Požadavky na zabezpečení pro používání partnerských Center nebo rozhraní API partnerského centra

Příslušné role: všichni uživatelé partnerského centra

tento článek popisuje povinné požadavky na zabezpečení pro poradce, dodavatele ovládacích panelů a partnery účastnící se Cloud Solution Provider programu, jakož i možnosti ověřování a další informace o zabezpečení. Ochrana osobních údajů a zabezpečení je z našich nejdůležitějších priorit. Víme, že nejlepší obrana je prevence a že máme jenom silný, jako náš slabý odkaz. Proto potřebujeme, aby všichni v našem ekosystému pracovali a zajistili správné fungování ochrany zabezpečení.

Povinné požadavky na zabezpečení

partneři, kteří neimplementují povinné požadavky na zabezpečení, nebudou moci pracovat v Cloud Solution Provider programu ani spravovat klienty zákazníka pomocí delegovaných oprávnění správce. Kromě toho mohou partneři, kteří neimplementují požadavky na zabezpečení, zapojovat své účasti v ohrožených programech. Podmínky spojené s partnerskými požadavky na zabezpečení byly přidány do smlouvy o partnerovi společnosti Microsoft. V souvislosti s poradci budou stejné smluvní požadavky zavedeny.

Abychom vám a vašim zákazníkům chránili, je potřeba, aby partneři okamžitě provedli následující akce:

  1. Povolte službu Multi-Factor Authentication (MFA) pro všechny uživatelské účty ve vašem partnerském tenantovi. U všech uživatelských účtů ve vašich partnerských klientech musíte vymáhat MFA. pokud se uživatelé přihlásí k komerčním cloudovým službám microsoftu nebo když v Cloud Solution Provider programu prostřednictvím partnerského centra nebo přes rozhraní api používají, musí k nim mít nárok ověřování MFA.

  2. Přijímají rozhraní zabezpečeného modelu aplikace. Všichni partneři integrující s rozhraními API partnerského centra musí pro všechny aplikace a modely ověřování uživatelů přijmout rozhraní Secure Application model .

    Důležité

    důrazně doporučujeme, aby partneři implementovali zabezpečený aplikační Model pro integraci s rozhraním Microsoft API, jako je Azure Resource Manager nebo Microsoft Graph, nebo když využíváte automatizaci, jako je například PowerShell s použitím přihlašovacích údajů uživatele, abyste se vyhnuli jakémukoli narušení při vymáhání MFA.

Tyto požadavky na zabezpečení vám pomůžou ochránit infrastrukturu a chránit data vašich zákazníků před potenciálními bezpečnostními riziky, jako je identifikace krádeže nebo jiné incidenty v podvodu.

Implementace Multi-Factor Authentication

Abyste vyhověli požadavkům na zabezpečení partnerů, musíte implementovat a vymáhat MFA pro každý uživatelský účet v partnerském tenantovi. Můžete to udělat jedním z následujících způsobů:

Poznámka

I když se vícefaktorové ověřování pro svrchovaný Cloud (státní správu a Německo) nevyžaduje pro službu Multi-Factor Authentication, důrazně doporučujeme, abyste přijali tyto požadavky na zabezpečení.

Výchozí nastavení zabezpečení

Jedna z možností, které mohou partneři vybrat k implementaci požadavků MFA, je povolit výchozí nastavení zabezpečení ve službě Azure AD. Výchozí nastavení zabezpečení nabízí základní úroveň zabezpečení bez dalších poplatků. Než povolíte výchozí nastavení zabezpečení, přečtěte si, jak povolit vícefaktorové ověřování pro vaši organizaci pomocí Azure AD a klíčová doporučení níže.

  • Partneři, kteří již přijali základní zásady, musí provést akci přechodu na výchozí nastavení zabezpečení.

  • Výchozími hodnotami zabezpečení jsou obecné náhrady základní dostupnosti zásad směrného plánu Preview. Jakmile partner povolí výchozí nastavení zabezpečení, již nebude moci povolit základní zásady.

  • V případě výchozích hodnot zabezpečení budou všechny zásady povoleny najednou.

  • Pro partnery, kteří používají podmíněný přístup, nebudou výchozí hodnoty zabezpečení k dispozici.

  • V tuto chvíli neblokujeme starší verze ověřování. Jelikož ale většina událostí souvisejících s ohroženými identitami pochází z pokusu o přihlášení pomocí staršího ověřování, partneři se od nich doporučuje přesunout z těchto starších protokolů.

  • z výchozího nastavení zabezpečení je vyloučený účet Azure AD Connect synchronizace.

Podrobnější informace najdete v článku přehled Multi-Factor Authentication Azure AD pro vaši organizaci a o tom, co jsou to výchozí zabezpečení?.

Poznámka

Výchozím nastavením zabezpečení služby Azure AD je vývoj zásad ochrany základní úrovně zjednodušený. Pokud jste již povolili zásady ochrany základní úrovně, důrazně doporučujeme povolit výchozí nastavení zabezpečení.

Důležité informace o implementaci

Vzhledem k tomu, že se tyto požadavky vztahují na všechny uživatelské účty v partnerském tenantovi, je potřeba zvážit několik věcí, abyste zajistili hladké nasazení. Identifikujte například uživatelské účty ve službě Azure AD, které nemůžou provádět MFA a aplikace a zařízení ve vaší organizaci, které nepodporují moderní ověřování.

Před provedením jakékoli akce doporučujeme, abyste dokončili následující ověřování.

Máte aplikaci nebo zařízení, které nepodporuje použití moderního ověřování?

