Requisiti di sicurezza per l'uso del Centro per i partner o delle API del Centro per i partner

Ruoli appropriati: tutti gli utenti del Centro per i partner

In qualità di consulente, fornitore del pannello di controllo o partner CSP (Cloud Solution Provider), si hanno decisioni da prendere per quanto riguarda le opzioni di autenticazione e altre considerazioni sulla sicurezza.

Le garanzie di privacy e la sicurezza per te e i tuoi clienti sono tra le nostre priorità principali. Sappiamo che la migliore difesa è la prevenzione e che siamo solo forti come il nostro collegamento più debole. Ecco perché abbiamo bisogno di tutti nell'ecosistema per garantire che siano presenti protezioni di sicurezza appropriate.

Requisiti di sicurezza obbligatori

Il programma CSP consente ai clienti di acquistare prodotti e servizi Microsoft tramite partner. In conformità con il contratto con Microsoft, i partner devono gestire l'ambiente e fornire supporto ai clienti a cui vendono.

I clienti che acquistano tramite questo canale posizionano la loro fiducia nell'utente come partner perché si ha accesso amministratore con privilegi elevati al tenant del cliente.

I partner che non implementano i requisiti di sicurezza obbligatori non potranno eseguire transazioni nel programma CSP o gestire i tenant dei clienti usando i diritti di amministratore delegati. Inoltre, i partner che non implementano i requisiti di sicurezza potrebbero mettere a rischio la partecipazione ai programmi.

Le condizioni associate ai requisiti di sicurezza dei partner sono state aggiunte al Contratto Microsoft Partner. Il Contratto Microsoft Partner (MPA) viene aggiornato periodicamente e Microsoft consiglia a tutti i partner di eseguire regolarmente il controllo. Per quanto riguarda gli advisor, saranno in vigore gli stessi requisiti contrattuali.

Tutti i partner devono rispettare le procedure consigliate per la sicurezza in modo che possano proteggere gli ambienti partner e clienti. L'adesione a queste procedure consigliate consente di attenuare i problemi di sicurezza e correggere le escalation della sicurezza, assicurandosi che l'attendibilità del cliente non sia compromessa.

Per proteggere l'utente e i clienti, è necessario che i partner eseggano immediatamente le azioni seguenti:

Abilitare MFA per tutti gli account utente nel tenant partner

È necessario applicare l'autenticazione a più fattori a tutti gli account utente nei tenant partner. Agli utenti deve essere richiesta la verifica tramite autenticazione a più fattori al momento di accedere ai servizi cloud commerciali Microsoft o per eseguire transazioni in Cloud Solution Provider tramite il Centro per i partner o le API.

L'applicazione dell'autenticazione a più fattori segue queste linee guida:

  • Partner che usano l'autenticazione a più fattori Microsoft supportata da Microsoft Entra. Per altre informazioni, vedere Multiple ways to enable Microsoft Entra multifactor authentication (MFA supported)
  • I partner che hanno implementato qualsiasi MFA di terze parti e parte dell'elenco di eccezioni possono comunque accedere al Centro per i partner e alle API con eccezioni, ma non possono gestire i clienti usando DAP/GDAP (nessuna eccezione consentita)
  • Se l'organizzazione del partner è stata precedentemente concessa un'eccezione per l'autenticazione a più fattori, gli utenti che gestiscono i tenant dei clienti come parte del programma CSP devono avere abilitato i requisiti di Microsoft MFA prima del 1° marzo 2022. La mancata conformità ai requisiti di autenticazione a più fattori potrebbe comportare la perdita dell'accesso al tenant del cliente.
  • Altre informazioni sulla mandazione dell'autenticazione a più fattori (MFA) per il tenant partner.

Adottare il framework del modello di applicazione sicura

Tutti i partner che integrano le API del Centro per i partner devono adottare il framework del modello di applicazione sicura per qualsiasi app e applicazione del modello di autenticazione utente.

Importante

È consigliabile che i partner implementino il modello di applicazione sicura per l'integrazione con un'API Microsoft come Azure Resource Manager o Microsoft Graph oppure per l'uso dell'automazione, ad esempio tramite PowerShell con credenziali utente, per evitare interruzioni quando viene imposta l'autenticazione a più fattori.

