CSP セキュリティのベスト プラクティス

  • [アーティクル]

パートナー センターとパートナー センター API にアクセスする クラウド ソリューション プロバイダー (CSP) プログラム内のすべてのパートナーは、自分自身と顧客を保護するために、この記事のセキュリティ ガイダンスに従う必要があります。

顧客のセキュリティについては、顧客のセキュリティのベスト プラクティスに関する説明を参照してください

重要

Azure Active Directory (Azure AD) Graph は、2023 年 6 月 30 日の時点で非推奨となっています。 今後、Azure AD Graph への投資は行いません。 Azure AD Graph API には、セキュリティ関連の修正プログラムを超える SLA またはメインテナント コミットメントはありません。 新機能への投資は Microsoft Graph に対してのみ行われます。

アプリケーションを Microsoft Graph API に移行するのに十分な時間を確保できるように、段階的な手順で Azure AD Graph を廃止します。 後日お知らせしますが、Azure AD Graph を使用して新しいアプリケーションの作成をブロックします。

詳細については、「重要: Azure AD Graph の廃止と PowerShell モジュールの廃止」を参照してください

ID のベストプラクティス

多要素認証を要求する

  • パートナー センター テナントと顧客テナント内のすべてのユーザーが登録され、多要素認証 (MFA) を必要としていることを確認します。 MFA を構成するには、さまざまな方法があります。 構成するテナントに適用する方法を選択します。
    • パートナー センター/顧客のテナントに Microsoft Entra ID P1 がある
    • パートナー センター/顧客のテナントに Microsoft Entra ID P2 がある
      • 条件付きアクセスを使用して MFA を適用します。
      • Microsoft Entra ID 保護を使用してリスクベースのポリシーを実装します
      • パートナー センター テナントの場合、内部使用権 (IUR) の特典に応じて、Microsoft 365 E3 または E5 の対象となる場合があります。 これらの SKU には、それぞれ Microsoft Entra ID P1 または 2 が含まれます。
      • 顧客のテナントでは、セキュリティの既定値を有効にすることをお勧めします。
        • 顧客がレガシ認証を必要とするアプリを使用している場合、セキュリティの既定値を有効にした後、それらのアプリは機能しません。 先進認証を使用するようにアプリを置き換えたり、削除したり、更新したりできない場合は、ユーザーごとの MFA を通じて MFA を適用できます。
        • 次の Graph API 呼び出しを使用して、お客様によるセキュリティの既定値の使用を監視および適用できます。
  • 使用する MFA 方法がフィッシングに対する耐性があることを確認します。 これを行うには、パスワードレス認証または番号照合を使用します。
  • お客様が MFA の使用を拒否した場合は、Microsoft Entra ID への管理者ロールのアクセス権を付与したり、Azure サブスクリプションへのアクセス許可を書き込んだりしないでください。

アプリのアクセス

  • セキュリティで保護されたアプリケーション モデル フレームワークを採用します。 パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。
  • パートナー センターの Microsoft Entra テナントでユーザーの同意を無効にするか、管理者の同意ワークフロー使用します。

最小特権/永続的アクセスなし

  • グローバル管理者やセキュリティ管理者などの Microsoft Entra 管理者ロールを持つユーザーは、これらのアカウントを電子メールやコラボレーションに定期的に使用しないでください。 コラボレーション タスク用の Microsoft Entra 管理者ロールを持たない別のユーザー アカウントを作成します。
  • 管理 エージェント グループを確認し、アクセスを必要としないユーザーを削除します。
  • Microsoft Entra ID の管理ロール アクセスを定期的に確認し、アクセスを可能な限り少数のアカウントに制限します。 詳細については、「Microsoft Entra 組み込みロール」を参照してください。
  • 退職したユーザーや社内のロールを変更するユーザーは、パートナー センターのアクセスから削除する必要があります。
  • Microsoft Entra ID P2 をお持ちの場合は、Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) アクセスを適用します。 デュアル カストディを使用して、Microsoft Entra 管理者ロールとパートナー センターロールのアクセス権を確認および承認します。
  • 特権ロールのセキュリティ保護については、「特権アクセスのセキュリティ保護の概要」を参照してください
  • 顧客環境へのアクセスを定期的に確認します。

ID の分離

  • メールやコラボレーション ツールなどの内部 IT サービスをホストするのと同じ Microsoft Entra テナントでパートナー センター インスタンスをホストすることは避けてください。
  • 顧客アクセス権を持つパートナー センター特権ユーザーには、個別の専用ユーザー アカウントを使用します。
  • パートナーが顧客テナントおよび関連するアプリとサービスを管理するために使用することを意図した顧客の Microsoft Entra テナントにユーザー アカウントを作成することは避けてください。

デバイスのベスト プラクティス

  • セキュリティ ベースラインを管理し、セキュリティ リスクを監視している、登録済みの正常なワークステーションからのパートナー センターと顧客テナントへのアクセスのみを許可します。
  • 顧客環境への特権アクセス権を持つパートナー センター ユーザーの場合は、それらのユーザーが顧客環境にアクセスするために専用ワークステーション (仮想または物理) を要求することを検討してください。 詳細については、「特権アクセスの保護」を参照してください。

監視のベスト プラクティス

パートナー センター API

サインインの監視と監査

  • Microsoft Entra ID P2 ライセンスを持つパートナーは、監査とサインインのログ データを最大 30 日間保持する資格を自動的に得られます。

    次の点を確認します。

    • 監査ログは、委任された管理者アカウントが使用される場所にあります。
    • ログは、サービスによって提供される詳細の最大レベルをキャプチャしています。
    • ログは、異常なアクティビティを検出できる許容期間 (最大 30 日間) 保持されます。

    詳細な監査ログには、より多くのサービスを購入する必要がある場合があります。 詳細については、「Microsoft Entra ID でレポート データを格納する期間」を参照してください

  • グローバル管理者ロールを持つすべてのユーザーについて、Microsoft Entra ID 内のパスワード回復の電子メール アドレスと電話番号を定期的に確認し、必要に応じて更新します。

    • 顧客のテナントが侵害された場合:CSP 直接請求パートナー、間接プロバイダー、または間接リセラーは、顧客のテナントで管理のパスワード変更を要求するサポートに連絡できません。 お客様、「管理者パスワードのリセット」トピックの手順に従って、Microsoft サポートに電話する必要があります。 「管理者パスワードのリセット」トピックには、ユーザーがMicrosoft サポートを呼び出すために使用できるリンクがあります。 CSP がパスワードのリセットを支援するためにテナントにアクセスできなくなったことをメンションするように顧客に指示します。 CSP は、アクセスが回復し、問題のある関係者が削除されるまで、顧客のサブスクリプションを中断することを検討する必要があります。

  • 監査ログのベスト プラクティスを実装し、代理管理者アカウントによって実行されるアクティビティの定期的なレビューを実行します。

  • パートナーは、環境内の 危険なユーザー レポート を確認し、公開されたガイダンスに従ってリスクを提示することが検出されたアカウントに対処する必要があります。