Bonnes pratiques pour la sécurité CSP

Tous les partenaires du programme fournisseur de solutions Cloud (CSP) qui accèdent à l’Espace partenaires et aux API de l’Espace partenaires doivent suivre les instructions de sécurité de cet article pour se protéger eux-mêmes et les clients.

Pour la sécurité des clients, consultez les meilleures pratiques en matière de sécurité des clients.

Important

Azure Active Directory (Azure AD) Graph est déconseillé depuis le 30 juin 2023. À l’avenir, nous n’effectuons aucun investissement supplémentaire dans Azure AD Graph. Les API Graph Azure AD n’ont pas de contrat SLA ou de maintenance au-delà des correctifs liés à la sécurité. Nous limiterons les investissements dans de nouvelles fonctions et fonctionnalités à Microsoft Graph.

Nous allons mettre hors service Azure AD Graph en étapes incrémentielles afin que vous ayez suffisamment de temps pour migrer vos applications vers les API Microsoft Graph. À une date ultérieure que nous annoncerons, nous bloquerons la création de toutes les nouvelles applications à l’aide d’Azure AD Graph.

Pour plus d’informations, consultez Important : Suppression du module Azure AD Graph et Dépréciation du module PowerShell.

Étapes fortement recommandées dans vos locataires

• Ajoutez un contact de sécurité pour les notifications de problème liés à la sécurité dans le locataire de l’Espace partenaires.
• Vérifiez votre score de sécurité d’identité dans Microsoft Entra ID et effectuez les actions appropriées pour augmenter votre score.
• Passez en revue et implémentez les instructions documentées dans La gestion des paiements non payés, de la fraude ou de l’utilisation abusive.
• Familiarisez-vous avec l’acteur de menace NOBELIUM et les documents connexes :
  • NOBELIUM cible les privilèges administratifs délégués pour faciliter des attaques plus globales.
  • Formation à la réponse NOBELIUM
  • Sécurisation du canal : Atteindre la confiance zéro

Meilleures pratiques d’identité

Exiger l’authentification multifacteur

• Assurez-vous que tous les utilisateurs de vos locataires de l’Espace partenaires et de vos locataires clients sont inscrits et nécessitent une authentification multifacteur (MFA). Il existe différentes façons de configurer l’authentification multifacteur. Choisissez la méthode qui s’applique au locataire que vous configurez :
  • Mon locataire espace partenaires/client a Microsoft Entra ID P1
    • Utilisez l’accès conditionnel pour appliquer l’authentification multifacteur.
  • Mon locataire espace partenaires/client a Microsoft Entra ID P2
    • Utilisez l’accès conditionnel pour appliquer l’authentification multifacteur.
    • Implémentez des stratégies basées sur les risques à l’aide de Protection des ID Microsoft Entra.
    • Pour votre locataire de l’Espace partenaires, vous pouvez bénéficier de Microsoft 365 E3 ou E5, en fonction de vos avantages relatifs aux droits d’utilisation interne (IUR). Ces références SKU incluent l’ID Microsoft Entra P1 ou 2, respectivement.
    • Pour le locataire de votre client, nous vous recommandons d’activer les paramètres de sécurité par défaut.
      • Si votre client utilise des applications qui nécessitent une authentification héritée, ces applications ne fonctionnent pas après avoir activé les paramètres de sécurité par défaut. Si l’application ne peut pas être remplacée, supprimée ou mise à jour pour utiliser l’authentification moderne, vous pouvez appliquer l’authentification multifacteur via l’authentification multifacteur par utilisateur.
      • Vous pouvez surveiller et appliquer l’utilisation par défaut de la sécurité par votre client à l’aide de l’appel d’API Graph suivant :
        • type de ressource identitySecurityDefaultsEnforcementPolicy - Microsoft Graph v1.0 | Microsoft Learn
• Vérifiez que la méthode MFA utilisée est résistante au hameçonnage. Vous pouvez le faire à l’aide de l’authentification sans mot de passe ou de la correspondance de nombres.
• Si un client refuse d’utiliser l’authentification multifacteur, ne fournissez pas l’accès au rôle d’administrateur à l’ID Microsoft Entra ou les autorisations d’écriture dans les abonnements Azure.

Accès de l’application

• Adoptez le cadre du modèle d’application sécurisé. Tous les partenaires qui utilisent les API de l’Espace partenaires doivent adopter le framework du modèle d’application sécurisé pour toutes les applications du modèle d’authentification d’application/utilisateur.
• Désactivez le consentement de l’utilisateur dans les locataires Microsoft Entra de l’Espace partenaires ou utilisez le flux de travail de consentement administrateur.

