Sicherheitsanforderungen für die Verwendung von Partner Center oder Partner Center-APIs

  • Artikel

Geeignete Rollen: Alle Partner Center-Benutzer

Als Berater, Systemsteuerungsanbieter oder CSP-Partner (Cloud Solution Provider, Cloud Solution Provider) haben Sie Entscheidungen zur Authentifizierungsoptionen und anderen Sicherheitsaspekten.

Datenschutzmaßnahmen und Sicherheit gehören für Sie und Ihre Kunden zu den obersten Prioritäten. Wir wissen, dass die beste Verteidigung die Prävention ist und dass wir nur so stark sind wie unser schwächstes Glied. Deshalb brauchen wir alle in unserem Ökosystem, um angemessene Sicherheitsmaßnahmen zu gewährleisten.

Obligatorische Sicherheitsanforderungen

Mit dem CSP-Programm können Kunden Microsoft-Produkte und -Dienste über Partner erwerben. Gemäß der Vereinbarung mit Microsoft müssen Partner für die Kunden, an die sie verkaufen, die Umgebung verwalten sowie Support leisten.

Kunden, die über diesen Kanal kaufen, setzen ihr Vertrauen in Sie als Partner, da Sie administratorzugriff auf den Kundenmandanten haben.

Partner, die die obligatorischen Sicherheitsanforderungen nicht implementieren, sind nicht in der Lage, Transaktionen im CSP-Programm auszuführen oder Kundenmandanten mit delegierten Administratorrechten zu verwalten. Darüber hinaus können Partner, die die Sicherheitsanforderungen nicht implementieren, ihre Teilnahme an Programmen gefährden.

Die mit den Sicherheitsanforderungen für Partner verbundenen Bestimmungen wurden der Microsoft Partner-Vereinbarung hinzugefügt. Die Microsoft Partner-Vereinbarung (MPA) wird regelmäßig aktualisiert, und Microsoft empfiehlt, dass alle Partner regelmäßig zurückschauen. In Bezug auf Berater gelten dieselben vertraglichen Anforderungen.

Alle Partner sind verpflichtet, die bewährten Methoden für die Sicherheit einzuhalten, damit sie Partner- und Kundenumgebungen schützen können. Die Einhaltung dieser bewährten Methoden trägt dazu bei, Sicherheitsprobleme zu mindern und Sicherheitseskalationen zu beheben, um sicherzustellen, dass das Vertrauen des Kunden nicht kompromittiert wird.

Um Sie und Ihre Kunden zu schützen, müssen partner sofort die folgenden Maßnahmen ergreifen:

Aktivieren der MFA für alle Benutzerkonten in Ihrem Partnermandanten

Sie müssen die MFA für alle Benutzerkonten in Ihren Partnermandanten erzwingen. Benutzer müssen MFA verwenden, wenn sie sich bei kommerziellen Microsoft-Clouddiensten anmelden oder im Cloud Solution Provider-Programm Transaktionen über das Partner Center oder APIs ausführen.

Für die MFA-Erzwingung gelten folgende Richtlinien:

  • Partner, die von Microsoft unterstützte mehrstufige Microsoft Entra-Authentifizierung verwenden. Weitere Informationen finden Sie unter "Mehrere Möglichkeiten zum Aktivieren der mehrstufigen Microsoft Entra-Authentifizierung (MFA unterstützt)
  • Partner, der eine MFA eines Drittanbieters und Einen Teil der Ausnahmeliste implementiert hat, kann weiterhin auf Partner Center und APIs mit Ausnahmen zugreifen, aber kunden nicht mit DAP/GDAP verwalten (keine Ausnahmen zulässig)
  • Wenn der Organisation des Partners zuvor eine Ausnahme für MFA gewährt wurde, müssen Benutzer, die Kundenmandanten im Rahmen des CSP-Programms verwalten, die Microsoft MFA-Anforderungen vor dem 1. März 2022 aktiviert haben. Die Nichteinhaltung der MFA-Anforderungen kann zu einem Verlust des Kundenmandantenzugriffs führen.
  • Erfahren Sie mehr über die Mandatierung der mehrstufigen Authentifizierung (MFA) für Ihren Partnermandanten.

