Metodtips för CSP-säkerhet
Alla partner i Molnlösningsleverantör-programmet (CSP) som har åtkomst till API:er för Partnercenter och Partnercenter bör följa säkerhetsriktlinjerna i den här artikeln för att skydda sig själva och sina kunder.
Information om kundsäkerhet finns i Metodtips för kundsäkerhet.
Viktigt!
Azure Active Directory (Azure AD) Graph är inaktuell från och med den 30 juni 2023. Framöver gör vi inga ytterligare investeringar i Azure AD Graph. Azure AD Graph-API:er har inget serviceavtal eller underhållsåtagande utöver säkerhetsrelaterade korrigeringar. Investeringar i nya funktioner och funktioner görs endast i Microsoft Graph.
Vi drar tillbaka Azure AD Graph i stegvisa steg så att du har tillräckligt med tid för att migrera dina program till Microsoft Graph-API:er. Vid ett senare tillfälle som vi kommer att meddela kommer vi att blockera skapandet av nya program med hjälp av Azure AD Graph.
Mer information finns i Viktigt: Utfasning av Azure AD Graph Och Utfasning av Powershell-moduler.
Rekommenderade steg i dina klienter
- Lägg till en säkerhetskontakt för meddelanden om säkerhetsrelaterade problem i Partnercenter-klientorganisationen.
- Kontrollera din identitetssäkerhetspoäng i Microsoft Entra-ID och vidta lämpliga åtgärder för att höja poängen.
- Granska och implementera vägledningen som beskrivs i Hantera utebliven betalning, bedrägeri eller missbruk.
- Bekanta dig med NOBELIUM-hotskådespelaren och relaterat material:
Metodtips för identitet
Kräv multifaktorautentisering
- Se till att alla användare i dina PartnerCenter-klienter och dina kundklienter är registrerade för och kräver multifaktorautentisering (MFA). Det finns olika sätt att konfigurera MFA. Välj den metod som gäller för den klientorganisation som du konfigurerar:
- Mitt partnercenter/kundens klientorganisation har Microsoft Entra ID P1
- Använd villkorsstyrd åtkomst för att framtvinga MFA.
- Mitt partnercenter/kundens klientorganisation har Microsoft Entra ID P2
- Använd villkorsstyrd åtkomst för att framtvinga MFA.
- Implementera riskbaserade principer med Microsoft Entra ID Protection.
- För din Partner Center-klientorganisation kan du kvalificera dig för Microsoft 365 E3 eller E5, beroende på dina IUR-förmåner (Internal Use Rights). Dessa SKU:er inkluderar Microsoft Entra ID P1 respektive 2.
- För kundens klientorganisation rekommenderar vi att du aktiverar standardinställningar för säkerhet.
- Om kunden använder appar som kräver äldre autentisering fungerar inte dessa appar när du har aktiverat standardinställningar för säkerhet. Om appen inte kan ersättas, tas bort eller uppdateras för att använda modern autentisering kan du framtvinga MFA via MFA per användare.
- Du kan övervaka och framtvinga kundens användning av säkerhetsstandarder med hjälp av följande Graph API-anrop:
- Mitt partnercenter/kundens klientorganisation har Microsoft Entra ID P1
- Kontrollera att MFA-metoden som används är nätfiskebeständig. Du kan göra det genom att använda lösenordslös autentisering eller nummermatchning.
- Om en kund vägrar att använda MFA ska du inte ge dem någon administratörsrollåtkomst till Microsoft Entra-ID eller skriva behörigheter till Azure-prenumerationer.
App-åtkomst
- Anta ramverket för säker programmodell. Alla partner som integrerar med Partnercenter-API:er måste använda ramverket för säker programmodell för alla program för app- och användarautentiseringsmodeller.
- Inaktivera användarmedgivande i Microsoft Entra-klientorganisationer i Partnercenter eller använd arbetsflödet för administratörsmedgivande.
Minsta behörighet/Ingen stående åtkomst
- Användare som har Microsoft Entra-privilegierade inbyggda roller bör inte regelbundet använda dessa konton för e-post och samarbete. Skapa ett separat användarkonto utan administrativa Microsoft Entra-roller för samarbetsaktiviteter.
- Granska gruppen Administratörsagent och ta bort personer som inte behöver åtkomst.
- Granska regelbundet åtkomsten till administrativa roller i Microsoft Entra-ID och begränsa åtkomsten till så få konton som möjligt. Mer information finns i Inbyggda roller i Microsoft Entra.
- Användare som lämnar företaget eller ändrar roller i företaget bör tas bort från partnercenteråtkomsten.
- Om du har Microsoft Entra ID P2 använder du Privileged Identity Management (PIM) för att framtvinga just-in-time-åtkomst (JIT). Använd dubbel vårdnad för att granska och godkänna åtkomst för Microsoft Entra-administratörsroller och Partnercenter-roller.
- Information om hur du skyddar privilegierade roller finns i Skydda privilegierad åtkomstöversikt.
- Granska regelbundet åtkomsten till kundmiljöer.
- Ta bort inaktiva delegerade administrationsprivilegier (DAP).
- Vanliga frågor och svar om GDAP.
- Se till att GDAP-relationer använder roller med minsta möjliga behörighet.
Identitetsisolering
- Undvik att vara värd för din Partner Center-instans i samma Microsoft Entra-klientorganisation som är värd för dina interna IT-tjänster, till exempel e-post- och samarbetsverktyg.
- Använd separata, dedikerade användarkonton för privilegierade partnercenteranvändare som har kundåtkomst.
- Undvik att skapa användarkonton i kundens Microsoft Entra-klientorganisationer som är avsedda att användas av partner för att administrera kundens klientorganisation och relaterade appar och tjänster.
Metodtips för enheter
- Tillåt endast partnercenter- och kundklientåtkomst från registrerade, felfria arbetsstationer som har hanterade säkerhetsbaslinjer och övervakas för säkerhetsrisker.
- För Partnercenter-användare med privilegierad åtkomst till kundmiljöer bör du överväga att kräva dedikerade arbetsstationer (virtuella eller fysiska) för att dessa användare ska få åtkomst till kundmiljöer. Mer information finns i Skydda privilegierad åtkomst.
Regelverk för övervakning
Partner Center-API:er
- Alla Kontrollpanelen leverantörer bör aktivera den säkra programmodellen och aktivera loggning för varje användaraktivitet.
- Kontrollpanelen leverantörer bör aktivera granskning av varje partneragent som loggar in i programmet och alla åtgärder som vidtas.
Inloggningsövervakning och granskning
Partner med en Microsoft Entra ID P2-licens kvalificerar sig automatiskt för att hålla gransknings- och inloggningsloggdata upp till 30 dagar.
Bekräfta att:
- Granskningsloggning finns där delegerade administratörskonton används.
- Loggar samlar in den maximala informationsnivån som tillhandahålls av tjänsten.
- Loggar behålls under en acceptabel period (upp till 30 dagar) som möjliggör identifiering av avvikande aktivitet.
Detaljerad granskningsloggning kan kräva att du köper fler tjänster. Mer information finns i Hur länge lagrar Microsoft Entra ID rapporteringsdata?
Granska och verifiera e-postadresser och telefonnummer för lösenordsåterställning regelbundet i Microsoft Entra-ID för alla användare med privilegierade Entra-administratörsroller och uppdatera vid behov.
- Om en kunds klientorganisation har komprometterats: CSP Direct Bill Partner, den indirekta providern eller din indirekta återförsäljare kan inte kontakta supporten och begära en ändring av administratörslösenordet i kundens klientorganisation. Kunden måste anropa Microsoft-supporten genom att följa anvisningarna i avsnittet Återställ mitt administratörslösenord. Avsnittet Återställ mitt administratörslösenord har en länk som kunder kan använda för att ringa Microsoft Support. Instruera kunden att nämna att CSP:n inte längre har åtkomst till klientorganisationen för att hjälpa till med att återställa lösenordet. Molnlösningsleverantören bör överväga att pausa kundens prenumerationer tills åtkomsten har återfåtts och de berörda parterna tas bort.
Implementera metodtips för granskningsloggning och utför rutinmässig granskning av aktiviteter som utförs av delegerade administratörskonton.
Partner bör granska rapporten över riskfyllda användare i sin miljö och hantera de konton som identifieras för att utgöra en risk enligt publicerad vägledning.
Relaterat material
- Metodtips för hantering av tjänstens huvudnamn finns i Skydda tjänstens huvudnamn i Microsoft Entra-ID.
- Säkerhetskrav för partner
- Vägledande principer för Nolltillit
- Metodtips för kundsäkerhet