Udostępnij za pośrednictwem

Najlepsze praktyki w zakresie zabezpieczeń dostawcy CSP

  • Artykuł

Wszyscy partnerzy w programie Cloud Solution Provider (CSP), uzyskujący dostęp do Centrum partnerskiego i interfejsów API Centrum partnerskiego, powinni postępować zgodnie ze wskazówkami dotyczącymi zabezpieczeń zawartymi w tym artykule, aby chronić siebie i swoich klientów.

W celu zapewnienia bezpieczeństwa klientów, zobacz Najlepsze praktyki dotyczące bezpieczeństwa klientów. Aby uzyskać najlepsze praktyki dotyczące zarządzania podmiotami usługi, zobacz Zabezpieczanie podmiotów usługi w Microsoft Entra ID.

Ważne

Usługa Azure Active Directory (Azure AD) Graph jest przestarzała od 30 czerwca 2023 r. W przyszłości nie dokonujemy dalszych inwestycji w usłudze Azure AD Graph. Interfejsy API programu Graph usługi Azure AD nie mają umowy SLA ani zobowiązania do konserwacji poza poprawkami związanymi z zabezpieczeniami. Inwestycje w nowe cechy i funkcjonalności będą dokonywane wyłącznie w usłudze Microsoft Graph.

Wycofamy program Azure AD Graph w krokach przyrostowych, aby mieć wystarczający czas na migrację aplikacji do interfejsów API programu Microsoft Graph. W późniejszym terminie ogłosimy, że zablokujemy tworzenie nowych aplikacji przy użyciu usługi Azure AD Graph.

Aby dowiedzieć się więcej, zobacz Ważne: wycofanie usługi Azure AD Graph i modułu PowerShell.

  • Dodaj kontakt odpowiedzialny za bezpieczeństwo do powiadomień o problemach związanych z bezpieczeństwem w dzierżawie Centrum partnerskiego.
  • Sprawdź swój identity secure score w Microsoft Entra ID i podejmij odpowiednie kroki, aby go zwiększyć.
  • Przejrzyj i zaimplementuj wskazówki opisane w Zarządzanie niepłaceniem, oszustwem lub nadużyciem.
  • Zapoznaj się z aktorem zagrożenia NOBELIUM i powiązanymi materiałami.
    • NOBELIUM celuje w delegowane uprawnienia administracyjne, aby ułatwić szersze ataki.
    • Szkolenie z reagowania na NOBELIUM
    • Zabezpieczenie kanału: Podróż do zerowego zaufania

Najlepsze rozwiązania dotyczące tożsamości

Wymaganie uwierzytelniania wieloskładnikowego

  • Upewnij się, że wszyscy użytkownicy w dzierżawach Twojego Centrum partnerskiego i dzierżawach klientów są zarejestrowani do uwierzytelniania wieloskładnikowego (MFA) i wymagają go. Istnieją różne sposoby konfigurowania uwierzytelniania wieloskładnikowego. Wybierz metodę, która ma zastosowanie do konfigurowanego najemcy.
    • Dziedzina mojego Centrum partnerskiego/Klienta ma Microsoft Entra ID P1
    • Moja dzierżawa Centrum partnerskiego/klienta ma identyfikator Entra ID P2 firmy Microsoft
      • Użyj Accessu warunkowego, aby wymusić uwierzytelnianie wieloskładnikowe.
      • Zaimplementuj zasady oparte na ryzyku przy użyciu Microsoft Entra ID Protection.
      • W przypadku dzierżawy Centrum partnerskiego możesz kwalifikować się do korzystania z platformy Microsoft 365 E3 lub E5, w zależności od korzyści z praw do użytku wewnętrznego (IUR). Te jednostki SKU obejmują odpowiednio identyfikator Microsoft Entra ID P1 lub 2.
      • W przypadku dzierżawy klienta zalecamy włączenie domyślnych ustawień zabezpieczeń.
        • Jeśli klient korzysta z aplikacji, które wymagają starszego uwierzytelniania, te aplikacje nie będą działać po włączeniu ustawień domyślnych zabezpieczeń. Jeśli nie można zamienić, usunąć ani zaktualizować aplikacji w celu korzystania z nowoczesnego uwierzytelniania, możesz wymusić MFA za pomocą uwierzytelniania wieloskładnikowego dla użytkownika.
        • Możesz monitorować i wymuszać użycie ustawień domyślnych zabezpieczeń klienta przy użyciu następującego wywołania interfejsu API programu Graph:
          • identitySecurityDefaultsEnforcementPolicy typ zasobu - Microsoft Graph w wersji 1.0 | Microsoft Learn
  • Upewnij się, że użyta metoda uwierzytelniania wieloskładnikowego jest odporna na wyłudzanie informacji. Można to zrobić, korzystając z uwierzytelniania bezhasłowego lub dostosowywania numerów.
  • Jeśli klient odmawia korzystania z uwierzytelniania wieloskładnikowego, nie przydzielaj im dostępu administratora do Microsoft Entra ID ani praw do zapisu w subskrypcjach platformy Azure.