Übernehmen des Frameworks „Sicheres Anwendungsmodell“

Alle Partner, die eine Integration mit Partner Center-APIs durchführen, müssen das Framework „Sicheres Anwendungsmodell“ für alle Anwendungs- und Benutzerauthentifizierungsmodelle implementieren.

Wichtig

Es wird dringend empfohlen, dass Partner das sichere Anwendungsmodell für die Integration mit einer Microsoft-API, z. B. Azure Resource Manager oder Microsoft Graph, oder bei Nutzung einer Automatisierung wie PowerShell mithilfe von Benutzeranmeldeinformationen implementieren, um Unterbrechungen während der Durchsetzung von MFA zu vermeiden.

Diese Sicherheitsanforderungen tragen dazu bei, Ihre Infrastruktur zu schützen und die Daten Ihrer Kunden vor potenziellen Sicherheitsrisiken wie der Identifizierung von Diebstahl oder anderen Betrugsvorfällen zu schützen.

Weitere Sicherheitsanforderungen

Kunden vertrauen darauf, dass Sie als ihr Partner Mehrwertdienste bereitstellen. Es ist zwingend erforderlich, dass Sie alle Sicherheitsmaßnahmen ergreifen, um das Vertrauen des Kunden und Ihren Ruf als Partner zu schützen.

Microsoft fügt weiterhin Maßnahmen zur Erzwingung der Sicherheit hinzu. Diese müssen von allen Partnern eingehalten werden und stellen sicher, dass die Sicherheit der Kunden oberste Priorität hat. Mithilfe dieser Sicherheitsanforderungen können Sie Ihre Infrastruktur schützen und die Daten Ihrer Kunden vor potenziellen Sicherheitsrisiken wie Identitätsdiebstahl oder anderen Betrugsversuchen bewahren.

Der Partner muss die Zero Trust-Prinzipien anwenden und insbesondere die folgenden Grundsätze befolgen.

Delegierte Administratorrechte

Delegierte Administratorrechte (Delegated Admin Privileges, DAP) bieten die Möglichkeit, den Dienst oder das Abonnement eines Kunden in seinem Auftrag zu verwalten. Der Kunde muss dem Partner Administratorberechtigungen für diesen Dienst erteilen. Da die berechtigungen, die dem Partner zum Verwalten des Kunden zur Verfügung gestellt werden, stark erhöht sind, empfiehlt Microsoft, dass alle Partner inaktive DAPs entfernen. Alle Partner, die den Kundenmandanten mit delegierten Administratorrechten verwalten, sollten inaktive DAP aus dem Partner Center entfernen, um auswirkungen auf den Kundenmandanten und ihre Ressourcen zu verhindern.

Weitere Informationen finden Sie unter Überwachen administrativer Beziehungen und Self-Service-DAP-Entfernung, Häufig gestellte Fragen zu delegierten Administratorrechten (DAP) und Gezielte NOBELIUM-Angriffe über delegierte Administratorrechte für breiter gefasste Angriffe.

Darüber hinaus wird DAP in Kürze veraltet sein. Wir empfehlen dringend allen Partnern, die DAP aktiv verwenden, um ihre Kundenmandanten zu verwalten und zu einem Modell mit den geringsten Berechtigungen für differenzierte delegierte Administratorrechte zu wechseln, um die Mandanten ihrer Kunden sicher zu verwalten.

Umstellen auf Rollen mit den geringsten Rechten zum Verwalten von Kundenmandanten

Da DAP bald nicht mehr unterstützt wird, empfiehlt Microsoft dringend, sich vom aktuellen DAP-Modell zu entfernen (das Admin-Agents ständigen oder unbefristeten globalen Administratorzugriff gewährt) und es durch ein differenziertes delegiertes Zugriffsmodell zu ersetzen. Das differenzierte modellierte delegierte Zugriff reduziert Sicherheitsrisiken für Kunden und die Auswirkungen dieser Risiken auf sie. Außerdem erhalten Sie mehr Steuerungsmöglichkeiten und Flexibilität beim Beschränken des Zugriffs pro Kunde auf der Workloadebene Ihrer Mitarbeiter, die die Dienste und Umgebungen Ihrer Kundschaft verwalten.