Když využijete MFA, budou starší verze ověřování používat protokoly jako IMAP, POP3, SMTP a další, protože nepodporují MFA. Pro vyřešení tohoto omezení použijte funkci hesla aplikací , abyste zajistili, že se aplikace nebo zařízení bude i nadále ověřovat. Přečtěte si téma požadavky na používání hesel aplikací k určení, jestli se dají použít ve vašem prostředí.

máte Office 365 uživatelé s licencemi přidruženými k vašemu partnerskému tenantovi?

než začnete s implementací nějakého řešení, doporučujeme určit, jaké verze Microsoft Office uživatelé ve vašem partnerském tenantovi používají. Může se stát, že uživatelé budou mít problémy s připojením k aplikacím, jako je Outlook. před vynucováním MFA je důležité, abyste měli jistotu, že používáte Outlook 2013 SP1 nebo novější a že má vaše organizace povolené moderní ověřování. Další informace najdete v tématu Povolení moderního ověřování v Exchange Online.

pokud chcete povolit moderní ověřování pro zařízení s Windows s nainstalovanou Microsoft Office 2013, budete muset vytvořit dva klíče registru. viz povolení moderního ověřování pro Office 2013 na Windows zařízeních.

Brání některý z uživatelů, aby při práci používal jejich mobilní zařízení?

Je důležité identifikovat všechny podnikové zásady, které uživatelům brání v používání mobilních zařízení při práci, protože budou mít vliv na to, jaké řešení MFA implementujete. Existují řešení, jako je třeba ta, která je poskytována prostřednictvím implementace výchozích hodnot zabezpečení Azure AD, která povoluje použití ověřovací aplikace jenom k ověření. Pokud má vaše organizace zásady prevence používání mobilních zařízení, vezměte v úvahu jednu z následujících možností:

  • Nasaďte čas založený na hesle (TOTP) založeném na čase, který může běžet v zabezpečeném systému.

  • Implementujte řešení třetí strany, které vynutilo MFA pro každý uživatelský účet v partnerském tenantovi, který poskytuje nejvhodnější možnost ověřování.

  • zakupte licence Azure Active Directory Premium pro ovlivněné uživatele.

Jakou automatizaci nebo integraci potřebujete k ověřování využít přihlašovací údaje uživatele?

Vzhledem k tomu, že využijeme VÍCEFAKTOROVÉ ověřování pro každého uživatele, včetně účtů služeb, ve vašem adresáři partnerů bude to mít vliv na všechny automatizace nebo integraci, které pro ověřování používají uživatelská pověření. Proto je důležité určit, které účty se v těchto situacích používají. Podívejte se na následující seznam ukázkových aplikací nebo služeb, které je potřeba vzít v úvahu:

  • Ovládací panel, který slouží ke zřízení prostředků jménem zákazníků

  • Integrace s jakoukoli platformou, která se používá k fakturaci (ve vztahu k programu CSP) a podpoře vašich zákazníků

  • Skripty PowerShellu používající AZ, AzureRM, Azure AD, MS online a další moduly

Výše uvedený seznam není vyčerpávající. Proto je důležité provést kompletní posouzení jakékoli aplikace nebo služby ve vašem prostředí, která používá pověření uživatele pro ověřování. Pokud chcete soupeří s požadavkem na MFA, měli byste implementovat pokyny v rozhraní Secure Application model , kde je to možné.

Přístup k prostředí

Chcete-li lépe pochopit, co nebo kdo se ověřuje bez výzvy pro MFA, doporučujeme zkontrolovat aktivitu přihlášení. prostřednictvím Azure Active Directory Premium můžete použít sestavu přihlášení. další informace o tomto tématu najdete v tématu sestavy aktivit přihlašování na portálu Azure Active Directory. pokud nemáte Azure Active Directory Premium nebo hledáte způsob, jak získat tuto přihlašovací aktivitu prostřednictvím powershellu, budete muset použít rutinu Get-PartnerUserSignActivity z modulu partnerského centra prostředí powershell .

Jak se vynutily požadavky

Požadavky na zabezpečení partnera vynutila služba Azure AD a v partnerském centru si můžete zkontrolovat přítomnost deklarace MFA, abyste identifikovali, že ověření MFA bylo provedeno. Od 18. listopadu 2019 společnost Microsoft aktivovala další bezpečnostní zabezpečení (dříve označované jako "technické vynucování") do partnerských tenantů.

Při aktivaci se uživatelé v partnerském tenantovi budou požádáni, aby při provádění všech operací ADMINISTRATE (správce), přístupu k portálu partnerského centra nebo volání rozhraní API partnerského centra dokončili ověřování MFA. Další informace najdete v tématu Mandating Multi-Factor Authentication (MFA) pro vašeho partnerského tenanta.

Partneři, kteří tyto požadavky nesplnili, by měli co nejdříve implementovat tyto míry, abyste se vyhnuli jakýmkoli výpadkům v podniku. pokud používáte výchozí nastavení zabezpečení služby Azure Active Directory Multi-Factor Authentication nebo Azure AD, nemusíte provádět žádné další kroky.

Pokud používáte řešení MFA od jiného výrobce, je možné, že se deklarace MFA nevydá. Pokud tato deklarace identity chybí, Azure AD nebude moct zjistit, jestli je žádost o ověření ověřená MFA. Informace o tom, jak ověřit, že vaše řešení vydává očekávanou deklaraci identity, najdete v tématu testování požadavků na zabezpečení partnera.

Důležité

Pokud vaše řešení třetí strany nevydá očekávanou deklaraci identity, budete muset spolupracovat s dodavatelem, který řešení vyvinul, abyste zjistili, jaké akce by se měly provést.

Prostředky a ukázky

Informace o podpoře a ukázkovém kódu najdete v následujících zdrojích informací:

Další kroky