Требования к безопасности для использования API Центра партнеров или Центра партнеров
соответствующие роли: все пользователи Центра партнеров
В качестве помощника, поставщика панели управления или партнера по поставщику облачных решений (CSP) у вас есть решения о вариантах проверки подлинности и других соображениях безопасности.
Защита конфиденциальности и безопасность для вас и ваших клиентов являются одними из наших главных приоритетов. Мы знаем, что лучшая защита — это предотвращение, и что наша сила определяется нашей самой слабой связью. Нам нужны все в нашей экосистеме, чтобы обеспечить соответствующую защиту безопасности.
Обязательные требования к безопасности
Программа CSP помогает клиентам покупать продукты и услуги Майкрософт через партнеров. В соответствии с их соглашением с Корпорацией Майкрософт партнеры должны управлять средой и предоставлять поддержку клиентам, которым они продают.
Клиенты, которые покупают через этот канал, доверяют вам как партнеру, так как у вас есть расширенные права администратора к арендаторам клиентов.
Партнеры, которые не реализуют обязательные требования к безопасности, не могут выполнять транзакции в программе CSP. Они также не могут управлять подведомственными клиентами, которые используют делегированные административные права. Кроме того, партнеры, которые не реализуют требования к безопасности, могут поставить под угрозу их участие в программах.
Условия, связанные с требованиями к безопасности партнера, добавляются в соглашение с партнером Майкрософт. Партнёрское соглашение Microsoft (MPA) периодически обновляется, и корпорация Майкрософт рекомендует всем партнёрам регулярно проверять обновления. Что касается консультантов, к ним применяются те же договорные требования.
Все партнеры должны соблюдать рекомендации по обеспечению безопасности, чтобы обеспечить безопасность партнерских и клиентских сред. Эти рекомендации помогают устранять проблемы с безопасностью, устранять эскалации безопасности и гарантировать, что доверие клиентов не скомпрометировано.
Чтобы защитить вас и клиентов, необходимо немедленно выполнить следующие действия:
Включение MFA для всех учетных записей пользователей в клиенте партнера
Вы должны внедрить многофакторную аутентификацию (MFA) для всех учетных записей пользователей в ваших клиентах-партнерах. MFA становится вызовом для пользователей, когда они:
- Войдите в коммерческие облачные службы Майкрософт.
- Транзакция в программе поставщика облачных решений через Центр партнеров.
- Осуществляйте транзакции с использованием API.
Обязательное внедрение MFA осуществляется в соответствии со следующими рекомендациями:
- Партнеры, использующие поддерживаемую Microsoft многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Несколько способов включения многофакторной проверки подлинности Microsoft Entra.
- Партнер, реализовавший какой-либо MFA, отличающийся от Microsoft, и включён в список исключений. Они по-прежнему могут получить доступ к Центру партнеров и API с исключениями, но не могут управлять клиентами с помощью DAP/GDAP. Никаких исключений.
- Организация партнера, которой ранее было предоставлено исключение от обязательной многофакторной аутентификации (MFA). Если партнерской организации было предоставлено исключение для MFA, исключения учитываются только в том случае, если пользователи, которые управляют клиентами в рамках программы поставщика облачных решений, включили их до 1 марта 2022 года. Несоблюдение требований MFA может привести к потере доступа клиентского арендатора.
Для получения дополнительной информации см. Обязательное требование многофакторной аутентификации для арендатора партнера.
Внедрение платформы модели безопасных приложений
Все партнеры, которые интегрируются с API Центра партнеров, должны принять платформу безопасную модель приложений для любых приложений и приложений модели проверки подлинности пользователей.
Важный
Мы настоятельно рекомендуем партнерам реализовать модель безопасных приложений для интеграции с MICROSOFT API, например Azure Resource Manager или Microsoft Graph. Кроме того, партнеры должны реализовать модель безопасного приложения при использовании автоматизации, например PowerShell с помощью учетных данных клиента, чтобы избежать каких-либо нарушений при применении MFA.
Эти требования безопасности помогают защитить инфраструктуру и защитить данные клиентов от потенциальных рисков безопасности, таких как выявление кражи или других инцидентов мошенничества.
Другие требования к безопасности
Клиенты доверяют вам, как их партнеру, предоставлять дополнительные услуги. Необходимо принять все меры безопасности для защиты доверия и репутации клиента в качестве партнера.
Корпорация Майкрософт продолжает добавлять меры принудительного применения, чтобы партнеры должны придерживаться и определять приоритеты безопасности своих клиентов. Эти требования безопасности помогают защитить инфраструктуру и защитить данные клиентов от потенциальных рисков безопасности, таких как выявление кражи или других инцидентов мошенничества.
Партнеры должны гарантировать, что они принимают принципы нулевого доверия, как описано в следующих разделах.
Делегированные права администратора
Делегированные права администратора (DAP) предоставляют возможность управления службой или подпиской клиента от их имени. Клиент должен предоставить партнёру административные разрешения для этой услуги. Поскольку привилегии, которые были предоставлены партнерам для управления клиентами, значительно повышены, корпорация Майкрософт рекомендует партнерам удалять неактивные DAPs. Партнеры, которые управляют клиентом с помощью делегированных прав администратора, должны удалить неактивный DAP из Центра партнеров , чтобы предотвратить любые последствия для клиента и их ресурсов.
Дополнительные сведения см. в руководстве по административным отношениям и самостоятельному удалению DAP Monitor, в разделе часто задаваемых вопросов о делегированных административных привилегиях , и в руководстве по целевой атаке на делегированные административные привилегии NOBELIUM .
Кроме того, DAP вскоре будет выведен из использования. Мы настоятельно рекомендуем всем партнерам, которые активно используют DAP для управления клиентами, переходить к модели наименьших привилегий модели детализированных делегированных прав администратора для безопасного управления клиентами.
Переход на роли с наименьшими привилегиями для управления вашими клиентскими арендаторами
Поскольку DAP скоро будет снят с поддержки, корпорация Майкрософт настоятельно рекомендует перейти от текущей модели DAP, которая предоставляет агентам администрирования непрерывный или постоянный доступ глобального администратора. Замените его подробной моделью делегированного доступа. Детальная модель делегированного доступа снижает риски безопасности для клиентов и последствия этих рисков. Кроме того, вы получаете контроль и гибкость, чтобы ограничить доступ для каждого клиента с учетом рабочей нагрузки сотрудников, управляющих службами и средами клиентов.
Дополнительные сведения см. в обзоре делегированных прав администратора (GDAP), сведения о наименее привилегированных роляхи часто задаваемые вопросы по GDAP.
Следите за уведомлениями о мошенничестве Azure
В качестве партнера в программе CSP вы несете ответственность за потребление Azure клиента, поэтому важно знать о любых потенциальных действиях по добыче криптовалют в подписках Azure клиентов. Эта осведомленность помогает вам принять немедленные меры, чтобы определить, является ли поведение законным или мошенническим. При необходимости можно приостановить затронутые ресурсы Azure или подписку Azure, чтобы устранить проблему.
Дополнительные сведения см. в обнаружении мошенничества и уведомлении Azure.
Регистрация в Microsoft Entra ID P2
Все агенты администрирования в клиенте CSP должны укрепить свою кибербезопасность, реализуя Microsoft Entra ID P2, и воспользоваться различными возможностями для укрепления клиента CSP. Идентификатор Microsoft Entra ID P2 предоставляет расширенный доступ к журналам входа и премиальные функции, такие как Microsoft Entra Privileged Identity Management (PIM) и возможности условного доступа на основе рисков для усиления контроля безопасности.
Соблюдение рекомендаций по обеспечению безопасности CSP
Важно следовать всем рекомендациям CSP по обеспечению безопасности. Дополнительные сведения см. в рекомендациях по обеспечению безопасности поставщиков облачных решений.
Реализация многофакторной проверки подлинности
Чтобы соответствовать требованиям безопасности партнера, необходимо реализовать и применить MFA для каждой учетной записи пользователя в клиенте партнера. Это можно сделать одним из следующих способов:
- Внедрить параметры безопасности Microsoft Entra по умолчанию . Дополнительные сведения см. в следующем разделе Параметры безопасности по умолчанию.
- Приобретите идентификатор Microsoft Entra ID P1 или P2 для каждой учетной записи пользователя. Дополнительные сведения см. в разделе Планирование развертывания многофакторной проверки подлинности Microsoft Entra.
Параметры безопасности по умолчанию
Одним из вариантов, которые партнеры могут использовать для реализации требований MFA, — включить параметры безопасности по умолчанию в идентификаторе Microsoft Entra. Стандартные параметры безопасности предлагают базовый уровень защиты без дополнительных затрат. Узнайте, как включить MFA для вашей организации с помощью идентификатора Microsoft Entra. Ниже приведены некоторые ключевые рекомендации перед включением значений безопасности по умолчанию.
- Партнеры, которые уже приняли базовые политики, должны принять меры для перехода на параметры безопасности по умолчанию.
- Настройки безопасности по умолчанию заменяют базовые политики предварительной версии на стадии общей доступности. После включения по умолчанию безопасности партнеру не удается включить базовые политики.
- Политики безопасности по умолчанию включены одновременно.
- Партнеры, использующие условного доступа, не могут использовать параметры безопасности по умолчанию.
- Устаревшие протоколы проверки подлинности блокируются.
- Учетная запись синхронизации Microsoft Entra Connect исключена из значений по умолчанию безопасности и не запрашивается зарегистрировать или выполнить многофакторную проверку подлинности. Организации не должны использовать эту учетную запись для других целей.
Дополнительные сведения см. в статье Обзор многофакторной проверки подлинности Microsoft Entra для вашей организации и Что такое параметры безопасности по умолчанию?.
Заметка
Безопасность по умолчанию Microsoft Entra — это эволюция упрощённых политик базовой защиты. Если вы уже включили базовые политики защиты, настоятельно рекомендуется включить параметры безопасности по умолчанию.
Часто задаваемые вопросы о реализации (вопросы и ответы)
Так как эти требования применяются ко всем учетным записям пользователей в клиенте партнера, необходимо рассмотреть несколько аспектов, чтобы обеспечить плавное развертывание. Например, определите учетные записи пользователей в идентификаторе Microsoft Entra, которые не могут выполнять MFA, а также приложения и устройства в вашей организации, которые не поддерживают современную проверку подлинности.
Перед выполнением любого действия рекомендуется выполнить следующие проверки.
У вас есть приложение или устройство, которое не поддерживает использование современной проверки подлинности?
При применении MFA устаревшие проверки подлинности, использующие IMAP, POP3, SMTP, протоколы блокируются. Это связано с тем, что эти протоколы не поддерживают MFA. Чтобы исправить это ограничение, используйте пароли приложений, чтобы убедиться, что приложение или устройство по-прежнему проходит проверку подлинности. Просмотрите рекомендации по использованию паролей приложений, чтобы определить, можно ли использовать их в вашей среде.
У вас есть пользователи Office 365 с лицензиями, связанными с вашим клиентом партнера?
Перед реализацией любого решения рекомендуется определить, какие версии Microsoft Office используют пользователи в клиенте партнера. Есть вероятность, что пользователи могут столкнуться с проблемами с подключением к приложениям, таким как Outlook. Перед применением MFA важно убедиться, что вы используете Outlook 2013 с пакетом обновления 1 (SP1) или более поздней версии, и что в вашей организации включена современная проверка подлинности. Дополнительные сведения см. в статье Включение современной проверки подлинности в Exchange Online.
Чтобы включить современную проверку подлинности для устройств под управлением Windows и с установленным Microsoft Office 2013, необходимо создать два ключа реестра. См. включение современной проверки подлинности для Office 2013 на устройствах Windows.
Существует ли политика, препятствующая любому из пользователей использовать свои мобильные устройства во время работы?
Важно определить любую корпоративную политику, которая запрещает сотрудникам использовать мобильные устройства во время работы, так как это влияет на то, какое решение MFA вы реализуете. Существуют решения, например те, которые предоставляются с помощью реализации по умолчанию безопасности Microsoft Entra, которые позволяют использовать только приложение authenticator для проверки подлинности. Если у вашей организации есть политика предотвращения использования мобильных устройств, рассмотрите один из следующих вариантов:
- Разверните приложение для генерации одноразовых паролей на основе времени (TOTP), которое может работать в защищенной системе.
Какая автоматизация или интеграция у вас есть для проверки подлинности учетных данных пользователя?
Принудительное применение MFA для пользователей, включая учетные записи служб в каталоге партнеров, может повлиять на любую автоматизацию или интеграцию, которая использует учетные данные пользователя для проверки подлинности. Поэтому важно определить, какие учетные записи используются в этих ситуациях. Ознакомьтесь со следующим списком примеров приложений или служб, которые следует рассмотреть.
