Рекомендации по обеспечению безопасности CSP

  • Статья

Все партнеры в программе поставщик облачных решений (CSP), обращающиеся к API Центра партнеров и Центра партнеров, должны следовать рекомендациям по безопасности в этой статье, чтобы защитить себя и клиентов.

Сведения о безопасности клиентов см . в рекомендациях по обеспечению безопасности клиентов.

Внимание

Azure Active Directory (Azure AD) Graph не рекомендуется использовать с 30 июня 2023 г. Идти вперед, мы не делаем дальнейших инвестиций в Azure AD Graph. API Azure AD Graph не имеют соглашения об уровне обслуживания или обслуживании за пределами исправлений, связанных с безопасностью. Инвестиции в новые функции и функциональные возможности будут сделаны только в Microsoft Graph.

Мы отставим Azure AD Graph на добавочных шагах, чтобы у вас было достаточно времени для переноса приложений в API Microsoft Graph. На более позднюю дату, которую мы объявим, мы заблокируем создание новых приложений с помощью Azure AD Graph.

Дополнительные сведения см. в статье "Важно: выход на пенсию в Azure AD Graph и отключение модуля PowerShell".

Рекомендации по идентификации

Требование многофакторной проверки подлинности

  • Убедитесь, что все пользователи в клиентах Центра партнеров и клиентах зарегистрированы и требуют многофакторной проверки подлинности (MFA). Существуют различные способы настройки MFA. Выберите метод, который применяется к клиенту, который вы настраиваете:
    • Клиент Центра партнеров или клиента имеет идентификатор Microsoft Entra ID P1
    • Клиент Центра партнеров или клиента имеет идентификатор Microsoft Entra ID P2
      • Используйте условный доступ для принудительного применения MFA.
      • Реализуйте политики на основе рисков с помощью Защита идентификации Microsoft Entra.
      • Для клиента Центра партнеров вы можете претендовать на Microsoft 365 E3 или E5 в зависимости от преимуществ внутреннего использования (IUR). Эти номера SKU включают идентификатор Microsoft Entra ID P1 или 2 соответственно.
      • Для клиента клиента рекомендуется включить параметры безопасности по умолчанию.
        • Если клиент использует приложения, требующие устаревшей проверки подлинности, эти приложения не будут работать после включения значений безопасности по умолчанию. Если приложение не может быть заменено, удалено или обновлено для использования современной проверки подлинности, можно применить MFA через MFA для каждого пользователя.
        • Вы можете отслеживать и применять использование по умолчанию безопасности клиента с помощью следующего вызова API Graph:
  • Убедитесь, что используемый метод MFA является фишинговым. Это можно сделать с помощью проверки подлинности без пароля или сопоставления номеров.
  • Если клиент отказывается использовать MFA, не предоставляйте им доступ к идентификатору Записи Майкрософт или разрешения на запись в подписки Azure.

Доступ к приложению

  • Внедрите платформу "Модель безопасных приложений". Всем партнерам, которые интегрируют API Центра партнеров, следует внедрить платформу "Модель безопасных приложений" для всех моделей приложений, использующих аутентификацию приложений и пользователей.
  • Отключите согласие пользователя в клиентах Microsoft Entra Центра партнеров или используйте рабочий процесс согласия администратора.

Наименьшие привилегии / Нет постоянного доступа

  • Пользователи, у которых есть административные роли Microsoft Entra, такие как глобальный администратор или администратор безопасности, не должны регулярно использовать эти учетные записи для электронной почты и совместной работы. Создайте отдельную учетную запись пользователя без административных ролей Microsoft Entra для задач совместной работы.
  • Просмотрите группу агентов администрирования и удалите пользователей, которым не нужен доступ.
  • Регулярно просматривайте доступ к административным ролям в идентификаторе Microsoft Entra и ограничивайте доступ как можно меньше учетных записей. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.
  • Пользователи, которые покидают компанию или изменяют роли в компании, должны быть удалены из доступа к Центру партнеров.
  • Если у вас есть идентификатор Microsoft Entra ID P2, используйте управление привилегированными пользователями (PIM) для обеспечения JIT-доступа. Используйте двойное хранение для проверки и утверждения доступа к ролям администратора Microsoft Entra и ролям Центра партнеров.
  • Сведения о защите привилегированных ролей см. в обзоре защиты привилегированного доступа.
  • Регулярно просматривайте доступ к клиентским средам.

Изоляция удостоверений

  • Избегайте размещения экземпляра Центра партнеров в том же клиенте Microsoft Entra, где размещаются внутренние ИТ-службы, такие как средства электронной почты и совместной работы.
  • Используйте отдельные выделенные учетные записи пользователей для привилегированных пользователей Центра партнеров, имеющих доступ к клиентам.
  • Избегайте создания учетных записей пользователей в клиентах Microsoft Entra, предназначенных для администрирования клиента клиента и связанных приложений и служб.

Рекомендации по устройствам

  • Разрешить доступ к центру партнеров и клиенту только из зарегистрированных работоспособных рабочих станций, которые имеют управляемые базовые показатели безопасности и отслеживаются для рисков безопасности.
  • Для пользователей Центра партнеров с привилегированным доступом к клиентским средам рекомендуется использовать выделенные рабочие станции (виртуальные или физические) для доступа к клиентским средам. Дополнительные сведения см. в статье Обеспечение безопасности привилегированного доступа.

Рекомендации по мониторингу

API Центра партнеров

  • Все поставщики панель управления должны включить модель безопасного приложения и включить ведение журнала для каждого действия пользователя.
  • панель управления поставщики должны включить аудит каждого агента партнера, войдите в приложение и все действия.

Мониторинг и аудит входа

  • Партнеры с лицензией Microsoft Entra ID P2 автоматически получают право на хранение данных журнала аудита и входа в систему до 30 дней.

    Убедитесь, что:

    • Ведение журнала аудита выполняется в том месте, где используются делегированные учетные записи администратора.
    • Журналы фиксируют максимальный уровень сведений, предоставляемых службой.
    • Журналы сохраняются в течение допустимого периода (до 30 дней), что позволяет обнаруживать аномальные действия.

    Для подробного ведения журнала аудита может потребоваться приобретение дополнительных служб. Дополнительные сведения см. в статье о том, как долго хранилище отчетов microsoft Entra ID store?

  • Регулярно просматривайте и проверяйте адреса электронной почты восстановления паролей и номера телефонов в идентификаторе Microsoft Entra для всех пользователей с ролями глобального администратора и при необходимости обновите их.

    • Если клиент клиента скомпрометирован: партнер CSP Direct Bill, непрямый поставщик или косвенный торговый посредник не может обратиться в службу поддержки, запрашивая изменение пароля администратора в клиенте клиента. Клиент должен обратиться в службу поддержки Майкрософт, следуя инструкциям в разделе сброса пароля администратора. Раздел сброса пароля администратора содержит ссылку, которую клиенты могут использовать для вызова служба поддержки Майкрософт. Сообщите клиенту, что CSP больше не имеет доступа к своему клиенту, чтобы помочь с сбросом пароля. CSP должен рассмотреть возможность приостановки подписок клиента до тех пор, пока не будет восстановлен доступ, и обижающие стороны будут удалены.

  • Реализуйте рекомендации по ведению журнала аудита и выполняйте обычную проверку действий, выполняемых делегированными учетными записями администратора.

  • Партнеры должны просматривать отчет о рискованных пользователях в своей среде и обращаться к учетным записям, обнаруженным для представления риска в соответствии с опубликованными рекомендациями.