Privilège minimum / Aucun accès permanent

• Les utilisateurs disposant de rôles d’administration Microsoft Entra tels que l’administrateur général ou l’administrateur de sécurité ne doivent pas utiliser régulièrement ces comptes pour la messagerie et la collaboration. Créez un compte d’utilisateur distinct sans rôles d’administration Microsoft Entra pour les tâches de collaboration.
• Passez en revue le groupe d’agents Administration et supprimez les personnes qui n’ont pas besoin d’accès.
• Passez régulièrement en revue l’accès aux rôles d’administration dans Microsoft Entra ID et limitez l’accès au nombre maximal de comptes possible. Pour plus d’informations, consultez Rôles intégrés Microsoft Entra.
• Les utilisateurs qui quittent l’entreprise ou modifient des rôles au sein de l’entreprise doivent être supprimés de l’accès à l’Espace partenaires.
• Si vous disposez de l’ID Microsoft Entra P2, utilisez Privileged Identity Management (PIM) pour appliquer l’accès juste-à-temps (JIT). Utilisez la garde double pour passer en revue et approuver l’accès pour les rôles d’administrateur Microsoft Entra et les rôles espace partenaires.
• Pour sécuriser les rôles privilégiés, consultez La vue d’ensemble de la sécurisation de l’accès privilégié.
• Passez régulièrement en revue l’accès aux environnements clients.
  • Supprimez les privilèges délégués délégués inactifs Administration istration (DAP).
  • Questions fréquentes sur LE GDAP.
  • Vérifiez que les relations GDAP utilisent des rôles avec les privilèges minimum nécessaires.

Isolation des identités

• Évitez d’héberger votre instance de l’Espace partenaires dans le même locataire Microsoft Entra qui héberge vos services informatiques internes, tels que les outils de messagerie et de collaboration.
• Utilisez des comptes d’utilisateur distincts dédiés pour les utilisateurs privilégiés de l’Espace partenaires qui ont accès au client.
• Évitez de créer des comptes d’utilisateur dans les locataires Microsoft Entra clients destinés à être utilisés par les partenaires pour administrer le locataire client et les applications et services associés.

Bonnes pratiques relatives aux appareils

• Autorisez uniquement l’accès de l’Espace partenaires et du client à partir de stations de travail inscrites et saines qui ont des bases de référence de sécurité gérées et qui sont surveillées pour détecter les risques de sécurité.
• Pour les utilisateurs de l’Espace partenaires disposant d’un accès privilégié aux environnements clients, envisagez d’exiger des stations de travail dédiées (virtuelles ou physiques) pour que ces utilisateurs accèdent aux environnements clients. Pour plus d’informations, consultez Sécurisation de l’accès privilégié.

Meilleures pratiques de surveillance

API de l’Espace partenaires

• Tous les fournisseurs Panneau de configuration doivent activer le modèle d’application sécurisé et activer la journalisation pour chaque activité utilisateur.
• Panneau de configuration fournisseurs doivent activer l’audit de chaque agent partenaire qui se connecte à l’application et à toutes les actions effectuées.

Surveillance et audit de connexion

• Les partenaires disposant d’une licence Microsoft Entra ID P2 se qualifient automatiquement pour conserver les données de journal d’audit et de connexion jusqu’à 30 jours.

  Vérifiez que :

  • La journalisation d’audit est en place où les comptes d’administrateur délégués sont utilisés.
  • Les journaux capturent le niveau maximal de détails fournis par le service.
  • Les journaux sont conservés pendant une période acceptable (jusqu’à 30 jours) qui permet la détection d’activités anormales.

  La journalisation d’audit détaillée peut nécessiter l’achat de services supplémentaires. Pour plus d’informations, consultez Combien de temps Microsoft Entra ID stocke-t-il les données de création de rapports ?

• Passez régulièrement en revue et vérifiez les adresses e-mail de récupération de mot de passe et les numéros de téléphone dans Microsoft Entra ID pour tous les utilisateurs disposant des rôles d’administrateur général et mettez à jour si nécessaire.

  • Si le locataire d’un client est compromis : le partenaire csp Direct Bill Partner, le fournisseur indirect ou votre revendeur indirect ne peuvent pas contacter le support technique demandant une modification de mot de passe Administration istrator dans le locataire du client. Le client doit appeler le support Microsoft en suivant les instructions de la rubrique Réinitialiser mon mot de passe administrateur. La rubrique Réinitialiser mon mot de passe administrateur a un lien que les clients peuvent utiliser pour appeler Support Microsoft. Demandez au client de mentionner que le fournisseur de solutions Cloud n’a plus accès à son locataire pour faciliter la réinitialisation du mot de passe. Le fournisseur de solutions Cloud doit envisager de suspendre les abonnements du client jusqu’à ce que l’accès soit récupéré et que les parties en cause soient supprimées.

• Implémentez les meilleures pratiques de journalisation d’audit et effectuez une révision de routine de l’activité effectuée par des comptes d’administrateur délégués.

  • Que sont les rapports Microsoft Entra ?
  • Analyser les journaux d’activité à l’aide des journaux Azure Monitor
  • Référence de l’activité d’audit Microsoft Entra

• Les partenaires doivent examiner le rapport des utilisateurs à risque dans leur environnement et traiter les comptes détectés pour présenter des risques en fonction des instructions publiées.

  • Corriger les risques et débloquer les utilisateurs
  • Expériences utilisateur avec Microsoft Entra ID Protection

Documents associés

• Pour connaître les meilleures pratiques de gestion des principaux de service, consultez Sécurisation des principaux de service dans Microsoft Entra ID.
• Exigences de sécurité pour les partenaires
• Principes directeurs de Confiance Zéro
• Bonnes pratiques en matière de sécurité des clients