Рекомендации по обеспечению безопасности CSP

Все партнеры программы поставщиков облачных решений (CSP), получающие доступ к Центру партнеров и API Центра партнеров, должны следовать рекомендациям по безопасности в этой статье, чтобы защитить себя и клиентов.

Для обеспечения безопасности клиентов см. рекомендации по обеспечению безопасности клиентов. Рекомендации по управлению учетными записями служб см. в разделе "Защита учетных записей служб" в Microsoft Entra ID.

Внимание

Azure Active Directory (Azure AD) Graph не рекомендуется использовать с 30 июня 2023 г. В дальнейшем мы не будем делать дальнейших инвестиций в Azure AD Graph. API Graph Azure AD не предполагают обязательств по соглашению об уровне обслуживания или поддержке, кроме исправлений, связанных с безопасностью. Инвестиции в новые функции и функциональные возможности будут сделаны только в Microsoft Graph.

Мы поэтапно откажемся от Azure AD Graph, чтобы у вас было достаточно времени для переноса приложений на API Microsoft Graph. На более позднюю дату, которую мы объявим, мы заблокируем создание новых приложений с помощью Azure AD Graph.

Дополнительные сведения см. в статье Важно: вывод из эксплуатации Azure AD Graph и устаревание модуля PowerShell.

Настоятельно рекомендуемые шаги для арендаторов

• Добавьте контакт для уведомлений о вопросах, связанных с безопасностью, в арендаторе Центра партнеров.
• Проверьте вашу оценку безопасности удостоверения в Microsoft Entra ID и примите необходимые меры для повышения этой оценки.
• Просмотрите и реализуйте рекомендации, описанные в руководстве "Управление неплатежами, мошенничеством или злоупотреблением".
• Ознакомьтесь с субъектом угроз NOBELIUM и связанными материалами:
  • NOBELIUM нацеливается на делегированные административные привилегии для облегчения проведения более широких атак
  • Тренинг по реагированию на Nobelium
  • Защита канала: переход к нулевому доверию

Рекомендации по идентификации

Требование многофакторной проверки подлинности

• Убедитесь, что все пользователи в арендаторах вашего Центра партнеров и арендаторах ваших клиентов подключены к и обязаны использовать многофакторную аутентификацию (MFA). Существуют различные способы настройки MFA. Выберите метод, который применим к арендатору, которого вы настраиваете.
  • Тенант клиента в Моём центре партнёров имеет Microsoft Entra ID P1.
    • Используйте условный доступ для обеспечения многофакторной аутентификации (MFA).
  • Арендатор моего Центра партнеров/клиента имеет идентификатор Microsoft Entra ID P2
    • Используйте Условный доступ для обеспечения многофакторной аутентификации (MFA).
    • Реализуйте политики управления рисками с помощью Microsoft Entra ID Protection.
    • Для клиента Центра партнеров вы можете претендовать на Microsoft 365 E3 или E5 в зависимости от преимуществ внутреннего использования (IUR). Эти номера SKU включают идентификатор Microsoft Entra ID P1 или 2 соответственно.
    • Для арендатора клиента рекомендуется включить параметры безопасности по умолчанию.
      • Если клиент использует приложения, требующие устаревшей проверки подлинности, эти приложения не будут работать после включения значений безопасности по умолчанию. Если приложение не может быть заменено, удалено или обновлено для использования современной проверки подлинности, вы можете применить MFA через для отдельных пользователей.
      • Вы можете отслеживать и применять параметры безопасности по умолчанию клиента с помощью следующего вызова API Graph:
        • Тип ресурса IdentitySecurityDefaultsEnforcementPolicy — Microsoft Graph версии 1.0 | Microsoft Learn
• Убедитесь, что используемый метод MFA устойчив к фишингу. Это можно сделать с помощью аутентификации без пароля или сопоставления чисел.
• Если клиент отказывается использовать MFA, не предоставляйте ему доступ к каким-либо ролям администратора в Microsoft Entra ID, или права на запись в подписках Azure.

Доступ к приложению

• Внедрите платформу "Модель безопасных приложений". Всем партнёрам, интегрирующимся с API Центра партнеров, необходимо принять фреймворк модели безопасных приложений для всех приложений и моделей аутентификации пользователей.
• Отключите согласие пользователя в арендаторах Microsoft Entra Центра партнеров или используйте процедуру получения согласия администратора.

