Exigences de sécurité concernant l’utilisation de l’Espace partenaires ou des API de l’Espace partenaires

Rôles appropriés : Tous les utilisateurs de l’Espace partenaires

En tant qu’conseiller, fournisseur de panneau de configuration ou partenaire fournisseur de solutions Cloud (CSP), vous avez des décisions à prendre en ce qui concerne les options d’authentification et d’autres considérations de sécurité.

Les garanties de confidentialité ainsi que votre sécurité et celle de vos clients sont parmi nos priorités principales. Nous savons que la meilleure défense est la prévention et que nous ne sommes pas plus solides que notre maillon le plus faible. C’est pourquoi nous avons besoin de tout le monde dans notre écosystème pour garantir que les protections de sécurité appropriées sont en place.

Exigences de sécurité obligatoires

Le programme CSP permet aux clients d’acheter des produits et services Microsoft par l’intermédiaire de partenaires. Conformément au contrat avec Microsoft, les partenaires doivent gérer l’environnement qu’ils vendent aux clients et fournir le support associé.

Les clients qui achètent via ce canal placent leur confiance en vous en tant que partenaire, car vous disposez d’un accès administrateur à privilèges élevés au locataire client.

Les partenaires qui n’implémentent pas les exigences de sécurité obligatoires ne pourront pas effectuer de transactions dans le cadre du programme CSP, ni gérer les locataires clients à l’aide des droits d’administrateur délégué. En outre, les partenaires qui ne mettent pas en œuvre les exigences de sécurité peuvent mettre leur participation aux programmes en danger.

Les termes associés aux exigences de sécurité du partenaire ont été ajoutés au Contrat Partenaire Microsoft. La Contrat Partenaire Microsoft (MPA) est mise à jour périodiquement, et Microsoft recommande à tous les partenaires de case activée régulièrement. En ce qui concerne les conseillers, les mêmes exigences contractuelles s’appliquent.

Tous les partenaires sont tenus d’adhérer aux bonnes pratiques de sécurité afin qu’ils puissent sécuriser les environnements partenaires et clients. L’adhésion à ces bonnes pratiques permet d’atténuer les problèmes de sécurité et de corriger les escalades de sécurité, ce qui garantit que l’approbation du client n’est pas compromise.

Pour vous protéger et vos clients, nous exigeons que les partenaires prennent immédiatement les mesures suivantes :

• Activer l’authentification multifacteur pour tous les comptes d’utilisateur
• Adopter le framework du modèle d’application sécurisé

Activez MFA sur tous les comptes d’utilisateur de vos locataires partenaires.

Vous devez appliquer MFA sur tous les comptes d’utilisateur de vos locataires partenaires. Les utilisateurs doivent faire l’objet d’un test MFA durant les connexions aux services cloud commerciaux Microsoft ou durant les transactions effectuées dans le cadre du programme Fournisseur de solutions Cloud par le biais de l’Espace partenaires ou d’API.

L’application de la MFA suit les instructions suivantes :

• Partenaires qui utilisent l’authentification multifacteur Microsoft Entra prise en charge par Microsoft. Pour plus d’informations, consultez Plusieurs façons d’activer l’authentification multifacteur Microsoft Entra (MFA prise en charge)
• Le partenaire qui a implémenté une authentification multifacteur tierce et une partie de la liste des exceptions peut toujours accéder à l’Espace partenaires et aux API avec des exceptions, mais ne peut pas gérer le client à l’aide de DAP/GDAP (aucune exception autorisée)
• Si l’organisation du partenaire a déjà reçu une exception pour l’authentification multifacteur, les utilisateurs qui gèrent les locataires clients dans le cadre du programme CSP doivent avoir activé les exigences microsoft MFA avant le 1er mars 2022. Le fait de ne pas respecter les exigences de l’authentification multifacteur peut entraîner la perte d’accès au locataire du client.
• En savoir plus sur l’attribution d’une authentification multifacteur (MFA) pour votre locataire partenaire.

