CSP en iyi güvenlik uygulamaları

İş Ortağı Merkezi ve İş Ortağı Merkezi API'lerine erişen Bulut Çözümü Sağlayıcısı (CSP) programındaki tüm iş ortakları, kendilerini ve müşterileri korumak için bu makaledeki güvenlik yönergelerini izlemelidir.

Müşteri güvenliği için bkz . Müşteri güvenliği en iyi yöntemleri.

Önemli

Azure Active Directory (Azure AD) Graph, 30 Haziran 2023 itibarıyla kullanım dışı bırakılmıştır. Bundan sonra Azure AD Graph'a başka yatırım yapmayız. Azure AD Graph API'lerinin güvenlikle ilgili düzeltmelerin ötesinde SLA veya bakım taahhüdü yoktur. Yeni özelliklere ve işlevlere yapılan yatırımlar yalnızca Microsoft Graph'ta yapılacaktır.

Uygulamalarınızı Microsoft Graph API'lerine geçirmek için yeterli zamanınız olması için Azure AD Graph'ı artımlı adımlarla kullanımdan alacağız. Duyuracağımız sonraki bir tarihte, Azure AD Graph kullanarak yeni uygulamaların oluşturulmasını engelleyeceğiz.

Daha fazla bilgi edinmek için bkz . Önemli: Azure AD Graph Kullanımdan Kaldırma ve PowerShell Modülü Kullanımdan Kaldırma.

Kiracılarınızda önerilen adımlar

• İş Ortağı Merkezi kiracısında güvenlikle ilgili sorun bildirimleri için bir güvenlik kişisi ekleyin.
• Microsoft Entra ID'de kimlik güvenlik puanınızı denetleyin ve puanınızı yükseltmek için uygun eylemleri gerçekleştirin.
• Ödeme, sahtekarlık veya kötüye kullanımı yönetme başlığında belgelenen kılavuzu gözden geçirin ve uygulayın.
• NOBELIUM tehdit aktörü ve ilgili malzemeleri hakkında bilgi sahibi olun:
  • DAHA geniş çaplı saldırıları kolaylaştırmak için temsilci yönetim ayrıcalıklarını hedefleyen NOBELIUM
  • NOBELIUM yanıt eğitimi
  • Kanalın güvenliğini sağlama: Sıfır güvene yolculuk

Kimlik için en iyi yöntemler

Çok faktörlü kimlik doğrulaması gerektir

• İş Ortağı Merkezi kiracılarınızdaki tüm kullanıcıların ve müşteri kiracılarınızın çok faktörlü kimlik doğrulaması (MFA) için kayıtlı olduğundan ve gerekli olduğundan emin olun. MFA'yi yapılandırmanın çeşitli yolları vardır. Yapılandırdığınız kiracı için geçerli olan yöntemi seçin:
  • İş Ortağı Merkezim/Müşterimin kiracısı Microsoft Entra Id P1'e sahip
    • MFA'yı zorunlu kılmak için Koşullu Erişim'i kullanın.
  • İş Ortağı Merkezim/Müşterimin kiracısı Microsoft Entra Id P2'ye sahip
    • MFA'yı zorunlu kılmak için Koşullu Erişim'i kullanın.
    • Microsoft Entra Kimlik Koruması kullanarak risk tabanlı ilkeler uygulayın.
    • İş Ortağı Merkezi kiracınız için, İç Kullanım Hakları (IUR) avantajlarınıza bağlı olarak Microsoft 365 E3 veya E5'e hak kazanabilirsiniz. Bu SKU'lar sırasıyla Microsoft Entra ID P1 veya 2'yi içerir.
    • Müşterinizin kiracısı için güvenlik varsayılanlarını etkinleştirmenizi öneririz.
      • Müşteriniz eski kimlik doğrulaması gerektiren uygulamalar kullanıyorsa, güvenlik varsayılanlarını etkinleştirdikten sonra bu uygulamalar çalışmaz. Uygulama modern kimlik doğrulaması kullanacak şekilde değiştirilemiyor, kaldırılamıyor veya güncelleştirilemiyorsa, kullanıcı başına MFA aracılığıyla MFA'yı zorunlu kılabilirsiniz.
      • Aşağıdaki Graph API çağrısını kullanarak müşterinizin güvenlik varsayılanlarını kullanmasını izleyebilir ve uygulayabilirsiniz:
        • identitySecurityDefaultsEnforcementPolicy kaynak türü - Microsoft Graph v1.0 | Microsoft Learn
• Kullanılan MFA yönteminin kimlik avına dayanıklı olduğundan emin olun. Parolasız kimlik doğrulaması veya numara eşleştirme kullanarak bunu yapabilirsiniz.
• Müşteri MFA'yı kullanmayı reddederse, Microsoft Entra Id'ye yönetici rolü erişimi veya Azure Abonelikleri'ne yazma izinleri sağlamayın.