Weitere Informationen finden Sie in der Einführung in präzise delegierte Administratorrechte (GDAP) sowie unter Rollen mit den geringsten Berechtigungen und Häufig gestellte Fragen zu GDAP.

Azure-Betrugsbenachrichtigungen

Als Partner im CSP-Programm sind Sie für den Azure-Verbrauch Ihres Kunden verantwortlich. Daher ist es wichtig, dass Sie sich über potenzielle Mining-Aktivitäten für Kryptowährungen in den Azure-Abonnements Ihrer Kunden informieren. Nur so sind Sie in der Lage, durch sofortige Maßnahmen festzustellen, ob das Verhalten legitim oder betrügerisch ist, und bei Bedarf die betroffenen Azure-Ressourcen oder das Azure-Abonnement zu sperren.

Weitere Informationen finden Sie unter Azure-Betrugserkennung und -Benachrichtigung.

Registrieren für Microsoft Entra ID P2

Alle Administrator-Agents im CSP-Mandanten sollten ihre Cybersicherheit stärken, indem Sie Microsoft Entra ID P2 implementieren und die verschiedenen Funktionen nutzen, um Ihren CSP-Mandanten zu stärken. Microsoft Entra ID P2 bietet erweiterten Zugriff auf Anmeldeprotokolle und Premium-Features wie Microsoft Entra Privileged Identity Management (PIM) und risikobasierte Funktionen für bedingten Zugriff, um Sicherheitskontrollen zu stärken.

Einhalten der bewährten Sicherheitsmethoden für Cloud Solution Provider

Es ist wichtig, alle bewährten CSP-Methoden für die Sicherheit zu befolgen. Weitere Informationen finden Sie unter Bewährte Methoden für CSP-Sicherheit.

Implementieren der mehrstufigen Authentifizierung

Zur Einhaltung der Sicherheitsanforderungen für Partner müssen Sie MFA für jedes Benutzerkonto in Ihrem Partnermandanten implementieren und erzwingen. Dafür stehen folgende Möglichkeiten zur Verfügung:

Standardwerte für die Sicherheit

Eine der Optionen, die Partner auswählen können, um MFA-Anforderungen zu implementieren, besteht darin, Sicherheitsstandardwerte in Microsoft Entra ID zu aktivieren. Sicherheitsstandards bieten eine grundlegende Sicherheitsstufe ohne Zusatzkosten. Überprüfen Sie, wie Sie MFA für Ihre Organisation mit Microsoft Entra ID und den folgenden wichtigen Überlegungen aktivieren, bevor Sie Sicherheitsstandardwerte aktivieren.

  • Partner, die aktuell Baselinerichtlinien verwenden, müssen jetzt handeln und auf Sicherheitsstandards umstellen.

  • Die nun allgemein verfügbaren Sicherheitsstandards ersetzen die Baselinerichtlinien aus der Vorschauversion. Nachdem ein Partner die Sicherheitsstandardwerte aktiviert hat, können sie keine Basisrichtlinien aktivieren.

  • Bei Sicherheitsstandardeinstellungen werden alle Richtlinien gleichzeitig aktiviert.

  • Für Partner, die bedingten Zugriff verwenden, sind Sicherheitsstandardwerte nicht verfügbar.

  • Ältere Authentifizierungsprotokolle werden blockiert.

  • Das Microsoft Entra-Verbinden-Synchronisierungskonto wird von den Sicherheitsstandardeinstellungen ausgeschlossen und wird nicht aufgefordert, sich für die mehrstufige Authentifizierung zu registrieren oder auszuführen. Organisationen sollten dieses Konto nicht für andere Zwecke verwenden.

Ausführliche Informationen finden Sie unter Übersicht über die mehrstufige Microsoft Entra-Authentifizierung für Ihre Organisation und was sind Sicherheitsstandardwerte?.

Hinweis

Microsoft Entra-Sicherheitsstandardwerte sind die Weiterentwicklung der grundlegenden Schutzrichtlinien vereinfacht. Wenn Sie die Baseline-Schutzrichtlinien bereits aktiviert haben, wird dringend empfohlen, Die Sicherheitsstandards zu aktivieren.

