurityDefaultsEnforcementPolicy-resourcetype - Microsoft Graph v1.0 | Microsoft Learn
• Zorg ervoor dat de gebruikte MFA-methode phishingbestendig is. U kunt dit doen door authenticatie zonder wachtwoord of nummerverificatie te gebruiken.
• Als een klant MFA weigert te gebruiken, geeft u deze geen beheerdersroltoegang tot Microsoft Entra-id of schrijfmachtigingen voor Azure-abonnementen op.

App toegang

• Het Framework Secure Application Model gebruiken. Alle partners die integreren met Partnercentrum-API's moeten het Secure Application Model-framework gebruiken voor apps en gebruikersauthenticatiemodellen.
• Schakel gebruikerstoestemming uit in Partner Center Microsoft Entra-tenants of gebruik de werkstroom voor beheerderstoestemming.

Minimale bevoegdheden/geen permanente toegang

• Gebruikers met ingebouwde Microsoft Entra-rollen mogen deze accounts niet regelmatig gebruiken voor e-mail en samenwerking. Maak een afzonderlijk gebruikersaccount zonder Microsoft Entra-beheerdersrollen voor samenwerkingstaken.
• Controleer de beheerdersagentgroep en verwijder personen die geen toegang nodig hebben.
• Controleer regelmatig de toegang tot beheerdersrollen in Microsoft Entra-id en beperk de toegang tot zo weinig mogelijk accounts. Voor meer informatie, zie Ingebouwde rollen van Microsoft Entra.
• Gebruikers die het bedrijf verlaten of rollen binnen het bedrijf wijzigen, moeten worden verwijderd uit de toegang tot het Partnercentrum.
• Als u Microsoft Entra ID P2 hebt, gebruikt u Privileged Identity Management (PIM) om just-in-time-toegang (JIT) af te dwingen. Gebruik dubbele voogdij om de toegang voor Microsoft Entra-beheerdersrollen en Partnercentrum-rollen te controleren en goed te keuren.
• Zie Overzicht van het beveiligen van bevoorrechte toegang.
• Controleer regelmatig de toegang tot klantomgevingen.
  • Verwijder inactieve gedelegeerde beheerbevoegdheden (DAP).
  • GDAP veelgestelde vragen.
  • Zorg ervoor dat GDAP-relaties gebruikmaken van rollen met de minste bevoegdheden die nodig zijn.

Identiteitsisolatie

• Vermijd het hosten van uw partnercentrum-exemplaar in dezelfde Microsoft Entra-tenant die als host fungeert voor uw interne IT-services, zoals e-mail- en samenwerkingshulpprogramma's.
• Gebruik afzonderlijke, toegewezen gebruikersaccounts voor bevoegde gebruikers van partnercentrum die klanttoegang hebben.
• Vermijd het maken van gebruikersaccounts in Microsoft Entra-tenants van klanten die bedoeld zijn voor gebruik door partners voor het beheren van de klanttenant en gerelateerde apps en services.

Aanbevolen werkwijzen voor apparaten

• Sta alleen toegang toe tot Partnercentrum en klanttenant vanaf geregistreerde en gezonde werkstations die beheerde beveiligingsbasislijnen hebben en gecontroleerd worden op beveiligingsrisico's.
• Voor Partnercentrum-gebruikers met bevoorrechte toegang tot klantomgevingen kunt u overwegen speciale werkstations (virtueel of fysiek) te vereisen voor die gebruikers om toegang te krijgen tot klantomgevingen. Zie Bevoorrechte toegang beveiligen voor meer informatie.

Best practices voor bewaking

Partner Center API's

• Alle leveranciers van het Configuratiescherm moeten het beveiligde toepassingsmodel inschakelen en logboekregistratie activeren voor elke gebruikersactiviteit.
• De leveranciers van de beheerconsole dienen auditing in te schakelen voor elke partneragent die zich aanmeldt bij de toepassing en voor alle uitgevoerde acties.

Bewaking en audit van aanmeldingen

• Partners met een Microsoft Entra ID P2-licentie komen automatisch in aanmerking om audit- en aanmeldingsgegevens tot 30 dagen te bewaren.

  Bevestig dat:

  • Auditlogboekregistratie is aanwezig waar gedelegeerde beheerdersaccounts worden gebruikt.
  • Logboeken leggen het maximale niveau van details vast die door de service worden geleverd.
  • Logboeken worden bewaard gedurende een acceptabele periode (maximaal 30 dagen) waarmee afwijkende activiteiten kunnen worden gedetecteerd.

  Voor gedetailleerde auditlogboekregistratie moet u mogelijk meer services aanschaffen. Voor meer informatie, zie Hoe lang slaat Microsoft Entra ID rapportagegegevens op?

• Controleer en verifieer regelmatig e-mailadressen en telefoonnummers voor wachtwoordherstel binnen Microsoft Entra ID voor alle gebruikers met de bevoorrechte Entra-beheerdersrollen en werk deze indien nodig bij.

  • Als de tenant van een klant is gecompromitteerd, kan de CSP Direct Bill Partner, de indirecte provider of uw indirecte reseller geen contact opnemen met de ondersteuning om een wijziging van het beheerderswachtwoord in de tenant van de klant aan te vragen. De Klant moet Microsoft-ondersteuning bellen volgens de instructies in het onderwerp Mijn beheerderswachtwoord opnieuw instellen. Het onderwerp Wachtwoord van mijn beheerder opnieuw instellen bevat een koppeling die klanten kunnen gebruiken om Microsoft Ondersteuning aan te roepen. Geef de klant de opdracht om te vermelden dat de CSP geen toegang meer heeft tot hun tenant om te helpen bij het opnieuw instellen van het wachtwoord. De CSP moet overwegen om de abonnementen van de klant op te schorten totdat de toegang weer is hersteld en de overtredende partijen zijn verwijderd.

• Implementeer best practices voor auditlogboeken en voer routinebeoordeling uit van activiteiten die worden uitgevoerd door gedelegeerde beheerdersaccounts.

  • Wat zijn Microsoft Entra-rapporten?
  • Activiteitenlogboeken analyseren met Azure Monitor-logboeken
  • Naslagreferentie voor Microsoft Entra-controleactiviteiten

• Partners moeten het rapport riskante gebruikers in hun omgeving beoordelen en de accounts aanpakken die worden gedetecteerd om een risico te vormen conform gepubliceerde richtlijnen.

  • Risico's aanpakken en gebruikers deblokkeren
  • Gebruikerservaringen met Microsoft Entra ID Protection

Verwante inhoud

• Beveiligingsvereisten van de partner
• Richtlijnen van Zero Trust
• Best practices voor klantbeveiliging