Adoptez le framework du modèle d’application sécurisé.

Tous les partenaires qui utilisent les API de l’Espace partenaires doivent adopter le framework du modèle d’application sécurisé pour toutes les applications du modèle d’authentification d’application/utilisateur.

Important

Nous recommandons vivement aux partenaires d’implémenter le modèle d’application sécurisé pour permettre l’intégration à une API Microsoft telle qu’Azure Resource Manager ou Microsoft Graph, ou pour tirer profit de l’automatisation, par exemple avec PowerShell à l’aide des informations d’identification de l’utilisateur, afin d’éviter toute interruption de service au moment de l’application de MFA.

Ces exigences de sécurité aident à protéger votre infrastructure et à protéger les données de vos clients contre les risques de sécurité potentiels, tels que l’identification du vol ou d’autres incidents de fraude.

Autres exigences de sécurité

Les clients vous font confiance, en tant que partenaire, pour fournir des services à valeur ajoutée. Il est impératif que vous preniez toutes les mesures de sécurité pour protéger la confiance du client et votre réputation de partenaire.

Microsoft continue d’ajouter des mesures d’application afin que tous les partenaires soient tenus d’adhérer et de hiérarchiser la sécurité de leurs clients. Ces exigences de sécurité vous aideront à protéger votre infrastructure et à protéger les données de vos clients contre les risques de sécurité potentiels, notamment l’usurpation d’identité ou d’autres incidents de fraude.

Le partenaire est chargé de s’assurer qu’il adopte les principes de confiance zéro, en particulier les suivants.

Privilèges d’administrateur délégués (DAP)

Les privilèges d’administrateur délégué (DAP) permettent de gérer le service ou l’abonnement d’un client en leur nom. Le client doit accorder les autorisations d’administration du partenaire pour ce service. Étant donné que les privilèges fournis au partenaire pour gérer le client sont hautement élevés, Microsoft recommande à tous les partenaires de supprimer les daPs inactifs. Tous les partenaires gérant le locataire client à l’aide de privilèges de Administration délégués doivent supprimer le DAP inactif de l’Espace partenaires pour empêcher tout impact sur le locataire client et leurs ressources.

Pour plus d’informations, consultez le guide de suppression des droits d’administration en libre-service et des relations administratives en libre-service, la FAQ sur les privilèges d’administration délégués et le guide des privilèges d’administration délégués.

De plus, DAP sera déprécié bientôt. Nous encourageons vivement tous les partenaires qui utilisent activement DAP pour gérer leurs locataires clients et passer à un modèle de privilèges délégués Administration granulaires au minimum pour gérer en toute sécurité les locataires de leurs clients.

Transition vers des rôles de privilège minimum pour gérer vos locataires clients

Étant donné que DAP sera déprécié bientôt, Microsoft recommande vivement de s’éloigner du modèle DAP actuel (ce qui donne Administration agents permanents ou un accès administrateur général perpétuel) et de le remplacer par un modèle d’accès délégué affiné. Le modèle d’accès délégué affiné réduit les risques de sécurité pour les clients et les effets de ces risques sur eux. Il vous offre également le contrôle et la souplesse nécessaires pour restreindre l’accès par client au niveau de la charge de travail de vos employés qui gèrent les services et les environnements de vos clients.

Pour plus d’informations, consultez la vue d’ensemble des privilèges d’administration délégués granulaires (GDAP), les informations sur les rôles privilèges minimum et la FAQ sur le GDAP

Surveiller les notifications de fraude Azure

En tant que partenaire du programme CSP, vous êtes responsable de la consommation Azure de votre client. Il est donc important que vous connaissiez toutes les activités potentielles d’exploration de données de crypto-monnaie dans les abonnements Azure de vos clients. Cette sensibilisation vous permet de prendre des mesures immédiates pour déterminer si le comportement est légitime ou frauduleux et, si nécessaire, suspendre les ressources Azure affectées ou l’abonnement Azure pour atténuer le problème.