Häufig gestellte Fragen zur Implementierung

Da diese Anforderungen für alle Benutzerkonten in Ihrem Partnermandanten gelten, müssen Sie einige Dinge beachten, um eine reibungslose Bereitstellung zu gewährleisten. Identifizieren Sie beispielsweise Benutzerkonten in der Microsoft Entra-ID, die keine MFA ausführen können, und Anwendungen und Geräte in Ihrer Organisation, die die moderne Authentifizierung nicht unterstützen.

Bevor Sie eine Aktion ausführen, empfehlen wir, die folgenden Überprüfungen abzuschließen.

Verfügen Sie über Anwendungen oder Geräte, die die Verwendung einer modernen Authentifizierung nicht unterstützen?

Wenn Sie MFA erzwingen, verwenden Legacyauthentifizierungsprotokolle wie IMAP, POP3, SMTP und andere blockiert, da sie MFA nicht unterstützen. Um diese Einschränkung zu beheben, verwenden Sie das App-Kennwortfeature , um sicherzustellen, dass die Anwendung oder das Gerät weiterhin authentifiziert wird. Sehen Sie sich die Überlegungen zur Verwendung von App-Kennwörtern an, um festzustellen, ob sie in Ihrer Umgebung verwendet werden können.

Verfügen Sie über Office 365-Benutzer mit Lizenzen, die Ihrem Partnermandanten zugeordnet sind?

Bevor Sie eine Lösung implementieren, sollten Sie festlegen, welche Versionen von Microsoft Office-Benutzern in Ihrem Partnermandanten verwendet werden. Es besteht die Möglichkeit, dass für Ihre Benutzer Verbindungsprobleme bei Anwendungen wie Outlook auftreten. Bevor Sie die MFA erzwingen, sollten Sie sicherstellen, dass Sie Outlook 2013 SP1 oder höher verwenden und Ihr Unternehmen über eine moderne Authentifizierung verfügt. Weitere Informationen finden Sie unter Aktivieren der modernen Authentifizierung in Exchange Online.

Um die moderne Authentifizierung für Geräte unter Windows zu aktivieren, auf denen Microsoft Office 2013 installiert ist, müssen Sie zwei Registrierungsschlüssel erstellen. Weitere Informationen finden Sie unter Aktivieren der modernen Authentifizierung für Office 2013 auf Windows-Geräten.

Gibt es eine Richtlinie, die verhindert, dass Benutzer ihre mobilen Geräte während der Arbeit verwenden?

Es ist wichtig, jede Unternehmensrichtlinie zu identifizieren, die Mitarbeiter daran hindert, mobile Geräte während der Arbeit zu verwenden, da sich dies auf die MFA-Lösung auswirkt, die Sie implementieren. Es gibt Lösungen, z. B. die durch die Implementierung von Microsoft Entra-Sicherheitsstandardeinstellungen bereitgestellte, die nur die Verwendung einer Authentifikator-App zur Überprüfung zulassen. Falls Ihr Unternehmen über eine Richtlinie verfügt, die die Verwendung von mobilen Geräten verhindert, sollten Sie eine der folgenden Optionen in Betracht ziehen:

  • Stellen Sie eine Anwendung mit zeitbasiertem Einmalkennwort (TOTP, Time-based One-time Password) bereit, die auf einem sicheren System ausgeführt werden kann.

Verfügen Sie über Automatisierungen oder Integrationen, die Benutzeranmeldeinformationen für die Authentifizierung verwenden?