Questi requisiti di sicurezza consentono di proteggere l'infrastruttura e proteggere i dati dei clienti da potenziali rischi per la sicurezza, ad esempio identificare il furto o altri eventi illeciti.

Altri requisiti di sicurezza

I clienti si fidano dell'utente, come partner, per fornire servizi a valore aggiunto. È fondamentale adottare tutte le misure di sicurezza per proteggere la fiducia del cliente e la reputazione come partner.

Microsoft continua ad aggiungere misure di imposizione in modo che tutti i partner siano tenuti a rispettare e classificare in ordine di priorità la sicurezza dei clienti. Questi requisiti di sicurezza consentono di proteggere l'infrastruttura e proteggere i dati dei clienti da potenziali rischi per la sicurezza, ad esempio identificare il furto o altri eventi illeciti.

Il partner è responsabile dell'adozione dei principi di zero trust, in particolare i seguenti.

Privilegi di amministratore delegato (DAP)

I privilegi di amministratore delegato (DAP) offrono la possibilità di gestire il servizio o la sottoscrizione di un cliente per loro conto. Il cliente deve concedere le autorizzazioni amministrative del partner per tale servizio. Poiché i privilegi forniti al partner per gestire il cliente sono altamente elevati, Microsoft consiglia a tutti i partner di rimuovere daP inattivi. Tutti i partner che gestiscono il tenant del cliente usando privilegi di amministratore delegato devono rimuovere un DAP inattivo dal Centro per i partner per evitare alcun impatto sul tenant del cliente e sulle relative risorse.

Per altre informazioni, vedere la guida al monitoraggio delle relazioni amministrative e della rimozione self-service daP, le domande frequenti sui privilegi di amministrazione delegata e la guida ai privilegi amministrativi delegati per NOBELIUM.

Inoltre, DAP sarà deprecato a breve. Si consiglia vivamente a tutti i partner che usano attivamente DAP di gestire i tenant dei clienti e di passare a un modello granulare di privilegi di amministratore delegato granulare per gestire in modo sicuro i tenant dei clienti.

Eseguire la transizione ai ruoli con privilegi minimi per gestire i tenant dei clienti

Poiché DAP verrà deprecato a breve, Microsoft consiglia vivamente di allontanarsi dal modello DAP corrente (che fornisce agli agenti amministratori permanenti o perpetui l'accesso amministratore globale) e sostituirlo con un modello di accesso delegato con granularità fine. Il modello di accesso delegato con granularità fine riduce i rischi di sicurezza per i clienti e gli effetti di tali rischi su di essi. Offre anche il controllo e la flessibilità per limitare l'accesso per ogni cliente a livello di carico di lavoro dei dipendenti che gestiscono i servizi e gli ambienti dei clienti.

Per altre informazioni, vedere la panoramica granulare dei privilegi di amministratore delegato (GDAP), informazioni sui ruoli con privilegi minimi e le domande frequenti su GDAP

Controllare le notifiche di illecito di Azure

In qualità di partner del programma CSP, si è responsabili del consumo di Azure del cliente, quindi è importante conoscere eventuali attività di mining di criptovaluta nelle sottoscrizioni di Azure dei clienti. Questa consapevolezza consente di intervenire immediatamente per determinare se il comportamento è legittimo o fraudolento e, se necessario, sospendere le risorse di Azure interessate o la sottoscrizione di Azure per attenuare il problema.

Per altre informazioni, vedere Rilevamento e notifica delle frodi di Azure.

Iscriversi a Microsoft Entra ID P2

Tutti gli agenti di amministrazione nel tenant CSP devono rafforzare la sicurezza informatica implementando Microsoft Entra ID P2 e sfruttare le varie funzionalità per rafforzare il tenant CSP. Microsoft Entra ID P2 fornisce l'accesso esteso ai log di accesso e alle funzionalità Premium, ad esempio Microsoft Entra Privileged Identity Management (PIM) e funzionalità di accesso condizionale basato sul rischio per rafforzare i controlli di sicurezza.

Attenersi alle procedure consigliate per la sicurezza CSP

È importante seguire tutte le procedure consigliate CSP per la sicurezza. Per altre informazioni, vedere Procedure consigliate per la sicurezza di Cloud Solution Provider.

