A partner Center vagy a partner Center API-k használatára vonatkozó biztonsági követelményekSecurity requirements for using Partner Center or Partner Center APIs

A következőkre vonatkozikApplies to

  • A Cloud Solution Provider program összes partnereAll partners in the Cloud Solution Provider program
  • A Vezérlőpult összes szállítójaAll Control Panel Vendors
  • Minden tanácsadóAll Advisors

Megfelelő felhasználókAppropriate users

  • Az összes engedélyezett felhasználó, beleértve a vendég felhasználókatAll enabled users including guest users

Ez a cikk ismerteti az Advisors, a Vezérlőpult-szállítók és a felhőalapú megoldás-szolgáltatói programban részt vevő partnerek kötelező biztonsági követelményeit, valamint a hitelesítési lehetőségeket és az egyéb biztonsági szempontokat.This article explains the mandatory security requirements for Advisors, Control Panel Vendors, and partners participating in the Cloud Solution Provider program, as well as authentication options and other security considerations. Az adatvédelmi óvintézkedések és a biztonság a legfontosabb prioritások közé tartozik.Privacy safeguards and security are among our top priorities. Tudjuk, hogy a legjobb védelem a megelőzés, és hogy csak olyan erősek vagyunk, mint a leggyengébb kapcsolatunk.We know that the best defense is prevention and that we are only as strong as our weakest link. Ezért van szükségünk arra, hogy az ökoszisztémánk mindenki számára elérhető legyen, és biztosítsuk a megfelelő biztonsági védelem biztosítását.That is why we need everyone in our ecosystem to act and ensure appropriate security protections are in place.

Kötelező biztonsági követelményekMandatory security requirements

Azok a partnerek, akik nem alkalmazzák a kötelező biztonsági követelményeket, nem tudnak majd tranzakciót végezni a felhőalapú megoldás-szolgáltató programban, vagy a delegált rendszergazdai jogosultságokat kihasználó ügyfél-bérlőket kezelhetik.Partners who do not implement the mandatory security requirements will not be able to transact in the Cloud Solution Provider program or manage customer tenants leveraging delegated admin rights. Emellett a biztonsági követelményeket nem megvalósító partnerek is felhasználhatják a programban való részvételüket.In addition, partners who do not implement the security requirements may put their participation in programs at risk. A partneri biztonsági követelményekhez társított feltételek hozzá lettek adva a Microsoft partneri szerződéshez.The terms associated with the partner security requirements have been added to the Microsoft Partner Agreement. Az Advisors-hez kapcsolódóan ugyanazok a szerződéses követelmények lesznek érvényben.As it relates to Advisors, the same contractual requirements will be in place.

Az Ön és ügyfelei elleni védelem érdekében a partnereknek azonnal a következő műveleteket kell elvégezniük:To protect you and your customers, we are requiring partners to take the following actions immediately:

  1. Engedélyezze a többtényezős hitelesítést (MFA) a partner bérlő összes felhasználói fiókjához .Enable multi-factor authentication (MFA) for all user accounts in your partner tenant . Az MFA-t a partneri bérlő (k) összes felhasználói fiókján ki kell kényszeríteni.You must enforce MFA on all user accounts in your partner tenant(s). A felhasználókat az MFA-nak kell kiadnia, amikor bejelentkeznek a Microsoft kereskedelmi Cloud Services szolgáltatásba, vagy amikor a partner Centerben vagy API-n keresztül végeznek a felhőalapú megoldás-szolgáltatói programban.Users must be challenged by MFA when they sign in to Microsoft commercial cloud services or when they transact in the Cloud Solution Provider program through Partner Center or via APIs.

  2. Fogadja el a biztonságos alkalmazás modelljének keretrendszerét .Adopt the Secure Application Model framework . A partner Center API-kkal való integráció összes partnerének el kell fogadnia az alkalmazás-és a felhasználói hitelesítési modell alkalmazásaihoz szükséges biztonságos Application Model keretrendszert .All partners integrating with Partner Center APIs must adopt the Secure Application Model framework for any app and user auth model applications.