Pour plus d’informations, consultez détection et notification de fraude Azure.

S’inscrire à Microsoft Entra ID P2

Tous les agents Administration du locataire CSP doivent renforcer leur cybersécurité en implémentant Microsoft Entra ID P2 et tirer parti des différentes fonctionnalités pour renforcer votre locataire CSP. Microsoft Entra ID P2 fournit un accès étendu aux journaux de connexion et aux fonctionnalités Premium telles que Microsoft Entra Privileged Identity Management (PIM) et les fonctionnalités d’accès conditionnel basé sur les risques pour renforcer les contrôles de sécurité.

Respecter les bonnes pratiques de sécurité csp

Il est important de suivre toutes les bonnes pratiques CSP pour la sécurité. En savoir plus sur les meilleures pratiques en matière de sécurité fournisseur de solutions Cloud.

Implémentation de l’authentification multifacteur

Pour vous conformer aux exigences de sécurité des partenaires, vous devez implémenter et appliquer MFA pour chaque compte d’utilisateur de votre locataire partenaire. Pour cela, plusieurs méthodes sont possibles :

• Implémentez les paramètres de sécurité Microsoft Entra par défaut. Pour plus d’informations, consultez la section suivante, valeurs par défaut de sécurité.

• Achetez l’ID Microsoft Entra P1 ou P2 pour chaque compte d’utilisateur. Pour plus d’informations, consultez Planifier un déploiement authentification multifacteur Microsoft Entra.

Paramètres de sécurité par défaut

L’une des options que les partenaires peuvent choisir d’implémenter les exigences de l’authentification multifacteur consiste à activer les paramètres de sécurité par défaut dans l’ID Microsoft Entra. Les paramètres de sécurité par défaut offrent un niveau de sécurité de base sans coût supplémentaire. Passez en revue comment activer l’authentification multifacteur pour votre organisation avec l’ID Microsoft Entra et les considérations clés ci-dessous avant d’activer les paramètres de sécurité par défaut.

• Les partenaires qui ont déjà adopté des stratégies de base de référence doivent prendre des mesures pour assurer la transition vers les paramètres de sécurité par défaut.

• Les paramètres de sécurité par défaut, désormais en disponibilité générale, remplacent les stratégies de référence en préversion. Une fois qu’un partenaire active les paramètres de sécurité par défaut, il ne peut pas activer les stratégies de référence.

• Avec les valeurs par défaut de sécurité, toutes les stratégies sont activées en même temps.

• Pour les partenaires qui utilisent l’accès conditionnel, les valeurs par défaut de sécurité ne sont pas disponibles.

• Les protocoles d’authentification hérités sont bloqués.

• Le compte de synchronisation Microsoft Entra Connecter est exclu des paramètres de sécurité par défaut et ne sera pas invité à s’inscrire ou à effectuer l’authentification multifacteur. Les organisations ne doivent pas utiliser ce compte à d’autres fins.

Pour plus d’informations, consultez Vue d’ensemble de l’authentification multifacteur Microsoft Entra pour votre organisation et Quelles sont les valeurs par défaut de sécurité ?.

Remarque

Microsoft Entra security defaults est l’évolution des stratégies de protection de base simplifiées. Si vous avez déjà activé les stratégies de protection de référence, il est vivement recommandé d’activer les valeurs par défaut de sécurité.

Foire aux questions sur l’implémentation (FAQ)

Comme ces exigences s’appliquent à tous les comptes d’utilisateur de votre locataire partenaire, vous devez prendre en compte plusieurs éléments pour garantir un déploiement sans problèmes. Par exemple, identifiez les comptes d’utilisateur dans l’ID Microsoft Entra qui ne peuvent pas effectuer d’authentification multifacteur, ainsi que les applications et les appareils de votre organisation qui ne prennent pas en charge l’authentification moderne.

