Freigeben über

Sicherheitsanforderungen für die Verwendung von Partner Center- oder Partner Center-APIs

Geeignete Rollen: Alle Partner Center-Benutzer

Als Berater, Systemsteuerungsanbieter oder Cloud Solution Provider (CSP)-Partner haben Sie Entscheidungen zu Authentifizierungsoptionen und anderen Sicherheitsüberlegungen zu treffen.

Datenschutzgarantien und -sicherheit für Sie und Ihre Kunden gehören zu unseren wichtigsten Prioritäten. Wir wissen, dass die beste Verteidigung Prävention ist und dass wir nur so stark wie unsere schwächste Verbindung sind. Wir brauchen alle in unserem Ökosystem, um einen angemessenen Sicherheitsschutz zu gewährleisten.

Obligatorische Sicherheitsanforderungen

Das CSP-Programm hilft Kunden, Microsoft-Produkte und -Dienste über Partner zu kaufen. Gemäß ihrer Vereinbarung mit Microsoft sind Partner verpflichtet, die Umgebung zu verwalten und den Kunden, an die sie verkaufen, Unterstützung zu bieten.

Kunden, die über diesen Kanal kaufen, setzen ihr Vertrauen in Sie als Partner, da Sie über hoch privilegierten Administratorrechtezugriff auf den Mandant des Kunden verfügen.

Partner, die die obligatorischen Sicherheitsanforderungen nicht implementieren, können keine Transaktionen im CSP-Programm durchführen. Sie können auch keine Kundenmandanten verwalten, die delegierte Administratorrechte verwenden. Darüber hinaus können Partner, die die Sicherheitsanforderungen nicht implementieren, ihre Teilnahme an Programmen gefährden.

Die Bedingungen, die den Partnersicherheitsanforderungen zugeordnet sind, werden dem Microsoft Partner Agreement hinzugefügt. Die Microsoft Partner Agreement (MPA) wird regelmäßig aktualisiert, und Microsoft empfiehlt, dass alle Partner regelmäßig zurückschauen. Im Zusammenhang mit Beratern sind dieselben vertraglichen Anforderungen vorhanden.

Alle Partner müssen die bewährten Sicherheitsmethoden einhalten, damit sie Partner- und Kundenumgebungen sichern können. Diese bewährten Methoden helfen Ihnen, Sicherheitsprobleme zu beheben, Sicherheitseskalationen zu beheben und sicherzustellen, dass das Vertrauen Ihrer Kunden nicht kompromittiert wird.

Um Sie und Ihre Kunden zu schützen, müssen Sie sofort die folgenden Aktionen ausführen:

Aktivieren Sie MFA für alle Benutzerkonten in Ihrem Partnermandanten

Sie müssen die Multifaktor-Authentifizierung (MFA) für alle Benutzerkonten in Ihren Partnermandanten erzwingen. MFA fordert Benutzer heraus, wenn sie:

  • Melden Sie sich bei kommerziellen Microsoft-Clouddiensten an.
  • Transact im Programm für Cloud-Lösungsanbieter über Partner Center.
  • Transaktionen mithilfe von APIs durchführen.

Die Durchsetzung von MFA erfolgt nach diesen Leitlinien:

Weitere Informationen finden Sie unter Mandat für die mehrstufige Authentifizierung für Ihren Partnermandanten.

Übernehmen Sie das Secure Application Model-Framework

Alle Partner, die in Partner Center-APIs integriert sind, müssen das Secure Application Model Framework für alle Anwendungen und Benutzerauthentifizierungsmodellanwendungen übernehmen.

Von Bedeutung

Es wird dringend empfohlen, dass Partner das sichere Anwendungsmodell implementieren, um es in eine Microsoft-API zu integrieren, z. B. Azure Resource Manager oder Microsoft Graph. Darüber hinaus sollten Partner das sichere Anwendungsmodell implementieren, wenn sie Automatisierung nutzen, z. B. PowerShell mithilfe von Kundenanmeldeinformationen, um Unterbrechungen zu vermeiden, wenn sie MFA erzwingen.

Diese Sicherheitsanforderungen tragen dazu bei, Ihre Infrastruktur zu schützen und die Daten Ihrer Kunden vor potenziellen Sicherheitsrisiken zu schützen, z. B. Diebstahl oder andere Betrugsvorfälle.

Weitere Sicherheitsanforderungen

Kunden vertrauen Ihnen als Partner, um Mehrwertdienste bereitzustellen. Es ist zwingend erforderlich, dass Sie alle Sicherheitsmaßnahmen ergreifen, um das Vertrauen des Kunden und Ihren Ruf als Partner zu schützen.

Microsoft fügt weiterhin Durchsetzungsmaßnahmen hinzu, damit Partner die Sicherheit ihrer Kunden einhalten und priorisieren müssen. Diese Sicherheitsanforderungen tragen dazu bei, Ihre Infrastruktur zu schützen und die Daten Ihrer Kunden vor potenziellen Sicherheitsrisiken zu schützen, z. B. Diebstahl oder andere Betrugsvorfälle.

Partner müssen sicherstellen, dass sie die Prinzipien von Zero Trust übernehmen, wie in den folgenden Abschnitten beschrieben.

Granulare delegierte Administratorrechte

GdAP-Funktionen helfen Partnern, den Zugriff auf die Arbeitslasten ihrer Kunden zu steuern, um ihre Bedenken besser zu beheben. Partner können Kunden, die sich möglicherweise mit den aktuellen Zugangsstufen durch Partner unwohl fühlen, zusätzliche Dienstleistungen anbieten. Sie können Kunden auch Dienstleistungen mit gesetzlichen Anforderungen anbieten, die den geringsten Privilegierten Zugriff auf Partner erfordern.

GDAP ist ein Sicherheitsfeature, das Partnern den geringsten Privilegierten Zugriff nach dem Zero Trust-Cybersicherheitsprotokoll bietet. Damit können Partner präzisen und zeitgebundenen Zugriff auf die Arbeitslasten ihrer Kunden in Produktions- und Sandkastenumgebungen konfigurieren. Kunden müssen ihren Partnern explizit den am wenigsten privilegierten Zugriff gewähren.

Weitere Informationen finden Sie in der Übersicht über die granularen delegierten Administratorrechte (GDAP), Informationen zu rollen mit den geringsten Rechten und häufig gestellte Fragen (GDAP)

Überwachen von Azure-Betrugsbenachrichtigungen

Als Partner im CSP-Programm sind Sie für den Azure-Verbrauch Ihres Kunden verantwortlich, daher ist es wichtig, dass Sie alle potenziellen Krypto-Mining-Aktivitäten in den Azure-Abonnements Ihrer Kunden kennen. Dieses Bewusstsein hilft Ihnen, sofortige Maßnahmen zu ergreifen, um festzustellen, ob das Verhalten legitim oder betrügerisch ist. Bei Bedarf können Sie die betroffenen Azure-Ressourcen oder das Azure-Abonnement aussetzen, um das Problem zu beheben.

Weitere Informationen finden Sie unter Azure-Betrugserkennung und -benachrichtigung.

Registrieren für Microsoft Entra ID P2

Alle Administrator-Agents im CSP-Mandanten sollten ihre Cybersicherheit stärken, indem sie Microsoft Entra ID P2 implementieren und die verschiedenen Funktionen nutzen, um den CSP-Mandanten zu stärken. Microsoft Entra ID P2 bietet erweiterten Zugriff auf Anmeldeprotokolle und Premium-Features wie Microsoft Entra Privileged Identity Management (PIM) und risikobasierte Funktionen für bedingten Zugriff, um Sicherheitskontrollen zu stärken.

Einhaltung bewährter Methoden für CSP-Sicherheit

Es ist wichtig, alle bewährten CSP-Methoden für die Sicherheit zu befolgen. Weitere Informationen finden Sie unter bewährten Methoden für Cloud Solution Provider Security.

Implementieren der mehrstufigen Authentifizierung

Um die Sicherheitsanforderungen des Partners zu erfüllen, müssen Sie MFA für jedes Benutzerkonto in Ihrem Partnermandanten implementieren und erzwingen. Sie können dies auf eine der folgenden Arten tun:

Sicherheitsstandards

Eine der Optionen, mit denen Partner MFA-Anforderungen implementieren können, besteht darin, Sicherheitsstandardwerte in Microsoft Entra ID zu aktivieren. Sicherheitsstandardwerte bieten ein grundlegendes Sicherheitsniveau ohne zusätzliche Kosten. Überprüfen Sie, wie Sie MFA für Ihre Organisation mit der Microsoft Entra-ID aktivieren. Im Folgenden finden Sie einige wichtige Überlegungen, bevor Sie Sicherheitsstandardwerte aktivieren.

