Metodtips för CSP-säkerhet

Alla partner i programmet för molnlösningsleverantörer (CSP) som har åtkomst till Partnercenter och Partnercenter API:er bör följa säkerhetsriktlinjerna i den här artikeln för att skydda sig själva och sina kunder.

För kundsäkerhet, se Bästa metoder för kundsäkerhet. För bästa metoder för att hantera tjänstens principer, se Skydda tjänstens principer i Microsoft Entra ID.

Viktigt!

Azure Active Directory (Azure AD) Graph är inaktuell från och med den 30 juni 2023. Framöver gör vi inga ytterligare investeringar i Azure AD Graph. Azure AD Graph-API:er har inget serviceavtal eller underhållsåtagande utöver säkerhetsrelaterade korrigeringar. Investeringar i nya funktioner och funktionaliteter görs endast i Microsoft Graph.

Vi drar tillbaka Azure AD Graph i stegvisa steg så att du har tillräckligt med tid för att migrera dina program till Microsoft Graph-API:er. Vid ett senare tillfälle som vi kommer att meddela kommer vi att blockera skapandet av nya program med hjälp av Azure AD Graph.

Mer information finns i Viktigt: Utfasning av Azure AD Graph och avveckling av PowerShell-moduler.

Starkt rekommenderade steg för dina hyresgäster

• Lägg till en säkerhetskontakt för meddelanden om säkerhetsrelaterade problem i Partnercenter-klientorganisationen.
• Kontrollera din identitetssäkerhetspoäng i Microsoft Entra ID och vidta lämpliga åtgärder för att förbättra din poäng.
• Granska och implementera vägledningen som dokumenterats i Hantera utebliven betalning, bedrägeri eller missbruk.
• Bekanta dig med NOBELIUM-hotaktören och relaterade material:
  • NOBELIUM riktar in sig på delegerade administrativa rättigheter för att möjliggöra bredare attacker
  • NOBELIUM-svarsträning
  • Säkra kanalen: Resan mot zero trust

Metodtips för identitet

Kräv multifaktorautentisering

• Se till att alla användare i dina Partner Center-klienter och dina kundklienter är registrerade för och måste använda multifaktorautentisering (MFA). Det finns olika sätt att konfigurera MFA. Välj den metod som gäller för den klientorganisation som du konfigurerar:
  • Mitt partnercenter/kundens klientorganisation har Microsoft Entra ID P1
    • Använd Villkorsstyrd åtkomst för att tvinga fram MFA.
  • Mitt partnercenter/kundens klientorganisation har Microsoft Entra ID P2
    • Använd villkorsstyrd åtkomst för att framtvinga MFA.
    • Implementera riskbaserade principer med Microsoft Entra ID Protection.
    • För din Partner Center-klientorganisation kan du kvalificera dig för Microsoft 365 E3 eller E5, beroende på dina IUR-förmåner (Internal Use Rights). Dessa SKU:er inkluderar Microsoft Entra ID P1 respektive 2.
    • För din kunds klient rekommenderar vi att aktivera säkerhetsstandardinställningar.
      • Om kunden använder appar som kräver äldre autentisering fungerar inte dessa appar när du har aktiverat standardinställningar för säkerhet. Om appen inte kan ersättas, tas bort eller uppdateras för att använda modern autentisering, kan du framtvinga MFA via per användare MFA.
      • Du kan övervaka och framtvinga kundens användning av säkerhetsstandarder med hjälp av följande Graph API-anrop:
        • identitySecurityDefaultsEnforcementPolicy-resurstyp – Microsoft Graph v1.0 | Microsoft Learn
• Kontrollera att MFA-metoden som används är nätfiskebeständig. Du kan göra det genom att använda lösenordslös autentisering eller nummermatchning.
• Om en kund vägrar att använda MFA ska du inte ge dem någon administratörsrollåtkomst till Microsoft Entra-ID eller skriva behörigheter till Azure-prenumerationer.

App-åtkomst

• Anta ramverket för säker programmodell. Alla partner som integrerar med Partnercenter-API:er måste anta ramverket för säker programmodell, "Secure Application Model", för alla applikationer och användarautentiseringsmodeller.
• Inaktivera användarmedgivande i Microsoft Entra-klientorganisationer i Partner Center eller använd arbetsflödet för administratörsmedgivande.