Implementazione dell'autenticazione a più fattori

Per la conformità ai requisiti di sicurezza dei partner, è necessario implementare e applicare l'autenticazione a più fattori per ogni account utente esistente nel tenant partner. È possibile procedere in uno dei modi seguenti:

Impostazioni predefinite per la sicurezza

Una delle opzioni che i partner possono scegliere di implementare i requisiti di autenticazione a più fattori consiste nell'abilitare le impostazioni predefinite per la sicurezza in Microsoft Entra ID. Le impostazioni predefinite per la sicurezza offrono un livello di sicurezza di base senza costi aggiuntivi. Prima di abilitare le impostazioni predefinite per la sicurezza, vedere come abilitare l'autenticazione a più fattori per l'organizzazione con l'ID Microsoft Entra e le considerazioni chiave riportate di seguito.

  • I partner che hanno già adottato i criteri di base devono agire per passare alle impostazioni predefinite per la sicurezza.
  • Le impostazioni predefinite per la sicurezza sostituiscono a livello di disponibilità generale i criteri di base di anteprima. Dopo che un partner abilita le impostazioni predefinite per la sicurezza, non può abilitare i criteri di base.
  • Con le impostazioni predefinite per la sicurezza, tutti i criteri vengono abilitati contemporaneamente.
  • Per i partner che usano l'accesso condizionale, le impostazioni predefinite per la sicurezza non sono disponibili.
  • I protocolli di autenticazione legacy sono bloccati.
  • L'account di sincronizzazione Microsoft Entra Connect viene escluso dalle impostazioni predefinite per la sicurezza e non verrà richiesto di eseguire la registrazione o l'autenticazione a più fattori. Le organizzazioni non devono usare questo account per altri scopi.

Per informazioni dettagliate, vedere Panoramica dell'autenticazione a più fattori Di Microsoft Entra per l'organizzazione e Informazioni sulle impostazioni predefinite per la sicurezza.

Nota

Le impostazioni predefinite per la sicurezza di Microsoft Entra sono l'evoluzione dei criteri di protezione di base semplificati. Se sono già stati abilitati i criteri di protezione di base, è consigliabile abilitare le impostazioni predefinite per la sicurezza.

Domande frequenti sull'implementazione

Poiché questi requisiti si applicano a tutti gli account utente esistenti nel tenant partner, per una distribuzione senza problemi è necessario considerare diversi aspetti. Ad esempio, identificare gli account utente in Microsoft Entra ID che non possono eseguire mfa e applicazioni e dispositivi nell'organizzazione che non supportano l'autenticazione moderna.

Prima di eseguire qualsiasi azione, è consigliabile completare le convalide seguenti.

Si dispone di un'applicazione o di un dispositivo che non supporta l'uso dell'autenticazione moderna?

Quando si applica l'autenticazione a più fattori, l'autenticazione legacy usa protocolli come IMAP, POP3, SMTP e altri vengono bloccati perché non supportano l'autenticazione a più fattori. Per risolvere questa limitazione, usare la funzionalità password dell'app per assicurarsi che l'applicazione o il dispositivo continui a eseguire l'autenticazione. Esaminare le considerazioni relative all'uso delle password dell'app per stabilire se è possibile usarle nell'ambiente in uso.

Sono presenti utenti di Office 365 con licenze associate al tenant partner?

Prima di implementare qualsiasi soluzione, è consigliabile determinare le versioni degli utenti di Microsoft Office nel tenant partner in uso. È possibile che gli utenti riscontrano problemi di connettività con applicazioni come Outlook. Prima di applicare l'autenticazione a più fattori, è importante assicurarsi di usare Outlook 2013 SP1 o versione successiva e che l'organizzazione disponga dell'autenticazione moderna abilitata. Per altre informazioni, vedere Abilitare l'autenticazione moderna in Exchange Online.

Per abilitare l'autenticazione moderna per i dispositivi che eseguono Windows in cui è installato Microsoft Office 2013, è necessario creare due chiavi del Registro di sistema. Vedere Abilitare l'autenticazione moderna per Office 2013 nei dispositivi Windows.

Esistono criteri che impediscono agli utenti di usare i propri dispositivi mobili durante il lavoro?