  • Partner, die bereits Basisrichtlinien angenommen haben, müssen Maßnahmen ergreifen, um zu Sicherheitsstandardeinstellungen zu wechseln.
  • Sicherheitseinstellungen werden in der allgemeinen Verfügbarkeit als Ersatz für die Vorschau-Richtlinien angeboten. Nachdem ein Partner die Sicherheitsstandardwerte aktiviert hat, können sie keine Basisrichtlinien aktivieren.
  • Sicherheitsstandardrichtlinien werden gleichzeitig aktiviert.
  • Partner, die bedingten Zugriff verwenden, können keine Sicherheitsstandardwerte verwenden.
  • Ältere Authentifizierungsprotokolle werden blockiert.
  • Das Microsoft Entra Connect-Synchronisierungskonto wird von den Sicherheitsstandardeinstellungen ausgeschlossen und wird nicht aufgefordert, sich für die mehrstufige Authentifizierung zu registrieren oder auszuführen. Organisationen sollten dieses Konto nicht für andere Zwecke verwenden.

Weitere Informationen finden Sie unter Übersicht über die mehrstufige Microsoft Entra-Authentifizierung für Ihre Organisation und was sind Sicherheitsstandardwerte?.

Hinweis

Microsoft Entra-Sicherheitsstandardwerte sind die vereinfachte Weiterentwicklung der grundlegenden Schutzrichtlinien. Wenn Sie die Baseline-Schutzrichtlinien bereits aktiviert haben, wird dringend empfohlen, Sicherheitsstandards zu aktivieren.

Häufig gestellte Fragen zur Implementierung (FAQ)

Da diese Anforderungen für alle Benutzerkonten in Ihrem Partnermandanten gelten, müssen Sie mehrere Dinge berücksichtigen, um eine reibungslose Bereitstellung sicherzustellen. Identifizieren Sie beispielsweise Benutzerkonten in der Microsoft Entra-ID, die keine MFA ausführen können, und Anwendungen und Geräte in Ihrer Organisation, die die moderne Authentifizierung nicht unterstützen.

Bevor Sie eine Aktion ausführen, empfehlen wir, die folgenden Überprüfungen abzuschließen.

Verfügen Sie über eine Anwendung oder ein Gerät, die die Verwendung moderner Authentifizierung nicht unterstützt?

Wenn Sie MFA erzwingen, werden ältere Authentifizierungen, die IMAP, POP3, SMTP, Protokolle verwenden, blockiert. Dies liegt daran, dass diese Protokolle keine MFA unterstützen. Um diese Einschränkung zu beheben, verwenden Sie das App-Kennwortfeature , um sicherzustellen, dass sich die Anwendung oder das Gerät weiterhin authentifiziert. Überprüfen Sie Überlegungen zur Verwendung von App-Kennwörtern , um festzustellen, ob Sie sie in Ihrer Umgebung verwenden können.

Verfügen Sie über Office 365-Benutzer mit Lizenzen, die Ihrem Partnermandanten zugeordnet sind?

Bevor Sie eine Lösung implementieren, empfiehlt es sich, zu bestimmen, welche Versionen von Microsoft Office die Benutzer in Ihrem Partnermandanten verwenden. Es besteht die Möglichkeit, dass Ihre Benutzer Verbindungsprobleme mit Anwendungen wie Outlook haben können. Bevor Sie MFA erzwingen, ist es wichtig, sicherzustellen, dass Sie Outlook 2013 SP1 oder höher verwenden und dass Ihre Organisation die moderne Authentifizierung aktiviert hat. Weitere Informationen finden Sie unter Aktivieren der modernen Authentifizierung in Exchange Online.

Um die moderne Authentifizierung für Geräte zu aktivieren, auf denen Windows ausgeführt wird und Microsoft Office 2013 installiert ist, müssen Sie zwei Registrierungsschlüssel erstellen. Siehe Aktivieren der modernen Authentifizierung für Office 2013 auf Windows-Geräten.

Gibt es eine Richtlinie, die verhindert, dass Benutzer ihre mobilen Geräte während der Arbeit verwenden?

Es ist wichtig, alle Unternehmensrichtlinien zu identifizieren, die verhindern, dass Mitarbeiter mobile Geräte verwenden, während sie arbeiten, da sie einflussen, welche MFA-Lösung Sie implementieren. Es gibt Lösungen, z. B. die durch die Implementierung von Microsoft Entra-Sicherheitsstandardeinstellungen bereitgestellte, die nur die Verwendung einer Authentifikator-App zur Überprüfung zulassen. Wenn Ihre Organisation über eine Richtlinie verfügt, die die Verwendung mobiler Geräte verhindert, sollten Sie eine der folgenden Optionen in Betracht ziehen:

  • Stellen Sie eine zeitbasierte Einmalige Basiskennwortanwendung (TOTP) bereit, die auf sicherem System ausgeführt werden kann.

Welche Automatisierung oder Integration haben Sie, um Benutzerdaten zur Anmeldung zu authentifizieren?

