Dela via


Säkerhetskrav för att använda Partnercenter och dess API:er

Lämpliga roller: Alla Partnercenter-användare

Som rådgivare, leverantör av kontrollpaneler eller molnlösningsleverantörspartner (CSP) har du beslut om autentiseringsalternativ och andra säkerhetsöverväganden.

Sekretessskydd och säkerhet för dig och dina kunder är bland våra främsta prioriteringar. Vi vet att det bästa försvaret är förebyggande och att vi bara är lika starka som vår svagaste länk. Vi behöver alla i vårt ekosystem för att säkerställa att lämpliga säkerhetsskydd finns på plats.

Obligatoriska säkerhetskrav

CSP-programmet hjälper kunder att köpa Microsoft-produkter och -tjänster via partner. I enlighet med deras avtal med Microsoft måste partner hantera miljön för och ge support till de kunder som de säljer till.

Kunder som köper via den här kanalen litar på dig som partner eftersom du har administratörsåtkomst med hög behörighet till kundklientorganisationen.

Partner som inte implementerar de obligatoriska säkerhetskraven kan inte utföra åtgärder i CSP-programmet. De kan inte heller hantera kundklientorganisationer som använder delegerade administratörsrättigheter. Dessutom kan partner som inte implementerar säkerhetskrav riskera sitt deltagande i program.

Villkoren som är associerade med partnersäkerhetskraven läggs till i Microsoft-partneravtalet. Microsoft-partneravtalet (MPA) uppdateras regelbundet och Microsoft rekommenderar att alla partner återkommer regelbundet. När det gäller Advisors gäller samma avtalskrav.

Alla partner måste följa bästa praxis för säkerhet så att de kan skydda partner- och kundmiljöer. De här metodtipsen hjälper dig att åtgärda säkerhetsproblem, åtgärda säkerhetseskaleringar och se till att kundernas förtroende inte äventyras.

För att skydda dig och dina kunder måste du vidta följande åtgärder omedelbart:

Aktivera MFA för alla användarkonton i din partnerklientorganisation

Du måste framtvinga multifaktorautentisering (MFA) på alla användarkonton i dina partnerklientorganisationer. MFA utmanar användarna när de:

  • Logga in på Microsofts kommersiella molntjänster.
  • Transaktioner i Cloud Solution Provider-programmet genom Partnercenter.
  • Transagera med API:er.

MFA-tillämpning följer dessa riktlinjer:

  • Partner som använder Microsoft-stödd Microsoft Entra multifaktorautentisering. Mer information finns i Flera sätt att aktivera Microsoft Entra multifaktorautentisering.
  • Partner som implementerade icke-Microsoft MFA och som finns med på undantagslistan. De kan fortfarande komma åt Partnercenter och API:er med undantag men kan inte hantera kunder med hjälp av DAP/GDAP. Inga undantag.
  • Partnerns organisation som tidigare beviljats ett undantag för MFA. Om en partnerorganisation har beviljats ett undantag för MFA respekteras undantagen endast om de användare som hanterar kundklienter som en del av cloud solution provider-programmet aktiverade dem före den 1 mars 2022. Om du inte uppfyller MFA-kraven kan det leda till att kundklientåtkomsten går förlorad.

Mer information finns i Mandate multifaktorautentisering för din partnerklientorganisation.

Anta ramverket för säker programmodell

Alla partner som integrerar med Partnercenter-API:er måste använda ramverket Secure Application Model för alla program- och användarautentiseringsmodellprogram.

Viktig

Vi rekommenderar starkt att partner implementerar den säkra programmodellen för att integrera med ett Microsoft API, till exempel Azure Resource Manager eller Microsoft Graph. Partner bör också implementera den säkra programmodellen när de utnyttjar automatisering, till exempel PowerShell med hjälp av kundens autentiseringsuppgifter, för att undvika störningar när de tillämpar MFA.

