Procedure consigliate per la sicurezza per CSP

Tutti i partner del programma Cloud Solution Provider (CSP) che accedono alle API del Centro per i partner e del Centro per i partner devono seguire le indicazioni sulla sicurezza in questo articolo per proteggere se stessi e i clienti.

Per la sicurezza dei clienti, vedere Procedure consigliate per la sicurezza dei clienti.

Importante

Azure Active Directory (Azure AD) Graph è deprecato a partire dal 30 giugno 2023. In futuro non verranno effettuati ulteriori investimenti in Azure AD Graph. Le API Graph di Azure AD non hanno alcun contratto di servizio o impegno di manutenzione oltre alle correzioni correlate alla sicurezza. Gli investimenti in nuove funzionalità e funzionalità verranno effettuati solo in Microsoft Graph.

Azure AD Graph verrà ritirato nei passaggi incrementali in modo da avere tempo sufficiente per eseguire la migrazione delle applicazioni alle API Di Microsoft Graph. A una data successiva che verrà annunciata, si bloccherà la creazione di nuove applicazioni usando Azure AD Graph.

Per altre informazioni, vedere Importante: Ritiro di Azure AD Graph e Deprecazione del modulo PowerShell.

Procedure consigliate per l'identità

Richiedere l'autenticazione a più fattori

  • Assicurarsi che tutti gli utenti nei tenant del Centro per i partner e i tenant dei clienti siano registrati per e richiedano l'autenticazione a più fattori (MFA). Esistono diversi modi per configurare l'autenticazione a più fattori. Scegliere il metodo che si applica al tenant che si sta configurando:
  • Assicurarsi che il metodo MFA usato sia resistente al phishing. A tale scopo, è possibile usare l'autenticazione senza password o la corrispondenza dei numeri.
  • Se un cliente rifiuta di usare l'autenticazione a più fattori, non fornire loro l'accesso ai ruoli di amministratore a Microsoft Entra ID o le autorizzazioni di scrittura per le sottoscrizioni di Azure.

Accesso all'app

  • Adottare il framework del modello di applicazione sicura. Tutti i partner che integrano le API del Centro per i partner devono adottare il framework del modello di applicazione sicura per qualsiasi app e applicazione del modello di autenticazione utente.
  • Disabilitare il consenso dell'utente nei tenant di Microsoft Entra nel Centro per i partner o usare il flusso di lavoro di consenso amministratore.

Privilegi minimi/Nessun accesso permanente

  • Gli utenti con ruoli predefiniti con privilegi di Microsoft Entra non devono usare regolarmente tali account per la posta elettronica e la collaborazione. Creare un account utente separato senza ruoli amministrativi di Microsoft Entra per le attività di collaborazione.
  • Esaminare il gruppo agente di amministrazione e rimuovere persone che non hanno bisogno di accesso.
  • Esaminare regolarmente l'accesso al ruolo amministrativo in Microsoft Entra ID e limitare l'accesso al minor numero possibile di account. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.
  • Gli utenti che lasciano l'azienda o modificano i ruoli all'interno dell'azienda devono essere rimossi dall'accesso al Centro per i partner.
  • Se si ha Microsoft Entra ID P2, usare Privileged Identity Management (PIM) per applicare l'accesso JIT (Just-In-Time). Usare la doppia custodia per esaminare e approvare l'accesso per i ruoli di amministratore di Microsoft Entra e i ruoli del Centro per i partner.
  • Per la protezione dei ruoli con privilegi, vedere Panoramica sulla protezione dell'accesso con privilegi.
  • Esaminare regolarmente l'accesso agli ambienti dei clienti.

Isolamento delle identità

  • Evitare di ospitare l'istanza del Centro per i partner nello stesso tenant di Microsoft Entra che ospita i servizi IT interni, ad esempio gli strumenti di posta elettronica e collaborazione.
  • Usare account utente dedicati separati per gli utenti con privilegi del Centro per i partner che hanno accesso ai clienti.
  • Evitare di creare account utente nei tenant Microsoft Entra del cliente destinati a essere usati dai partner per amministrare il tenant del cliente e le app e i servizi correlati.

Procedure consigliate per i dispositivi

  • Consentire solo l'accesso al Centro per i partner e al tenant dei clienti da workstation registrate e integre con baseline di sicurezza gestite e monitorate per i rischi per la sicurezza.
  • Per gli utenti del Centro per i partner con accesso privilegiato agli ambienti dei clienti, è consigliabile richiedere workstation dedicate (virtuali o fisiche) per consentire a tali utenti di accedere agli ambienti dei clienti. Per altre informazioni, vedere Protezione dell'accesso con privilegi.

Procedure consigliate per il monitoraggio

API del Centro per i partner

  • Tutti i fornitori di Pannello di controllo devono abilitare il modello di applicazione sicura e attivare la registrazione per ogni attività utente.
  • Pannello di controllo fornitori devono abilitare il controllo di ogni agente partner che accede all'applicazione e tutte le azioni eseguite.

Monitoraggio e controllo dell'accesso

  • I partner con una licenza Microsoft Entra ID P2 si qualificano automaticamente per mantenere i dati di log di controllo e accesso fino a 30 giorni.

    Confermare che:

    • La registrazione di controllo è disponibile in cui vengono usati gli account amministratore delegato.
    • I log acquisiscono il livello massimo di dettagli forniti dal servizio.
    • I log vengono conservati per un periodo accettabile (fino a 30 giorni) che consente il rilevamento di attività anomale.

    La registrazione di controllo dettagliata potrebbe richiedere l'acquisto di più servizi. Per altre informazioni, vedere Per quanto tempo Microsoft Entra ID archivia i dati dei report?

  • Esaminare e verificare regolarmente gli indirizzi di posta elettronica di ripristino delle password e i numeri di telefono all'interno di Microsoft Entra ID per tutti gli utenti con i ruoli di amministratore di Entra con privilegi e aggiornare, se necessario.

    • Se il tenant di un cliente è compromesso: il partner CSP Direct Bill, il provider indiretto o il rivenditore indiretto non può contattare il supporto tecnico che richiede una modifica della password dell'amministratore nel tenant del cliente. Il cliente deve chiamare il supporto tecnico Microsoft seguendo le istruzioni riportate nell'argomento Reimpostare la password amministratore. L'argomento Reimposta password amministratore contiene il collegamento che i clienti possono usare per chiamare supporto tecnico Microsoft. Indicare al cliente di menzionare che il provider di servizi di configurazione non ha più accesso al tenant per facilitare la reimpostazione della password. Il provider di servizi di configurazione deve considerare la sospensione delle sottoscrizioni del cliente fino a quando l'accesso non viene recuperato e le parti incriminate vengono rimosse.
  • Implementare le procedure consigliate per la registrazione di controllo ed eseguire una revisione di routine delle attività eseguite dagli account amministratore delegati.

  • I partner devono esaminare il report degli utenti rischiosi all'interno del proprio ambiente e risolvere gli account rilevati per presentare il rischio in base alle indicazioni pubblicate.