Die MFA-Erzwingung für Benutzer, einschließlich Dienstkonten, in Ihrem Partnerverzeichnis kann sich auf jede Automatisierung oder Integration auswirken, die Benutzeranmeldeinformationen für die Authentifizierung verwendet. Daher ist es wichtig zu identifizieren, welche Konten in diesen Situationen verwendet werden. Sehen Sie sich die folgende Liste der Beispielanwendungen oder Dienste an, die Sie berücksichtigen sollten:

  • Verwenden Sie eine Systemsteuerung, um Ressourcen im Auftrag Ihrer Kunden vorzubereiten.
  • Integrieren Sie sich in jede Plattform, die Rechnungen im Zusammenhang mit dem CSP-Programm stellt und Ihre Kunden unterstützt.
  • Verwenden Sie PowerShell-Skripts, die die Az-Cmdlets, AzureRM, Microsoft Graph PowerShell und andere Module verwenden.

Diese Liste ist nicht vollständig, daher ist es wichtig, eine vollständige Bewertung aller Anwendungen oder Dienste in Ihrer Umgebung durchzuführen, die Benutzeranmeldeinformationen für die Authentifizierung verwenden. Um die Anforderungen für MFA zu erfüllen, nutzen Sie nach Möglichkeit den Leitfaden im Secure Application Model Framework.

Auf Umgebungen zugreifen

Um besser zu verstehen, was oder wer sich ohne MFA-Herausforderung authentifiziert, empfehlen wir, die Anmeldeaktivität zu überprüfen. Über die Microsoft Entra ID P1 oder P2 können Sie den Anmeldebericht verwenden. Weitere Informationen finden Sie in den Anmeldeaktivitätsberichten im Microsoft Entra Admin Center. Wenn Sie nicht über Microsoft Entra ID P1 oder P2 verfügen oder eine Möglichkeit zum Abrufen von Anmeldeaktivitäten über PowerShell benötigen, verwenden Sie das Cmdlet Get-PartnerUserSignActivity aus dem Partner Center PowerShell-Modul .

Wie die Anforderungen erzwungen werden

Wenn einer Partnerorganisation eine Ausnahme für MFA gewährt wurde, werden die Ausnahmen nur berücksichtigt, wenn die Benutzer, die Kundenmandanten im Rahmen des Cloud Solution Provider-Programms verwalten, sie vor dem 1. März 2022 aktiviert haben. Die Nichteinhaltung der MFA-Anforderungen kann zu einem Verlust des Kundenmandantenzugriffs führen.

Microsoft Entra ID und Partner Center erzwingen die Sicherheitsanforderungen für Partner, indem überprüft wird, ob der MFA-Anspruch vorhanden ist, um festzustellen, ob die MFA-Überprüfung erfolgt. Seit dem 18. November 2019 hat Microsoft zusätzliche Sicherheitsmaßnahmen aktiviert, die zuvor unter der Bezeichnung "technische Durchsetzung" für Partner-Mandanten bekannt waren.

Zum Zeitpunkt der Aktivierung werden Benutzer im Partnermandanten dazu aufgefordert, die MFA-Authentifizierung abzuschließen, wenn sie im Auftrag von AOBO administrative Vorgänge ausführen. Benutzer müssen auch die MFA-Überprüfung abschließen, wenn sie auf die Partner Center- oder Call Partner Center-APIs zugreifen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Ihren Partner-Mandant vorschreiben.

Partner, die die Anforderungen nicht erfüllen, sollten diese Maßnahmen so bald wie möglich implementieren, um Geschäftsunterbrechungen zu vermeiden. Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung oder microsoft Entra-Sicherheitsstandards verwenden, müssen Sie keine anderen Aktionen ausführen.

Wenn Sie eine nicht von Microsoft stammende MFA-Lösung verwenden, besteht die Möglichkeit, dass der MFA-Anspruch möglicherweise nicht ausgestellt wird. Wenn der Anspruch fehlt, kann Microsoft Entra ID nicht bestimmen, ob MFA die Authentifizierungsanforderung herausfordert. Informationen zum Überprüfen, ob ihre Lösung den erwarteten Anspruch ausgibt, finden Sie unter Testen der Sicherheitsanforderungen für Partner.

Von Bedeutung

Wenn Ihre Nicht-Microsoft-Lösung den erwarteten Anspruch nicht ausgibt, arbeiten Sie mit dem Anbieter zusammen, der die Lösung entwickelt hat, um zu bestimmen, welche Aktionen ausgeführt werden sollen.

Ressourcen und Beispiele

In den folgenden Ressourcen finden Sie Unterstützungs- und Beispielcode:

Verwandte Inhalte

  • Last updated on