    Fontos

    Erősen ajánljuk, hogy a partnerek a biztonságos alkalmazás modellt implementálják a Microsoft API-val való integrációhoz, például Azure Resource Manager vagy Microsoft Graph, vagy ha az automatizálást, például a PowerShellt felhasználói hitelesítő adatok használatával használják, az MFA kikényszerített megszakadásának elkerülése érdekében.We strongly recommend that partners implement the Secure Application Model for integrating with a Microsoft API, such as Azure Resource Manager or Microsoft Graph, or when leveraging automation such as PowerShell using user credentials, to avoid any disruption when MFA is enforced.

Ezek a biztonsági követelmények segítik az infrastruktúra védelmét és az ügyfelek adatainak védelmét az esetleges biztonsági kockázatokkal szemben, például a lopás vagy más csalás elleni incidensek azonosítása érdekében.These security requirements will help protect your infrastructure and safeguard your customers' data from potential security risks such as identify theft or other fraud incidents.

A többtényezős hitelesítés megvalósításaImplementing multi-factor authentication

A partnerek biztonsági követelményeinek való megfelelés érdekében az MFA-t a partner bérlője minden felhasználói fiókjához be kell vezetnie és ki kell kényszeríteni.To comply with the partner security requirements, you must implement and enforce MFA for each user account in your partner tenant. Ezt a következő módokon teheti meg:You can do this one of the way following ways:

Megjegyzés

Bár a többtényezős hitelesítés nem kötelező a szuverén felhő (USA kormánya és Németország) számára, kifejezetten ajánlott ezeket a biztonsági követelményeket alkalmazni.Although multi-factor authentication is not contractually required for a sovereign cloud (US Government and Germany) it is highly recommended you adopt these security requirements.

Alapértelmezett biztonsági szabályokSecurity defaults

Az egyik lehetőség, hogy a partnerek az MFA-követelmények megvalósítását is lehetővé teszik, az Azure AD biztonsági beállításainak engedélyezése.One of the options that partners can choose to implement MFA requirements is to enable security defaults in Azure AD. A biztonsági alapértékek alapszintű biztonsági szintet biztosítanak külön díj nélkül.Security defaults offer a basic level of security at no extra cost. Tekintse át, hogyan engedélyezheti az MFA-t a szervezete számára az Azure AD-vel, és az alábbi legfontosabb szempontokat a biztonsági beállítások engedélyezése előtt.Review how to enable MFA for your organization with Azure AD and the key considerations below before enabling security defaults.

  • Azoknak a partnereknek, akik már elfogadták az alapházirendeket, lépéseket kell tenniük a biztonsági alapbeállításokra való áttéréshez.Partners who already adopted baseline policies need to take action to transition to security defaults.

  • A biztonsági alapértékek az előzetes verzióra vonatkozó alapszabályzatok általánosan elérhető cseréje.Security defaults are the general availability replacement of the preview baseline policies. Miután egy partner engedélyezte a biztonsági beállításokat, többé nem fogja tudni engedélyezni az alapkonfiguráció-házirendeket.Once a partner enables the security defaults, they will no longer be able to enable baseline policies.

  • A biztonsági beállításokkal minden házirend egyszerre lesz engedélyezve.With security defaults, all policies will be enabled at once.

  • A feltételes hozzáférésthasználó partnereink esetében a biztonsági beállítások nem lesznek elérhetők.For partners who use conditional access, security defaults will not be available.

  • Jelenleg nem blokkolja a régi hitelesítést.We do not block legacy authentication at this time. Mivel azonban a feltört identitásokkal kapcsolatos legtöbb esemény a régi hitelesítést használó bejelentkezési kísérletekből származik, a partnereknek ösztönözniük kell a régebbi protokolloktól való elmozdulást.However, as most events related to compromised identities come from sign-in attempts using legacy authentication, partners are encouraged to move away from these older protocols.

  • Azure AD Connect szinkronizálási fiók ki van zárva a biztonsági alapértékek közül.Azure AD Connect synchronization account is excluded from security defaults.

Részletes információk: az Azure-multi-Factor Authentication áttekintése a szervezet számára , és Mik azok a biztonsági beállítások?.For detailed information, read Overview of Azure Multi-Factor Authentication for your organization and What are security defaults?.

Megjegyzés

Az Azure AD biztonsági Alapértelmezések az alapkonfiguráció-védelmi szabályzatok egyszerűsített fejlődése.Azure AD security defaults is the evolution of the baseline protection policies simplified. Ha már engedélyezte az alapkonfiguráció-védelmi házirendeket, akkor erősen ajánlott a biztonsági beállításokengedélyezése.If you have already enabled the baseline protection policies, then it is highly recommended that you enable security defaults.

Implementálási szempontokImplementation considerations

Mivel ezek a követelmények a partner bérlő összes felhasználói fiókjára érvényesek, több dolgot is figyelembe kell vennie a zökkenőmentes üzembe helyezés érdekében.Because these requirements apply to all user accounts in your partner tenant, you need to consider several things to ensure a smooth deployment. Azonosíthatja például a felhasználói fiókokat az Azure AD-ben, amelyek nem tudják végrehajtani az MFA-t, valamint a szervezet olyan alkalmazásait és eszközeit, amelyek nem támogatják a modern hitelesítést.For example, identify user accounts in Azure AD that cannot perform MFA, as well as applications and devices in your organization that do not support modern authentication.

A művelet végrehajtása előtt javasoljuk, hogy végezze el a következő érvényesítést.Prior to performing any action, we recommend you complete the following validations.

Van olyan alkalmazás vagy eszköz, amely nem támogatja a modern hitelesítés használatát?Do you have an application or device that does not support the use of modern authentication?

Ha kikényszeríti az MFA-t, az örökölt hitelesítés olyan protokollokat használ, mint például az IMAP, a POP3, az SMTP stb. nem támogatja az MFA-t.When you enforce MFA, legacy authentication use protocols such as IMAP, POP3, SMTP, etc. will be blocked because they don't support MFA. Ennek a korlátozásnak a megoldásához az alkalmazás jelszavai szolgáltatásával győződjön meg arról, hogy az alkalmazás vagy az eszköz továbbra is hitelesítve van.To address this limitation, use the app passwords feature to ensure the application or device will still authenticate. Tekintse át az alkalmazások jelszavainak használatának szempontjait annak meghatározásához, hogy használhatók-e a környezetben.Review the considerations for using app passwords to determine if they can be used in your environment.

Rendelkezik a partner bérlőhöz társított licenccel rendelkező Office 365-felhasználókkal?Do you have Office 365 users with licenses associated with your partner tenant?

A megoldások megvalósítása előtt azt javasoljuk, hogy állapítsa meg, hogy a partner bérlője milyen verziójú Microsoft Office-felhasználókat használ.Prior to implementing any solution, we recommend that you determine what version of Microsoft Office users in your partner tenant are using. Lehetséges, hogy a felhasználók kapcsolódási problémákba ütköznek az alkalmazásokkal, például az Outlookkal.There is a chance your users will experience connectivity issues with applications like Outlook. Az MFA érvényesítése előtt fontos, hogy az Outlook 2013 SP1 vagy újabb verziót használja, és hogy a szervezete számára engedélyezve legyen a modern hitelesítés.Before enforcing MFA, it is important to ensure that you are using Outlook 2013 SP1, or later, and that your organization has modern authentication enabled. További információ: modern hitelesítés engedélyezése az Exchange Online-ban.For more information, see Enable modern authentication in Exchange Online.

Ha olyan Windows rendszerű eszközökön kívánja engedélyezni a modern hitelesítést, amelyeken telepítve van a Microsoft Office 2013, akkor két beállításkulcsot kell létrehoznia.To enable modern authentication for devices running Windows that have Microsoft Office 2013 installed, you will need to create two registry keys. Lásd: az Office 2013 modern hitelesítésének engedélyezése Windows-eszközökön.See Enable Modern Authentication for Office 2013 on Windows devices.

Van olyan szabályzat, amely megakadályozza, hogy a felhasználók a mobileszközök használata közben használják a mobil eszközeiket?Is there a policy preventing any of your users from using their mobile devices while working?

Fontos, hogy azonosítsa a vállalati szabályzatot, amely megakadályozza, hogy az alkalmazottak a mobileszközök használatát használják, mivel ez hatással lesz az Ön által megvalósított MFA-megoldásra.It is important to identify any corporate policy that prevents employees from using mobile devices while working because it will influence what MFA solution you implement. Léteznek olyan megoldások, mint például az Azure ad biztonsági Alapértelmezésekimplementációja, amely csak a hitelesítő alkalmazás használatát teszi lehetővé ellenőrzés céljából.There are solutions, such as the one provided through the implementation of Azure AD security defaults, that only allow the use of an authenticator app for verification. Ha a szervezet rendelkezik olyan házirenddel, amely megakadályozza a mobileszközök használatát, vegye figyelembe az alábbi lehetőségek egyikét:If your organization has a policy preventing the use of mobile devices, then consider one of the following options:

  • A biztonságos rendszeren futtatható, időalapú egyszeri jelszó (TOTP) alkalmazás üzembe helyezése.Deploy a time-based one-time base password (TOTP) application that can run on secure system.

  • Hozzon létre egy külső gyártótól származó megoldást, amely az MFA-t kényszeríti a partner bérlő minden olyan felhasználói fiókjára, amely a legmegfelelőbb ellenőrzési lehetőséget biztosítja.Implement a third-party solution that enforces MFA for each user account in the partner tenant that provides the most appropriate verification option.

  • Prémium szintű Azure Active Directory licencek megvásárlása az érintett felhasználók számára.Purchase Azure Active Directory Premium licenses for the impacted users.

Milyen automatizálásra vagy integrációra van szükség a felhasználói hitelesítő adatok kihasználása a hitelesítéshez?What automation or integration do you have to leverage user credentials for authentication?

Mivel az MFA-t minden felhasználó, például szolgáltatásfiókok esetében kikényszerítjük a partneri címtárban, ez hatással van minden olyan automatizálásra vagy integrációra, amely a hitelesítéshez felhasználói hitelesítő adatokat használ.Because we enforce MFA for each user, including service accounts, in your partner directory, this will impact any automation or integration that leverages user credentials for authentication. Ezért fontos, hogy azonosítsa, hogy mely fiókokat használják ezekben a helyzetekben.So, it is important that you identify which accounts are being used in these situations. Tekintse meg az alábbi, példákban szereplő alkalmazások vagy szolgáltatások listáját:See the following list of sample applications or services to consider:

  • A Vezérlőpult az ügyfelek nevében való kiépítésére használatosControl panel used to provision resources on behalf of your customers

  • Integráció bármely olyan platformmal, amely a számlázáshoz használatos (a CSP programhoz kapcsolódik) és az ügyfelek támogatásáhozIntegration with any platform that is used for invoicing (as it relates to the CSP program) and supporting your customers

  • Az az, AzureRM, Azure AD, MS online stb. modulokat használó PowerShell-parancsfájlokPowerShell scripts that utilize the Az, AzureRM, Azure AD, MS Online, etc. modules

A fenti lista nem átfogó.The above list is not comprehensive. Ezért fontos, hogy teljes körű értékelést végezzen a környezetben található bármely alkalmazásról vagy szolgáltatásról, amely kihasználja a hitelesítéshez szükséges felhasználói hitelesítő adatokat.So, it is important that you perform a complete assessment of any application or service in your environment that leverages user credentials for authentication. Az MFA követelményének megkövetelése érdekében a biztonságos alkalmazás modelljének keretrendszerében kell megvalósítani az útmutatást, ahol lehetséges.To contend with the requirement for MFA, you should implement the guidance in the Secure Application Model framework where possible.

A környezet eléréseAccessing your environment

Ha szeretné jobban megismerni, hogy mi vagy kik hitelesítik az MFA-t, akkor javasoljuk, hogy tekintse át a bejelentkezési tevékenységet.To better understand what or who is authenticating without being challenged for MFA, we recommend you review the sign-in activity. A prémium szintű Azure Active Directory használatával kihasználhatja a bejelentkezési jelentést.Through Azure Active Directory Premium, you can leverage the sign-in report. További információ erről a témakörről: bejelentkezési tevékenységek jelentései a Azure Active Directory portálon.For more information about this topic, see Sign-in activity reports in the Azure Active Directory portal. Ha nem rendelkezik prémium szintű Azure Active Directorytel, vagy ha a bejelentkezési tevékenységet a PowerShell használatával szeretné beszerezni, akkor a Get-PartnerUserSignActivity parancsmagot kell használnia a partner Center PowerShell -modulból.If you do not have Azure Active Directory Premium, or you are looking for a way obtain this sign-in activity through PowerShell, then you will need to leverage the Get-PartnerUserSignActivity cmdlet from the Partner Center PowerShell module.

A követelmények betartatásaHow the requirements are enforced

A partneri biztonsági követelményeket az Azure AD kényszeríti, a partner Center pedig pedig az MFA-jogcím meglétének ellenőrzésével ellenőrzi, hogy az MFA-ellenőrzés megtörtént-e.Partner security requirements are enforced by Azure AD, and in turn Partner Center, by checking for the presence of the MFA claim to identify that MFA verification has taken place. 2019. november 18-án a Microsoft aktiválta a további biztonsági óvintézkedéseket (korábbi nevén "technikai betartatás") a partnerek bérlői számára.Starting November 18, 2019, Microsoft activated additional security safeguards (previously known as “technical enforcement”) to partner tenants.

Aktiváláskor a partner bérlőben lévő felhasználókat arra kéri, hogy végezzenek el MFA-ellenőrzéseket, amikor a (z) (AOBO) műveletekkel, a partner Center portálhoz való hozzáféréssel vagy a partner Center API-k meghívásával végzik el a hitelesítést.Upon activation, users in the partner tenant are requested to complete MFA verification when performing any admin on behalf of (AOBO) operations, accessing the Partner Center portal, or calling Partner Center APIs. További információ: a többtényezős hitelesítés (MFA) megbízása a partner bérlője számára.For more information, see Mandating Multi-factor Authentication (MFA) for your partner tenant.

Azok a partnerek, akik nem teljesítik a követelményeket, a lehető leghamarabb végre kell hajtaniuk ezeket a mértékeket az üzleti fennakadások elkerülése érdekében.Partners who have not met the requirements should implement these measures as soon as possible to avoid any business disruptions. Ha Azure Multi-Factor Authentication vagy Azure AD-beli biztonsági beállításokat használ, nincs szükség további műveletekre.If you are using Azure Multi-Factor Authentication or Azure AD security defaults, there are no additional actions you need to take.

Ha harmadik féltől származó MFA-megoldást használ, lehetséges, hogy az MFA-jogcímet nem lehet kibocsátani.If you are using a third-party MFA solution, there is a chance the MFA claim may not be issued. Ha ez a jogcím hiányzik, az Azure AD nem fogja tudni megállapítani, hogy az MFA megkérdőjelezte-e a hitelesítési kérést.If this claim is missing, Azure AD will not be able determine if the authentication request was challenged by MFA. Ha szeretné megtudni, hogyan ellenőrizheti a megoldás a várt jogcímet, olvassa el a partneri biztonsági követelmények tesztelésétismertető témakört.For information on how to verify your solution is issuing the expected claim, read Testing the Partner Security Requirements.

Fontos

Ha a külső gyártótól származó megoldás nem adja ki a várt jogcímet, akkor a megoldást fejlesztő gyártóval kell dolgoznia, hogy meghatározza, milyen műveleteket kell végrehajtania.If your third-party solution does not issue the expected claim, then you will need to work with the vendor who developed the solution to determine what actions should be taken.

Erőforrások és mintákResources and samples

Tekintse meg a következő forrásokat a támogatáshoz és a mintakód:See the following resources for support and sample code:

Következő lépésekNext steps