Avant d’effectuer une action, nous vous recommandons d’effectuer les validations suivantes.

Avez-vous une application ou un appareil qui ne prend pas en charge l’utilisation de l’authentification moderne ?

Lorsque vous appliquez l’authentification multifacteur, l’authentification héritée utilise des protocoles tels que IMAP, POP3, SMTP et d’autres sont bloqués, car ils ne prennent pas en charge l’authentification multifacteur. Pour résoudre cette limitation, utilisez la fonctionnalité de mots de passe d’application pour vous assurer que l’application ou l’appareil s’authentifie toujours. Passez en revue les considérations relatives à l’utilisation des mots de passe d’application pour déterminer si vous pouvez utiliser ces derniers dans votre environnement.

Avez-vous des utilisateurs Office 365 avec des licences associées à votre locataire partenaire ?

Avant d’implémenter une solution, nous vous recommandons de déterminer les versions de Microsoft Bureau utilisateurs de votre locataire partenaire. Il y a un risque que vos utilisateurs rencontrent des problèmes de connectivité avec des applications comme Outlook. Avant d’appliquer la MFA, il est important de vérifier que vous utilisez Outlook 2013 SP1 ou version ultérieure, et que l’authentification moderne est activée pour votre organisation. Pour plus d’informations, consultez Activer l’authentification moderne dans Exchange Online.

Pour activer l’authentification moderne pour les appareils exécutant Windows sur utilisant Microsoft Bureau 2013, vous devez créer deux clés de Registre. Consultez Activer l’authentification moderne pour Office 2013 sur les appareils Windows.

Existe-t-il une stratégie qui empêche les utilisateurs de recourir à leurs appareils mobiles quand ils travaillent ?

Il est important d’identifier toute stratégie d’entreprise qui empêche les employés d’utiliser des appareils mobiles quand ils travaillent, car elle influe sur la solution MFA que vous implémentez. Il existe des solutions, telles que celles fournies par le biais de l’implémentation des paramètres de sécurité Microsoft Entra par défaut, qui autorisent uniquement l’utilisation d’une application d’authentificateur pour la vérification. Si votre organisation applique une stratégie qui empêche l’utilisation d’appareils mobiles, vous devez envisager l’une des options suivantes :

• Déployer une application TOTP (mot de passe à usage unique et durée définie) qui peut s’exécuter sur un système sécurisé.

Quelles fonctionnalités d’automatisation ou d’intégration possédez-vous pour utiliser les informations d’identification de l’utilisateur pour l’authentification ?

L’application de l’authentification multifacteur pour chaque utilisateur, y compris les comptes de service, dans votre annuaire partenaire, peut affecter n’importe quelle automatisation ou intégration qui utilise les informations d’identification de l’utilisateur pour l’authentification. C’est pourquoi il est important d’identifier les comptes qui sont utilisés dans ces situations. Consultez la liste ci-dessous qui comprend des exemples d’applications ou de services à prendre en compte :

• Panneau de contrôle utilisé pour provisionner les ressources pour le compte de vos clients

• Intégration à toute plateforme utilisée pour la facturation (par rapport au programme CSP) et prise en charge de vos clients

• Scripts PowerShell qui utilisent Az, AzureRM, Microsoft Graph PowerShell et d’autres modules

La liste précédente n’est pas complète. Il est donc important d’effectuer une évaluation complète de n’importe quelle application ou service dans votre environnement qui utilise les informations d’identification de l’utilisateur pour l’authentification. Pour composer avec l’exigence de l’authentification multifacteur, vous devez, dans la mesure du possible, implémenter les conseils indiqués dans le framework Modèle d’application sécurisé.