Dessa säkerhetskrav hjälper dig att skydda din infrastruktur och skydda dina kunders data från potentiella säkerhetsrisker, till exempel identifiera stölder eller andra bedrägeriincidenter.

Andra säkerhetskrav

Kunderna litar på att du som partner tillhandahåller mervärdestjänster. Det är absolut nödvändigt att du vidtar alla säkerhetsåtgärder för att skydda kundens förtroende och ditt rykte som partner.

Microsoft fortsätter att lägga till verkställighetsåtgärder så att partner måste följa och prioritera säkerheten för sina kunder. Dessa säkerhetskrav hjälper dig att skydda din infrastruktur och skydda dina kunders data från potentiella säkerhetsrisker, till exempel identifiera stölder eller andra bedrägeriincidenter.

Partner måste se till att de antar principerna för Noll förtroende enligt beskrivningen i följande avsnitt.

Delegerade administratörsbehörigheter

Delegerade administratörsprivilegier (DAP) ger möjlighet att hantera en kunds tjänst eller prenumeration för deras räkning. Kunden måste bevilja partnerns administrativa behörigheter för den tjänsten. Eftersom de behörigheter som tillhandahålls partnern för att hantera kunden är mycket utökade rekommenderar Microsoft att partner ta bort inaktiva DAP:er. Partner som hanterar kundklientorganisationen med delegerade administratörsbehörigheter bör ta bort inaktiv DAP från Partnercenter för att förhindra påverkan på kundens klientorganisation och deras tillgångar.

Mer information finns i guiden Övervaka administrativa relationer och DAP-borttagning med självbetjäning, Delegerade administratörsbehörigheter vanliga frågor och svar, och guiden NOBELIUMs inriktning på delegerade administrativa privilegier.

DAP kommer snart att avvecklas. Vi rekommenderar starkt att alla partner som aktivt använder DAP för att hantera sina kundorganisationer går mot en minsta möjliga behörighet granulära delegerade administratörsprivilegier modell för att säkert hantera sina kunders klienter.

Använd roller med minsta behörighet för att hantera kundhyresgäster.

Eftersom DAP snart är inaktuell rekommenderar Microsoft starkt att du flyttar från den aktuella DAP-modellen, vilket ger administratörsagenter stående eller evig global administratörsåtkomst. Ersätt den med en detaljerad delegerad åtkomstmodell. Den detaljerade delegerade åtkomstmodellen minskar säkerhetsriskerna för kunderna och effekterna av dessa risker. Det ger dig också kontroll och flexibilitet för att begränsa åtkomsten per kund på arbetsbelastningsnivå för dina anställda som hanterar dina kunders tjänster och miljöer.

Mer information finns i översikten över Detaljerade delegerade administratörsprivilegier (GDAP), information om roller med minst privilegieroch vanliga frågor och svar om GDAP

Håll utkik efter Azure-bedrägerimeddelanden

Som partner i CSP-programmet ansvarar du för kundens Azure-förbrukning, så det är viktigt att du är medveten om eventuella aktiviteter för kryptovalutautvinning i dina kunders Azure-prenumerationer. Den här medvetenheten hjälper dig att vidta omedelbara åtgärder för att avgöra om beteendet är legitimt eller bedrägligt. Om det behövs kan du pausa de berörda Azure-resurserna eller Azure-prenumerationen för att åtgärda problemet.

Mer information finns i Identifiering och avisering av Azure-bedrägerier.

Registrera dig för Microsoft Entra ID P2

Alla administratörsagenter i CSP-klienten bör stärka sin cybersäkerhet genom att implementera Microsoft Entra ID P2och dra nytta av de olika funktionerna för att stärka din CSP-klientorganisation. Microsoft Entra ID P2 ger utökad åtkomst till inloggningsloggar och premiumfunktioner som Microsoft Entra Privileged Identity Management (PIM) och riskbaserade funktioner för villkorsstyrd åtkomst för att stärka säkerhetskontrollerna.