Die Erzwingung von MFA für jeden Benutzer, einschließlich Dienstkonten, in Ihrem Partnerverzeichnis kann sich auf jede Automatisierung oder Integration auswirken, die Benutzeranmeldeinformationen für die Authentifizierung verwendet. Daher ist es wichtig, dass Sie feststellen, welche Konten in diesen Situationen verwendet werden. Im Folgenden eine Liste mit Beispielanwendungen oder -diensten, die infrage kommen:

  • Systemsteuerung, die für die Bereitstellung von Ressourcen im Namen Ihrer Kunden verwendet wird

  • Integration mit jeder Plattform, die für die Fakturierung (in Bezug auf das CSP-Programm) und Unterstützung Ihrer Kunden verwendet wird

  • PowerShell-Skripts, die az, AzureRM, Microsoft Graph PowerShell und andere Module verwenden

Die vorstehende Liste ist nicht vollständig, daher ist es wichtig, dass Sie eine vollständige Bewertung aller Anwendungen oder Dienste in Ihrer Umgebung durchführen, die Benutzeranmeldeinformationen für die Authentifizierung verwenden. Um die Anforderung für MFA zu erfüllen, sollten Sie nach Möglichkeit die Anweisungen im Framework für das sichere Anwendungsmodell implementieren.

Zugriff auf Ihre Umgebung

Um besser zu verstehen, was oder wer authentifiziert wird, ohne dass MFA herausgefordert wird, empfehlen wir, die Anmeldeaktivität zu überprüfen. Über die Microsoft Entra ID P1 oder P2 können Sie den Anmeldebericht verwenden. Weitere Informationen zu diesem Thema finden Sie in den Anmeldeaktivitätsberichten im Microsoft Entra Admin Center. Wenn Sie nicht über Microsoft Entra ID P1 oder P2 verfügen oder nach einer Möglichkeit suchen, diese Anmeldeaktivität über PowerShell abzurufen, müssen Sie das Cmdlet Get-PartnerUserSignActivity aus dem Partner Center PowerShell-Modul verwenden.

Vorgehensweise beim Erzwingen der Anforderungen

Wenn der Organisation Ihres Partners zuvor eine Ausnahme für MFA gewährt wurde, müssen Benutzer, die Kundenmandanten als Teil des CSP-Programms verwalten, die Microsoft MFA-Anforderungen vor dem 1. März 2022 aktiviert haben. Die Nichteinhaltung der MFA-Anforderungen kann zu einem Verlust des Kundenmandantenzugriffs führen.

Die Sicherheitsanforderungen für Partner werden von Der Microsoft Entra-ID erzwungen, und wiederum Partner Center, indem überprüft wird, ob der MFA-Anspruch vorhanden ist, um festzustellen, ob die MFA-Überprüfung stattgefunden hat. Seit dem 18. November 2019 hat Microsoft mehr Sicherheitsvorkehrungen (früher als "technische Durchsetzung" bezeichnet) für Partnermandanten aktiviert.

Nach der Aktivierung werden Benutzer im Partnermandanten aufgefordert, die MFA-Überprüfung abzuschließen, wenn Sie einen Administrator im Auftrag von AOBO-Vorgängen ausführen, auf das Partner Center zugreifen oder Partner Center-APIs aufrufen. Weitere Informationen finden Sie unter Mandatierung der mehrstufigen Authentifizierung (MFA) für Ihren Partnermandanten.

Partner, die die Anforderungen nicht erfüllen, sollten diese Maßnahmen schnellstmöglich implementieren, um Geschäftsunterbrechungen zu vermeiden. Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung oder microsoft Entra-Sicherheitsstandards verwenden, müssen Sie keine anderen Aktionen ausführen.

Wenn Sie eine MFA-Lösung eines Drittanbieters verwenden, besteht die Möglichkeit, dass der MFA-Anspruch möglicherweise nicht ausgestellt wird. Wenn dieser Anspruch fehlt, kann die Microsoft Entra-ID nicht ermitteln, ob die Authentifizierungsanforderung von MFA angefordert wurde. Informationen zum Überprüfen, ob Ihre Lösung den erwarteten Anspruch ausgibt, finden Sie unter Testen der Partnersicherheitsanforderungen.

Wichtig

Wenn Ihre Drittanbieterlösung den erwarteten Anspruch nicht ausgibt, müssen Sie mit dem Anbieter zusammenarbeiten, der die Lösung entwickelt hat, um zu bestimmen, welche Maßnahmen ergriffen werden sollen.

Ressourcen und Beispiele

Unterstützung und Beispielcode finden Sie in den folgenden Ressourcen:

Nächste Schritte