Uygulama erişimi

• Güvenli Uygulama Modeli çerçevesini benimseyin. İş Ortağı Merkezi API'leriyle tümleştiren tüm iş ortakları, tüm uygulama ve kullanıcı kimlik doğrulama modeli uygulamaları için Güvenli Uygulama Modeli çerçevesini benimsemelidir.
• İş Ortağı Merkezi Microsoft Entra kiracılarında kullanıcı onayınıdevre dışı bırakın veya yönetici onayı iş akışını kullanın.

En az ayrıcalık / Ayakta erişim yok

• Genel yönetici veya Güvenlik yöneticisi gibi Microsoft Entra yönetim rollerine sahip kullanıcılar bu hesapları düzenli olarak e-posta ve işbirliği için kullanmamalıdır. İşbirliği görevleri için Microsoft Entra yönetim rolleri olmadan ayrı bir kullanıcı hesabı oluşturun.
• Yönetici aracı grubunu gözden geçirin ve erişime ihtiyacı olmayan kişileri kaldırın.
• Microsoft Entra Id'de yönetici rolü erişimini düzenli olarak gözden geçirin ve erişimi mümkün olduğunca az hesapla sınırlayın. Daha fazla bilgi için bkz. Microsoft Entra yerleşik roller.
• Şirketten ayrılan veya şirket içindeki rolleri değiştiren kullanıcılar İş Ortağı Merkezi erişiminden kaldırılmalıdır.
• Microsoft Entra ID P2'niz varsa tam zamanında (JIT) erişimi zorunlu kılmak için Privileged Identity Management (PIM) kullanın. Microsoft Entra yönetici rolleri ve İş Ortağı Merkezi rolleri için erişimi gözden geçirmek ve onaylamak için çift gözetim kullanın.
• Ayrıcalıklı rollerin güvenliğini sağlamak için bkz . Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış.
• Müşteri ortamlarına erişimi düzenli olarak gözden geçirin.
  • Etkin Olmayan Temsilci Yönetici Dağıtım Ayrıcalıklarını (DAP) kaldırın.
  • GDAP ile ilgili sık sorulan sorular.
  • GDAP ilişkilerinin gereken en düşük ayrıcalıklara sahip rollerden yararlandığından emin olun.

Kimlik yalıtımı

• İş Ortağı Merkezi örneğinizi, e-posta ve işbirliği araçları gibi iç BT hizmetlerinizi barındıran aynı Microsoft Entra kiracısında barındırmaktan kaçının.
• Müşteri erişimi olan İş Ortağı Merkezi ayrıcalıklı kullanıcıları için ayrı, ayrılmış kullanıcı hesapları kullanın.
• Müşteri kiracısını ve ilgili uygulama ve hizmetleri yönetmek için iş ortakları tarafından kullanılması amaçlanan müşteri Microsoft Entra kiracılarında kullanıcı hesapları oluşturmaktan kaçının.