È importante identificare i criteri aziendali che impediscono ai dipendenti di usare i dispositivi mobili mentre lavorano perché influiranno sulla soluzione MFA implementata. Esistono soluzioni, ad esempio quella fornita tramite l'implementazione delle impostazioni predefinite di sicurezza di Microsoft Entra, che consentono solo l'uso di un'app di autenticazione per la verifica. Se l'organizzazione dispone di un criterio che impedisce l'uso dei dispositivi mobili, è necessario prendere in considerazione una delle opzioni seguenti:

  • Distribuire un'applicazione TOTP (con password monouso con limiti di tempo) che può essere eseguita in un sistema sicuro.

Quale automazione o integrazione è necessario usare le credenziali utente per l'autenticazione?

L'applicazione dell'autenticazione a più fattori per ogni utente, inclusi gli account di servizio, nella directory partner, può influire su qualsiasi automazione o integrazione che usa le credenziali utente per l'autenticazione. È quindi importante identificare gli account usati in queste situazioni. Vedere l'elenco seguente di applicazioni o servizi di esempio da prendere in considerazione:

  • Pannello di controllo usato per effettuare il provisioning delle risorse per conto dei clienti
  • Integrazione con qualsiasi piattaforma usata per la fatturazione (in relazione al programma CSP) e supporto dei clienti
  • Script di PowerShell che usano Az, AzureRM, Microsoft Graph PowerShell e altri moduli

L'elenco precedente non è completo, quindi è importante eseguire una valutazione completa di qualsiasi applicazione o servizio nell'ambiente che usa le credenziali utente per l'autenticazione. Per quanto riguarda il requisito per l'autenticazione a più fattori, è necessario implementare le linee guida nel framework del modello di applicazione sicura dove possibile.

Accesso all'ambiente

Per comprendere meglio cosa o chi esegue l'autenticazione senza che venga richiesta l'autenticazione a più fattori, è consigliabile esaminare l'attività di accesso. Tramite Microsoft Entra ID P1 o P2, è possibile usare il report di accesso. Per altre informazioni su questo argomento, vedere Report sulle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra. Se non si ha Microsoft Entra ID P1 o P2 o se si sta cercando un modo per ottenere questa attività di accesso tramite PowerShell, è necessario usare il cmdlet Get-PartnerUserSignActivity dal modulo PowerShell del Centro per i partner.

Come vengono applicati i requisiti

Se l'organizzazione del partner è stata precedentemente concessa un'eccezione per l'autenticazione a più fattori, gli utenti che gestiscono i tenant dei clienti come parte del programma CSP devono avere abilitato i requisiti di Microsoft MFA prima del 1° marzo 2022. La mancata conformità ai requisiti di autenticazione a più fattori potrebbe comportare la perdita dell'accesso al tenant del cliente.

I requisiti di sicurezza dei partner vengono applicati dall'ID Entra Microsoft e, a sua volta, dal Centro per i partner, verificando la presenza dell'attestazione MFA per identificare che è stata eseguita la verifica dell'autenticazione a più fattori. Dal 18 novembre 2019, Microsoft ha attivato più misure di sicurezza (precedentemente note come "applicazione tecnica") per i tenant partner.

Al momento dell'attivazione, agli utenti nel tenant partner viene richiesto di completare la verifica dell'autenticazione a più fattori quando si eseguono operazioni di amministratore per conto di (AOBO), l'accesso al Centro per i partner o la chiamata alle API del Centro per i partner. Per altre informazioni, vedere Mandating multifactor authentication (MFA) per il tenant partner.

I partner che non soddisfano i requisiti devono implementare queste misure il prima possibile per evitare interruzioni aziendali. Se si usa l'autenticazione a più fattori Microsoft Entra o le impostazioni predefinite per la sicurezza di Microsoft Entra, non è necessario eseguire altre azioni.

Se si usa una soluzione MFA di terze parti, è possibile che l'attestazione MFA non venga rilasciata. Se questa attestazione non è presente, l'ID Microsoft Entra non sarà in grado di determinare se la richiesta di autenticazione è stata richiesta dall'autenticazione a più fattori. Per informazioni su come verificare che la soluzione esegga l'attestazione prevista, vedere Test dei requisiti di sicurezza dei partner.

Importante

Se la soluzione di terze parti non rilascia l'attestazione prevista, sarà necessario collaborare con il fornitore che ha sviluppato la soluzione per determinare quali azioni eseguire.

Risorse ed esempi

Per il supporto e il codice di esempio, vedi le risorse seguenti: