CSP セキュリティのベスト プラクティス

対象ロール: グローバル管理者 | 管理エージェント | ヘルプデスク エージェント

パートナー センターとパートナー センター API にアクセスするクラウド ソリューション プロバイダー (CSP) プログラムのすべてのパートナーは、この記事のセキュリティ ガイダンスに従って、自身と顧客を保護する必要があります。 パートナーは、セキュリティの問題を軽減し、セキュリティのエスカレーションを改善するために、このガイダンスを直ちに実装する必要があります。

詳細については、「NOBELIUM がより広範な攻撃を促進するために代理管理特権を標的に」を参照してください

お客様のセキュリティのベスト プラクティス

ダウンストリームのお客様の場合

  • お客様は、予期せずプロビジョニングされた可能性があるサブスクリプションとリソースまたはサービスを頻繁に確認する必要があります。

  • お客様は、パスワード管理ポリシーに従い、パスワード ローテーションが頻繁に行われる強力な認証を行う必要があります。

  • お客様に、Microsoft Authenticator アプリによるパスワードレス サインインを使用してもらいます。

  • Azure AD 内のすべてのグローバル管理者ユーザーのパスワードの回復メールと電話番号を検証し、必要に応じて更新します。

  • アクセス特権と代理アクセス許可を確認、監査、最小化します。 最小特権のアプローチを検討して実装することが重要です。 Microsoft では、組織とアップストリーム プロバイダー間の不要なアクセス許可を最小限に抑えるために、パートナー リレーションシップの徹底的なレビューと監査を優先的に行うことを推奨しています。 Microsoft は、見慣れない、またはまだ監査されていないパートナー リレーションシップに対するアクセス権をただちに削除することをお勧めします。

  • すべてのテナント管理者アカウントを確認、強化、監視する: すべての組織は、Azure サブスクリプションの代理管理 (AOBO) に関連付けられているユーザーを含め、すべてのテナント管理者ユーザーを十分に確認し、ユーザーとアクティビティの信頼性を確認する必要があります。 すべてのテナント管理者に、強力な認証を使用し、MFA で使用するために登録されているデバイスを確認し、永続的な高特権アクセスの使用を最小限に抑えることを強く推奨します。 継続的にすべてのアクティブなテナント管理者ユーザー アカウントを再検査し、監査ログを定期的にチェックして、高い特権のユーザー アクセスが許可されていないこと、またはジョブの実行にこれらの特権を必要としない管理者ユーザーに委任されていないことを確認します。

  • B2B およびローカル アカウントからのサービス プロバイダーのアクセス許可のアクセスを確認する: 代理管理特権機能の使用に加えて、一部のクラウド サービス プロバイダーは、顧客テナントで企業間 (B2B) アカウントまたはローカル管理者アカウントを使用します。 クラウド サービス プロバイダーがこれらを使用するかどうかを特定することを推奨します。使用する場合は、それらのアカウントが適切に管理され、テナントで最小特権のアクセス権を持っている必要があります。 Microsoft は、"共有" 管理者アカウントの使用を推奨しません。 B2B アカウントのアクセス許可を確認する方法の詳細なガイダンスを確認してください。

  • 多要素認証 (MFA) が有効になっているか確認し、条件付きアクセス ポリシーを適用します。 MFA は、脅威から保護するための最適なベースライン セキュリティの検疫方法です。 Microsoft 365 での多要素認証の設定に関する詳細なガイダンスと、Azure Active Directory (Azure AD) での条件付きアクセス ポリシーの展開と構成に関するガイダンスに従います。

  • 監査ログと構成を確認します

  • Azure AD のサインインと構成の変更の確認と監査: この特性の正当性は、Azure AD サインイン ログAzure AD 監査ログ、および Microsoft Purview コンプライアンス ポータル (以前は Exchange 管理センター) を通じて顧客が監査および確認できます。 最近、代理管理者アクセス許可を持つパートナーによるサインインを確認する機能が追加されました。 これらのサインインのフィルター処理されたビューを表示するには、Azure AD 管理ポータルでサインイン ログに移動し、[ユーザー サインイン (非対話型)] タブに [テナント間アクセス権の種類: サービス プロバイダー] フィルターを追加します。

    Shows the sign-in log screen.

  • 既存のログの可用性と保有戦略を確認する: 悪意のあるアクターによって実行されるアクティビティを調査する場合、Office 365 を含むクラウド ベースのリソースに対して適切なログ保有手順を持つことに大きな重点を置きます。 さまざまなサブスクリプション レベルには、個別のログの可用性と保有ポリシーがあります。インシデント対応手順を作成する前にこの点を理解しておくことが重要です。

すべての組織がサブスクリプション内で使用できるログについて理解し、それらを定期的に評価して、不備と異常を評価することを推奨します。 サードパーティの組織に依存している組織の場合は、その組織と連携してすべての管理アクションに対するログ戦略を理解し、インシデント中にログを使用できる必要がある場合は、プロセスを確立します。