Cihazlar için en iyi yöntemler

• Yalnızca yönetilen güvenlik temelleri olan ve güvenlik riskleri için izlenen kayıtlı, iyi durumdaki iş istasyonlarından İş Ortağı Merkezi ve müşteri kiracı erişimine izin verin.
• Müşteri ortamlarına ayrıcalıklı erişimi olan İş Ortağı Merkezi kullanıcıları için, bu kullanıcıların müşteri ortamlarına erişmesi için ayrılmış iş istasyonları (sanal veya fiziksel) gerektirmeyi göz önünde bulundurun. Daha fazla bilgi için bkz . Ayrıcalıklı erişimin güvenliğini sağlama.

İzleme konusunda en iyi deneyimler

İş Ortağı Merkezi API’leri

• Tüm Denetim Masası satıcıları Güvenli uygulama modelini etkinleştirmeli ve her kullanıcı etkinliği için günlüğe kaydetmeyi açmalıdır.
• Denetim Masası satıcılar, uygulamada oturum açan her iş ortağı aracısının ve yapılan tüm eylemlerin denetlenmesi için etkinleştirilmelidir.

Oturum açma izleme ve denetleme

• Microsoft Entra ID P2 lisansına sahip iş ortakları, denetim ve oturum açma günlük verilerini 30 güne kadar tutmak için otomatik olarak uygun olur.

  Bunu onaylayın:

  • Denetim günlüğü, temsilci yönetici hesaplarının kullanıldığı yerdedir.
  • Günlükler, hizmet tarafından sağlanan en yüksek ayrıntı düzeyini yakalar.
  • Günlükler, anormal etkinliklerin algılanması için kabul edilebilir bir süre (30 güne kadar) saklanır.

  Ayrıntılı denetim günlüğü daha fazla hizmet satın almayı gerektirebilir. Daha fazla bilgi için bkz. Microsoft Entra ID raporlama verilerini ne kadar süreyle depolar?

• Genel yönetici rollerine sahip tüm kullanıcılar için Microsoft Entra Id içindeki parola kurtarma e-posta adreslerini ve telefon numaralarını düzenli olarak gözden geçirin ve doğrulayın ve gerekirse güncelleştirin.

  • Müşterinin kiracısının güvenliği aşıldıysa: CSP Doğrudan Fatura İş Ortağı, Dolaylı Sağlayıcı veya Dolaylı Satıcınız müşterinin kiracısında Yönetici istrator parola değişikliği isteğinde bulunan desteğe başvuramaz. Müşterinin Yönetici parolamı sıfırlama başlığındaki yönergeleri izleyerek Microsoft desteğini araması gerekir. Yönetici parolamı sıfırla konusunda, müşterilerin Microsoft Desteği aramak için kullanabileceği bir bağlantı vardır. Müşteriye, parolayı sıfırlamaya yardımcı olması için CSP'nin kiracısına artık erişimi olmadığını belirtmesini söyleyin. CSP, erişim yeniden elde edilene ve sorunlu taraflar kaldırılana kadar müşterinin aboneliklerini askıya almayı düşünmelidir.

• Denetim günlüğü en iyi yöntemlerini uygulayın ve temsilci yönetici hesapları tarafından gerçekleştirilen etkinliğin rutin gözden geçirmesini gerçekleştirin.

  • Microsoft Entra raporları nedir?
  • Azure İzleyici günlüklerini kullanarak etkinlik günlüklerini analiz etme
  • Microsoft Entra denetim etkinliği başvurusu

• İş ortakları, ortamları içindeki riskli kullanıcılar raporunu gözden geçirmeli ve yayımlanan yönergelere göre risk sunmak için algılanan hesapları ele almalıdır.

  • Riskleri düzeltme ve kullanıcıların engelini kaldırma
  • Microsoft Entra Kimlik Koruması ile kullanıcı deneyimleri

İlgili malzemeler

• Hizmet sorumlularını yönetmeye yönelik en iyi yöntemler için bkz . Microsoft Entra Id'de hizmet sorumlularının güvenliğini sağlama.
• İş ortağı güvenlik gereksinimleri
• Sıfır Güven kılavuz ilkeleri
• Müşteri güvenliği için en iyi yöntemler