Minimala rättigheter/Ingen bestående åtkomst

• Användare som har Microsoft Entra-privilegierade inbyggda roller bör inte regelbundet använda dessa konton för e-post och samarbete. Skapa ett separat användarkonto utan administrativa Microsoft Entra-roller för samarbetsaktiviteter.
• Granska gruppen Administratörsagent och ta bort personer som inte behöver åtkomst.
• Granska regelbundet åtkomsten till administrativa roller i Microsoft Entra-ID och begränsa åtkomsten till så få konton som möjligt. Mer information finns i Microsoft Entras inbyggda roller.
• Användare som lämnar företaget eller ändrar roller i företaget bör tas bort från partnercenteråtkomsten.
• Om du har Microsoft Entra ID P2 använder du Privileged Identity Management (PIM) för att tillämpa just-in-time-åtkomst (JIT). Använd dubbel vårdnad för att granska och godkänna åtkomst för Microsoft Entra-administratörsroller och Partnercenter-roller.
• Information om hur du skyddar privilegierade roller finns i Översikt över att skydda privilegierad åtkomst.
• Granska regelbundet åtkomsten till kundmiljöer.
  • Ta bort inaktiva delegerade administrationsprivilegier (DAP).
  • Vanliga frågor och svar om GDAP.
  • Se till att GDAP-relationer använder roller med de lägsta nödvändiga behörigheterna.

Identitetsisolering

• Undvik att vara värd för din Partner Center-instans i samma Microsoft Entra-klientorganisation som är värd för dina interna IT-tjänster, till exempel e-post- och samarbetsverktyg.
• Använd separata, dedikerade användarkonton för privilegierade partnercenteranvändare som har kundåtkomst.
• Undvik att skapa användarkonton i kundens Microsoft Entra-klientorganisationer som är avsedda att användas av partner för att administrera kundens klientorganisation och relaterade appar och tjänster.

Metodtips för enheter

• Tillåt endast partnercenter- och kundklientåtkomst från registrerade, felfria arbetsstationer som har hanterade säkerhetsbaslinjer och övervakas för säkerhetsrisker.
• För Partnercenter-användare med privilegierad åtkomst till kundmiljöer bör du överväga att kräva dedikerade arbetsstationer (virtuella eller fysiska) för att dessa användare ska få åtkomst till kundmiljöer. För mer information, se Skydda privilegierad åtkomst.

Bästa praxis för övervakning

Partnercenter-API:er

• Alla kontrollpanelsleverantörer bör aktivera den säkra programmodellen och slå på loggning för varje användaraktivitet.
• Kontrollpanelen leverantörer bör aktivera granskning av varje partneragent som loggar in i programmet och alla åtgärder som vidtas.

Inloggningsövervakning och granskning

• Partner med en Microsoft Entra ID P2-licens kvalificerar sig automatiskt för att hålla gransknings- och inloggningsloggdata upp till 30 dagar.

  Bekräfta att:

  • Granskningsloggning finns där delegerade administratörskonton används.
  • Loggar samlar in den maximala informationsnivån som tillhandahålls av tjänsten.
  • Loggar behålls under en acceptabel period (upp till 30 dagar) som möjliggör identifiering av avvikande aktivitet.

  Detaljerad granskningsloggning kan kräva att du köper fler tjänster. För mer information, se Hur länge lagrar Microsoft Entra ID rapporteringsdata?

• Granska och verifiera e-postadresser och telefonnummer för lösenordsåterställning regelbundet i Microsoft Entra-ID för alla användare med privilegierade Entra-administratörsroller och uppdatera vid behov.

  • Om en kunds klientorganisation har komprometterats: CSP Direct Bill Partner, den indirekta providern eller din indirekta återförsäljare kan inte kontakta supporten och begära en ändring av administratörslösenordet i kundens klientorganisation. Kunden Customer måste kontakta Microsoft-supporten genom att följa anvisningarna i avsnittet Återställ mitt administratörslösenord. Avsnittet Återställ mitt administratörslösenord har en länk som kunder kan använda för att ringa Microsoft Support. Instruera kunden att nämna att CSP:n inte längre har åtkomst till klientorganisationen för att hjälpa till med att återställa lösenordet. Molnlösningsleverantören bör överväga att pausa kundens prenumerationer tills åtkomsten har återfåtts och de berörda parterna tas bort.

• Implementera metodtips för granskningsloggning och utför rutinmässig granskning av aktiviteter som utförs av delegerade administratörskonton.

  • Vad är Microsoft Entra-rapporter?
  • Analysera aktivitetsloggar med hjälp av Azure Monitor-loggar
  • Referens för Microsoft Entra-granskningsaktiviteter

• Partner bör granska rapporten över riskfyllda användare i sin miljö och hantera de konton som identifieras för att utgöra en risk enligt publicerad vägledning.

  • Åtgärda risker och avblockera användare
  • Användarupplevelser med Microsoft Entra ID-skydd

Relaterat innehåll

• Partner säkerhetskrav
• Vägledande principer för Nolltillit
• Bästa metoder för kundsäkerhet