Dostęp do aplikacji

  • Wdrażanie platformy Secure Application Model. Wszyscy partnerzy integrujący się z interfejsami API Centrum partnerskiego muszą przyjąć strukturę Secure Application Model dla dowolnych aplikacji oraz aplikacji opartej na modelu uwierzytelniania użytkownika.
  • Wyłącz zgodę użytkownika w dzierżawcach Microsoft Entra w Centrum partnerskim lub użyj przepływu pracy zgody administratora.

Najmniej uprzywilejowane / brak stałego dostępu

  • Użytkownicy, którzy mają uprzywilejowane wbudowane role usługi Microsoft Entra, nie powinni regularnie używać tych kont na potrzeby poczty e-mail i współpracy. Utwórz oddzielne konto użytkownika bez ról administracyjnych firmy Microsoft w celu wykonywania zadań współpracy.
  • Przejrzyj grupę agentów administracyjnych i usuń osoby, które nie potrzebują dostępu.
  • Regularnie przeglądać dostęp do roli administracyjnej w identyfikatorze Entra firmy Microsoft i ograniczać dostęp do jak najmniejszej liczby kont. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.
  • Użytkownicy, którzy opuszczają firmę lub zmieniają role w firmie, powinni zostać usunięci z dostępu do Centrum partnerskiego.
  • Jeśli masz identyfikator Microsoft Entra ID P2, użyj funkcji Zarządzanie Tożsamościami Uprzywilejowanymi (PIM), aby wymusić dostęp just-in-time (JIT). Użyj podwójnego nadzoru, aby przejrzeć i zatwierdzić dostęp dla ról administratora firmy Microsoft Entra i ról Centrum partnerskiego.
  • Aby uzyskać informacje na temat zabezpieczania dostępu do ról uprzywilejowanych, zobacz Omówienie zabezpieczania dostępu uprzywilejowanego.
  • Należy regularnie przeglądać dostęp do środowisk klientów.
    • Usuń nieaktywne uprawnienia administracji delegowanej (DAP).
    • GDAP — często zadawane pytania.
    • Upewnij się, że relacje GDAP korzystają z ról posiadających tylko niezbędne uprawnienia.

Izolacja tożsamości

  • Unikaj hostowania wystąpienia Centrum partnerskiego w tym samym dzierżawcy firmy Microsoft Entra, który hostuje wewnętrzne usługi IT, takie jak poczta e-mail i narzędzia do współpracy.
  • Używaj oddzielnych, dedykowanych kont użytkowniczych dla uprzywilejowanych użytkowników Centrum partnerskiego, którzy mają dostęp do klientów.
  • Unikaj tworzenia kont użytkowników w dzierżawach firmy Microsoft Entra, które mają być używane przez partnerów do administrowania dzierżawą klienta i powiązanymi aplikacjami i usługami.

Najlepsze rozwiązania dotyczące urządzeń

  • Zezwalaj na dostęp do Centrum partnerskiego i dzierżawy klienta tylko z zarejestrowanych, sprawnych stacji roboczych, które mają zarządzane standardy bezpieczeństwa i są monitorowane pod kątem zagrożeń bezpieczeństwa.
  • W przypadku użytkowników Centrum partnerskiego z uprzywilejowanym dostępem do środowisk klienta należy rozważyć wymaganie dedykowanych stacji roboczych (wirtualnych lub fizycznych) dla tych użytkowników w celu uzyskania dostępu do środowisk klienta. Aby uzyskać więcej informacji, zobacz Zabezpieczanie uprzywilejowanego dostępu.

Najlepsze rozwiązania w zakresie monitorowania

Interfejsy API Centrum partnerskiego

  • Wszyscy dostawcy panelu sterowania powinni włączyć bezpieczny model aplikacji i włączyć rejestrowanie dla wszystkich aktywności użytkownika.
  • Dostawcy panelu sterowania powinni włączyć inspekcję każdego logowania agenta partnerskiego do aplikacji i wszystkich wykonanych działań.

Monitorowanie i inspekcja logowania

  • Partnerzy z licencją Entra ID P2 firmy Microsoft automatycznie kwalifikują się do zachowania danych audytu i logów logowania przez okres do 30 dni.

    Potwierdź, że:

    • Rejestrowanie inspekcji odbywa się w miejscu, w którym są używane delegowane konta administratora.
    • Dzienniki rejestrują maksymalny poziom szczegółów dostarczanych przez usługę.
    • Dzienniki są zachowywane przez akceptowalny okres (do 30 dni), który umożliwia wykrywanie nietypowych działań.

    Szczegółowe rejestrowanie dzienników audytu może wymagać zakupu dodatkowych usług. Aby uzyskać więcej informacji, zobacz Jak długo Microsoft Entra ID przechowuje dane raportowania?

  • Regularnie sprawdzaj i weryfikuj adresy e-mail do odzyskiwania haseł oraz numery telefonów w ramach Microsoft Entra ID dla wszystkich użytkowników posiadających uprzywilejowane role administratora Entra, i w razie potrzeby je aktualizuj.

    • W przypadku naruszenia zabezpieczeń dzierżawy klienta: partner CSP Direct Bill, dostawca pośredni lub odsprzedawca pośredni nie mogą skontaktować się z pomocą techniczną z prośbą o zmianę hasła administratora w dzierżawie klienta. Klient musi zadzwonić do działu pomocy technicznej firmy Microsoft, postępując zgodnie z instrukcjami w temacie Resetuj moje hasło administratora. Temat Resetowanie hasła administratora zawiera link, którego klienci mogą używać do wywoływania pomocy technicznej Microsoft. Poproś klienta o zaznaczenie, że dostawca CSP nie ma już dostępu do ich dzierżawy, aby pomóc w zresetowaniu hasła. Dostawca CSP powinien rozważyć zawieszenie subskrypcji klienta do momentu odzyskania dostępu i usunięcia stron naruszających prawa.

  • Zaimplementuj najlepsze rozwiązania dotyczące rejestrowania inspekcji i wykonaj rutynowy przegląd działań wykonywanych przez delegowane konta administratora.

  • Partnerzy powinni przejrzeć raport ryzykownych użytkowników w swoim środowisku i zająć się kontami, które zostały wykryte jako stanowiące ryzyko, zgodnie z opublikowanymi wytycznymi.

    • Usuwanie zagrożeń i odblokowanie użytkowników
    • Doświadczenia użytkowników z Microsoft Entra ID Protection

Powiązana zawartość

  • Wymagania dotyczące zabezpieczeń partnera
  • Zasady przewodnie Zero Trust
  • Najlepsze praktyki dotyczące zabezpieczeń klientów