Accéder à votre environnement

Pour mieux comprendre ce qui ou qui s’authentifie sans être contesté pour l’authentification multifacteur, nous vous recommandons de passer en revue l’activité de connexion. Par le biais de Microsoft Entra ID P1 ou P2, vous pouvez utiliser le rapport de connexion. Pour plus d’informations sur ce sujet, consultez les rapports d’activité de connexion dans le Centre d’administration Microsoft Entra. Si vous n’avez pas Microsoft Entra ID P1 ou P2, ou si vous recherchez un moyen d’obtenir cette activité de connexion via PowerShell, vous devez utiliser l’applet de commande Get-PartnerUserSignActivity à partir du module PowerShell de l’Espace partenaires.

Mode d’application des exigences

Si l’organisation de votre partenaire a déjà reçu une exception pour l’authentification multifacteur, les utilisateurs qui gèrent les locataires clients dans le cadre du programme CSP doivent avoir activé les exigences microsoft MFA avant le 1er mars 2022. Le fait de ne pas respecter les exigences de l’authentification multifacteur peut entraîner la perte d’accès au locataire du client.

Les exigences de sécurité des partenaires sont appliquées par l’ID Microsoft Entra, et à leur tour l’Espace partenaires, en case activée pour la présence de la revendication MFA pour identifier que la vérification MFA a eu lieu. Depuis le 18 novembre 2019, Microsoft a activé davantage de garanties de sécurité (précédemment appelées « application technique ») aux locataires partenaires.

Lors de l’activation, les utilisateurs du locataire partenaire sont invités à effectuer la vérification MFA lors de l’exécution d’opérations d’administrateur au nom de (AOBO), d’accéder à l’Espace partenaires ou d’appeler les API de l’Espace partenaires. Pour plus d’informations, consultez Mandating multifactor authentication (MFA) pour votre locataire partenaire.

Les partenaires qui n’ont pas respecté les exigences doivent implémenter ces mesures dès que possible pour éviter toute interruption des activités. Si vous utilisez l’authentification multifacteur Microsoft Entra ou les paramètres de sécurité Microsoft Entra par défaut, vous n’avez pas besoin d’effectuer d’autres actions.

Si vous utilisez une solution MFA tierce, il est possible que la revendication MFA ne soit pas émise. Si cette revendication est manquante, l’ID Microsoft Entra ne pourra pas déterminer si la demande d’authentification a été contestée par l’authentification multifacteur. Pour plus d’informations sur la façon de vérifier que votre solution émet la revendication attendue, lisez Test des exigences de sécurité du partenaire.

Important

Si votre solution tierce n’émet pas la revendication attendue, vous devez travailler avec le fournisseur qui a développé la solution pour déterminer quelles actions doivent être effectuées.

Ressources et exemples

Consultez les ressources suivantes pour obtenir de l’aide et des exemples de code :

• Communauté du groupe d’aide à la sécurité de l’Espace partenaires : la communauté du groupe d’aide à la sécurité de l’Espace partenaires est une communauté en ligne où vous pouvez découvrir les événements à venir et poser les questions que vous pourriez avoir.
• Exemples .NET de l’Espace partenaires : ce référentiel GitHub contient des exemples développés à l’aide de .NET qui montrent comment implémenter l’infrastructure Secure Application Model.
• Exemples Java de l’Espace partenaires : ce référentiel GitHub contient des exemples développés à l’aide de Java qui montrent comment implémenter l’infrastructure de modèle d’application sécurisée.
• Espace partenaires PowerShell - Authentification multifacteur : cet article d’authentification multifacteur fournit des détails sur la façon d’implémenter l’infrastructure de modèle d’application sécurisé à l’aide de PowerShell.
• Fonctionnalités et licences pour l’authentification multifacteur Microsoft Entra
• Planifier un déploiement multifacteur Microsoft Entra
• Test des exigences de sécurité du partenaire à l’aide de PowerShell

Étapes suivantes

• Imposer l’authentification multifacteur (MFA) à votre locataire partenaire