Följ metodtipsen för CSP-säkerhet

Det är viktigt att följa alla metodtips för CSP för säkerhet. Läs mer på metodtips för molnlösningsleverantör.

Implementera multifaktorautentisering

För att uppfylla partnersäkerhetskraven måste du implementera och tillämpa MFA för varje användarkonto i din partnerklientorganisation. Du kan göra detta på något av följande sätt:

Standardinställningar för säkerhet

Ett av de alternativ som partner kan använda för att implementera MFA-krav är att aktivera standardinställningar för säkerhet i Microsoft Entra-ID. Standardinställningar för säkerhet erbjuder en grundläggande säkerhetsnivå utan extra kostnad. Läs om hur du aktiverar MFA för din organisation med Microsoft Entra-ID. Här följer några viktiga överväganden innan du aktiverar standardinställningar för säkerhet.

  • Partner som redan har antagit baslinjeprinciper måste vidta åtgärder för att övergå till säkerhetsstandarder.
  • Standardinställningar för säkerhet är den allmänna tillgänglighetsersättningen för baslinjeprinciperna för förhandsversionen. När en partner har aktiverat standardinställningarna för säkerhet kan de inte aktivera baslinjeprinciper.
  • Standardprinciper för säkerhet aktiveras samtidigt.
  • Partner som använder villkorlig åtkomst, kan inte använda standardinställningar för säkerhet.
  • Äldre autentiseringsprotokoll blockeras.
  • Microsoft Entra Connect-synkroniseringskontot undantas från säkerhetsstandarder och uppmanas inte att registrera sig för eller utföra multifaktorautentisering. Organisationer bör inte använda det här kontot i andra syften.

Mer information finns i Översikt över Microsoft Entra multifaktorautentisering för din organisation och Vad är standardinställningar för säkerhet?.

Anteckning

Microsoft Entra-säkerhetsstandarder är en förenklad utveckling av baslinjeskyddsprinciperna. Om du redan har aktiverat baslinjeskyddsprinciperna rekommenderar vi starkt att du aktiverar standardinställningar för säkerhet.

Vanliga frågor och svar om implementering

Eftersom dessa krav gäller för alla användarkonton i din partnerklientorganisation måste du överväga flera saker för att säkerställa en smidig distribution. Du kan till exempel identifiera användarkonton i Microsoft Entra-ID som inte kan utföra MFA och program och enheter i din organisation som inte stöder modern autentisering.

Innan du utför någon åtgärd rekommenderar vi att du slutför följande valideringar.

Har du ett program eller en enhet som inte stöder användning av modern autentisering?

När du tillämpar MFA blockeras äldre autentiseringar som använder IMAP, POP3, SMTP och protokoll. Det beror på att dessa protokoll inte stöder MFA. Du kan åtgärda den här begränsningen genom att använda funktionen applösenord för att säkerställa att programmet eller enheten fortfarande autentiseras. Läs Överväganden för att använda applösenord för att avgöra om du kan använda dem i din miljö.

Har du Office 365-användare med licenser som är associerade med din partnerklientorganisation?

Innan du implementerar en lösning rekommenderar vi att du avgör vilka versioner av Microsoft Office som användarna i din partnerklient använder. Det finns en chans att användarna kan uppleva anslutningsproblem med program som Outlook. Innan du tillämpar MFA är det viktigt att se till att du använder Outlook 2013 SP1 eller senare och att din organisation har modern autentisering aktiverad. Mer information finns i Aktivera modern autentisering i Exchange Online.

Om du vill aktivera modern autentisering för enheter som kör Windows och har Microsoft Office 2013 installerat måste du skapa två registernycklar. Se Aktivera modern autentisering för Office 2013 på Windows-enheter.

Finns det en princip som hindrar någon av dina användare från att använda sina mobila enheter när de arbetar?