Наименьшие привилегии / Нет постоянного доступа

• Пользователи с привилегированными ролями Microsoft Entra не должны регулярно использовать эти учетные записи для электронной почты и совместной работы. Создайте отдельную учетную запись пользователя без административных ролей Microsoft Entra для задач совместной работы.
• Просмотрите группу агентов администрирования и удалите пользователей, которым не нужен доступ.
• Регулярно просматривайте доступ к административным ролям в идентификаторе Microsoft Entra и ограничивайте доступ как можно меньше учетных записей. Дополнительные сведения см. в Встроенные роли Microsoft Entra.
• Пользователи, которые покидают компанию или изменяют роли в компании, должны быть удалены из доступа к Центру партнеров.
• Если у вас есть Microsoft Entra ID P2, используйте Управление привилегированными идентичностями (PIM) для обеспечения JIT-доступа. Используйте совместное управление для проверки и одобрения доступа к ролям администратора Microsoft Entra и ролям Центра партнеров.
• Для получения информации о защите привилегированных ролей см. Обзор защиты привилегированного доступа.
• Регулярно просматривайте доступ к клиентским средам.
  • Удалите неактивные делегированные права администрирования (DAP).
  • Часто задаваемые вопросы о GDAP.
  • Убедитесь, что связи GDAP используют роли с наименьшими необходимыми привилегиями.

Изоляция идентичности

• Избегайте размещения экземпляра Центра партнеров в том же клиенте Microsoft Entra, где размещаются внутренние ИТ-службы, такие как средства электронной почты и совместной работы.
• Используйте отдельные выделенные учетные записи пользователей для привилегированных пользователей Центра партнеров, имеющих доступ к клиентам.
• Избегайте создания учетных записей пользователей в клиентских тенантах Microsoft Entra, предназначенных для использования партнерами для администрирования клиентского тенанта и связанных приложений и служб.

Рекомендации по устройствам

• Разрешить доступ к центру партнеров и клиенту только из зарегистрированных работоспособных рабочих станций, которые имеют управляемые базовые показатели безопасности и отслеживаются для рисков безопасности.
• Для пользователей Центра партнеров с привилегированным доступом к клиентским средам рекомендуется использовать выделенные рабочие станции (виртуальные или физические) для доступа к клиентским средам. Для получения дополнительной информации см. раздел Обеспечение привилегированного доступа.

Лучшие практики мониторинга

API Центра партнеров

• Все поставщики панелей управления должны активировать модель безопасного приложения и включить ведение журнала для каждого действия пользователя.
• Поставщики панели управления должны обеспечить аудит каждого агента партнера, входящего в приложение, и всех предпринятых действий.

Мониторинг и аудит авторизации

• Партнеры с лицензией Microsoft Entra ID P2 автоматически получают право на хранение данных журнала аудита и входа в систему до 30 дней.

  Убедитесь, что:

  • Ведение журнала аудита выполняется в том месте, где используются делегированные учетные записи администратора.
  • Журналы фиксируют максимальный уровень сведений, предоставляемых службой.
  • Журналы сохраняются в течение допустимого периода (до 30 дней), что позволяет обнаруживать аномальные действия.

  Для подробного ведения журнала аудита может потребоваться приобретение дополнительных служб. Для получения дополнительной информации см. Сколько времени Microsoft Entra ID хранит данные отчетов?

• Регулярно просматривайте и проверяйте адреса электронной почты восстановления паролей и номера телефонов в идентификаторе Microsoft Entra для всех пользователей с привилегированными ролями администратора Entra и при необходимости обновите их.

  • Если арендатор клиента скомпрометирован, партнер CSP Direct Bill, непрямой поставщик или косвенный торговый посредник не может обратиться в службу поддержки с просьбой изменить пароль администратора в тенанте клиента. Заказчик должен обратиться в службу поддержки Майкрософт, следуя инструкциям в теме Сбросить пароль администратора. Тема Сбросить мой пароль администратора содержит ссылку, которую клиенты могут использовать для обращения в службу поддержки Microsoft. Сообщите клиенту, что CSP больше не имеет доступа к своему клиенту, чтобы помочь с сбросом пароля. CSP должен рассмотреть возможность приостановки подписок клиента до тех пор, пока не будет восстановлен доступ, и обижающие стороны будут удалены.

• Реализуйте рекомендации по ведению журнала аудита и выполняйте обычную проверку действий, выполняемых делегированными учетными записями администратора.

  • Что такое отчеты Microsoft Entra?
  • Анализ журналов действий с помощью журналов Azure Monitor
  • Справочник по действиям аудита Microsoft Entra

• Партнеры должны просматривать отчет о рискованных пользователях в своей среде и обращаться к учетным записям, обнаруженным для представления риска в соответствии с опубликованными рекомендациями.

  • Устранение рисков и разблокировка пользователей
  • Взаимодействие пользователей с Microsoft Entra ID Protection

Связанное содержимое

• Требования безопасности партнеров
• Руководящие принципы нулевого доверия
• Рекомендации по обеспечению безопасности клиентов