- Используйте панель управления для подготовки ресурсов от имени клиентов.
- Интеграция с любой платформой, которая выставляет счета (в рамках программы CSP) и поддерживает ваших клиентов.
- Используйте скрипты PowerShell, использующие командлеты Az, AzureRM, Microsoft Graph PowerShellи другие модули.
Этот список не является исчерпывающим, поэтому важно выполнить полную оценку любого приложения или службы в вашей среде, использующего учетные данные пользователя для проверки подлинности. Чтобы справляться с требованием MFA, используйте руководство в Secure Application Model framework, где это возможно.
Получите доступ к вашей среде
Чтобы лучше понять, что или кто аутентифицируется бесприпятственно без проверки MFA, рекомендуется просмотреть активность входа. С помощью идентификатора Microsoft Entra ID P1 или P2 вы можете использовать отчет о входе. Более подробную информацию см. в отчетах о действиях входа в Центре администрирования Microsoft Entra. Если у вас нет идентификатора Microsoft Entra ID P1 или P2 или если вам нужен способ получения действий входа с помощью PowerShell, используйте командлет Get-PartnerUserSignActivity из модуля PowerShell Центра партнеров PowerShell.
Как применяются требования
Если партнерской организации было предоставлено исключение для MFA, исключения учитываются только в том случае, если пользователи, которые управляют клиентами в рамках программы поставщика облачных решений, включили их до 1 марта 2022 года. Отсутствие соответствия требованиям MFA может привести к потере доступа клиента.
Microsoft Entra ID и Центр партнеров применяют требования к безопасности партнера, проверяя наличие утверждения о многофакторной аутентификации (MFA), чтобы определить, происходит ли проверка многофакторной аутентификации (MFA). По состоянию на 18 ноября 2019 г., корпорация Майкрософт ввела в действие дополнительные меры безопасности, ранее известные как "техническое принуждение", для арендаторов-партнеров.
Во время активации пользователей в клиенте партнера просят завершить проверку MFA при выполнении администраторских операций от имени (AOBO). Пользователям также необходимо выполнить проверку MFA при доступе к API Центра партнеров или вызову API Центра партнеров. Дополнительные сведения см. в разделе Требование многофакторной аутентификации для арендатора-партнера.
Партнеры, которые не соответствуют требованиям, должны реализовать эти меры как можно скорее, чтобы избежать каких-либо нарушений бизнеса. Если вы используете многофакторную проверку подлинности Microsoft Entra или параметры безопасности Microsoft Entra по умолчанию, вам не нужно предпринимать никаких других действий.
Если вы используете решение MFA, отличное от Майкрософт, возможно, не будет выдано утверждение MFA. Если утверждение отсутствует, идентификатор Microsoft Entra не может определить, оспаривает ли MFA запрос проверки подлинности. Сведения о том, как убедиться, что ваше решение выдает ожидаемое утверждение, см. в разделе Тест требований безопасности партнера.
Важный
Если ваше решение, отличное от Майкрософт, не выдает ожидаемое утверждение, обратитесь к поставщику, который разработал решение, чтобы определить, какие действия следует предпринять.
Ресурсы и примеры
Ознакомьтесь со следующими ресурсами для поддержки и примера кода:
- сообщество группы рекомендаций по вопросам безопасности Центра партнеров: Сообщество группы рекомендаций по вопросам безопасности Центра партнеров — это онлайн-сообщество, где вы можете узнать о предстоящих событиях и задать свои вопросы.
- Примеры .NET в Центре партнеров. Этот репозиторий на GitHub содержит примеры, разработанные с использованием .NET, которые демонстрируют, как можно реализовать структуру безопасной модели приложений.
- Примеры Java Центра Партнеров: этот репозиторий GitHub содержит примеры, разработанные с помощью Java, которые демонстрируют, как реализовать фреймворк модели безопасных приложений.
- Центр партнеров PowerShell — Многофакторная аутентификация. В этой статье о многофакторной аутентификации содержатся сведения о том, как реализовать структуру безопасной модели приложения с помощью PowerShell.
- Функции и лицензии для многофакторной аутентификации Microsoft Entra
- Планирование развертывания многофакторной аутентификации Microsoft Entra
- Протестируйте требования к безопасности партнера с помощью PowerShell