Det är viktigt att identifiera alla företagsprinciper som hindrar anställda från att använda mobila enheter när de arbetar eftersom det påverkar vilken MFA-lösning du implementerar. Det finns lösningar, till exempel den som tillhandahålls via implementeringen av Microsoft Entra-säkerhetsstandarder, som endast tillåter användning av en autentiseringsapp för verifiering. Om din organisation har en princip som förhindrar användning av mobila enheter bör du överväga något av följande alternativ:

  • Distribuera ett tidsbaserat totp-program (engångsbaslösenord) som kan köras på ett säkert system.

Vilken automatisering eller integrering behöver du för att autentisera användarautentiseringsuppgifter?

MFA-tillämpning för användare, inklusive tjänstkonton, i din partnerkatalog, kan påverka all automatisering eller integrering som använder användarautentiseringsuppgifter för autentisering. Därför är det viktigt att identifiera vilka konton som används i dessa situationer. Se följande lista över exempelprogram eller tjänster att överväga:

  • Använd en kontrollpanel för att förbereda resurser åt dina kunder.
  • Integrera med alla plattformar som fakturerar (när det gäller CSP-programmet) och som stödjer dina kunder.
  • Använd PowerShell-skript som använder Az-cmdletar, AzureRM, Microsoft Graph PowerShelloch andra moduler.

Den här listan är inte omfattande, så det är viktigt att utföra en fullständig utvärdering av alla program eller tjänster i din miljö som använder användarautentiseringsuppgifter för autentisering. Om du vill uppfylla kraven för MFA använder du vägledningen i ramverket säker programmodell där det är möjligt.

Få åtkomst till din miljö

För att bättre förstå vad eller vem som autentiserar utan MFA-utmaning rekommenderar vi att du granskar inloggningsaktiviteten. Via Microsoft Entra ID P1 eller P2 kan du använda inloggningsrapporten. Mer information finns i Rapporter om inloggningsaktivitet i administrationscentret för Microsoft Entra. Om du inte har Microsoft Entra ID P1 eller P2, eller om du behöver ett sätt att få inloggningsaktivitet via PowerShell, använder du cmdleten Get-PartnerUserSignActivity från Partner Center PowerShell-modulen.

Så här framtvingas kraven

Om en partnerorganisation har beviljats ett undantag för MFA respekteras undantagen endast om de användare som hanterar kundklienter som en del av cloud solution provider-programmet aktiverade dem före den 1 mars 2022. Om du inte uppfyller MFA-kraven kan det leda till att kundklientåtkomsten går förlorad.

Microsoft Entra-ID och Partnercenter tillämpar partnersäkerhetskrav genom att kontrollera om MFA-anspråket finns för att identifiera att MFA-verifieringen äger rum. Från och med den 18 november 2019 aktiverade Microsoft fler säkerhetsskydd, som tidigare kallades "teknisk tillämpning" för partnerklientorganisationer.

Vid aktivering uppmanas användare i partnerhyresgästen att slutföra MFA-verifieringen när de utför administration på uppdrag av (AOBO)-åtgärder. Användarna måste också slutföra MFA-verifieringen när de får åtkomst till Partnercenter eller anropa API:er för Partnercenter. Mer information finns i Utfärda multifaktorautentisering för din partnerklient.

Partner som inte uppfyller kraven bör implementera dessa åtgärder så snart som möjligt för att undvika avbrott i verksamheten. Om du använder Microsoft Entra-multifaktorautentisering eller Microsoft Entra-säkerhetsstandarder behöver du inte vidta några andra åtgärder.

Om du använder en MFA-lösning som inte kommer från Microsoft finns det en risk att MFA-anspråket inte utfärdas. När anspråket saknas kan Microsoft Entra ID inte avgöra huruvida MFA utmanar autentiseringsbegäran. Information om hur du verifierar att lösningen utfärdar det förväntade anspråket finns i Testa partnersäkerhetskrav.

Viktig

Om din icke-Microsoft-lösning inte utfärdar det förväntade anspråket ska du samarbeta med leverantören som utvecklade lösningen för att avgöra vilka åtgärder som ska utföras.

Resurser och exempel

Se följande resurser för support och exempelkod: