Exigences de sécurité pour utiliser l’Espace partenaires ou les API de l’Espace partenaires

rôles appropriés: tous les utilisateurs de l’Espace partenaires

En tant qu’conseiller, fournisseur de panneau de configuration ou partenaire fournisseur de solutions cloud (CSP), vous avez des décisions à prendre en ce qui concerne les options d’authentification et d’autres considérations de sécurité.

Les protections et la sécurité de la confidentialité pour vous et vos clients sont parmi nos priorités principales. Nous savons que la meilleure défense est la prévention et que nous ne sommes que aussi forts que notre lien le plus faible. Nous avons besoin de tout le monde dans notre écosystème pour garantir que les protections de sécurité appropriées sont en place.

Exigences de sécurité obligatoires

Le programme CSP aide les clients à acheter des produits et services Microsoft par le biais de partenaires. Conformément à leur contrat avec Microsoft, les partenaires sont tenus de gérer l’environnement et de fournir un support aux clients auxquels ils vendent.

Les clients qui achètent par le biais de ce canal, placent leur confiance en vous en tant que partenaire, car vous disposez d’un accès administrateur à privilège élevé au locataire client.

Les partenaires qui n’implémentent pas les exigences de sécurité obligatoires ne peuvent pas effectuer de transactions dans le programme CSP. Ils ne peuvent pas non plus gérer les locataires clients qui utilisent des droits d’administrateur délégués. En outre, les partenaires qui ne mettent pas en œuvre les exigences de sécurité peuvent mettre leur participation aux programmes en danger.

Les conditions associées aux exigences de sécurité du partenaire sont ajoutées au Contrat partenaire Microsoft. Le Contrat partenaire Microsoft (MPA) est mis à jour régulièrement et Microsoft recommande à tous les partenaires de revenir régulièrement. En ce qui concerne les conseillers, les mêmes exigences contractuelles sont en place.

Tous les partenaires doivent respecter les meilleures pratiques de sécurité afin qu’ils puissent sécuriser les environnements partenaires et clients. Ces bonnes pratiques vous aident à atténuer les problèmes de sécurité, à corriger les escalades de sécurité et à garantir que l’approbation de vos clients n’est pas compromise.

Pour vous protéger et vos clients, vous devez effectuer immédiatement les actions suivantes :

• Activer l’authentification multifacteur pour tous les comptes d’utilisateur
• Adopter l’infrastructure de modèle d’application sécurisé

Activer l'utilisation de l’authentification multifacteur pour tous les comptes d’utilisateur de votre tenant partenaire.

Vous devez appliquer l’authentification multifacteur (MFA) sur tous les comptes d’utilisateur de vos locataires partenaires. L’authentification multifacteur défie les utilisateurs lorsqu’ils :

• Connectez-vous aux services cloud commerciaux Microsoft.
• Effectuez des transactions dans le programme Fournisseur de solutions cloud via l’Espace partenaires.
• Effectuez des transactions par le biais d’API.

La mise en application de l’authentification multifacteur suit les directives suivantes :

• Partenaires qui utilisent l’authentification multifacteur Microsoft Entra prise en charge par Microsoft. Pour plus d’informations, consultez Plusieurs façons d’activer l’authentification multifacteur Microsoft Entra.

Pour plus d’informations, consultez Mandat d’authentification multifacteur pour votre locataire partenaire.

Adopter l’infrastructure de modèle d’application sécurisé

Tous les partenaires qui s’intègrent aux API de l’Espace partenaires doivent adopter l’infrastructure de modèle d’application sécurisé pour toutes les applications de modèle d’authentification utilisateur et d’application.

Ces exigences de sécurité aident à protéger votre infrastructure et à protéger les données de vos clients contre les risques de sécurité potentiels, tels que l’identification du vol ou d’autres incidents de fraude.

Autres exigences de sécurité

Les clients vous font confiance, en tant que partenaire, pour fournir des services à valeur ajoutée. Il est impératif que vous preniez toutes les mesures de sécurité pour protéger la confiance du client et votre réputation de partenaire.

Microsoft continue d’ajouter des mesures d’application afin que les partenaires soient tenus de respecter et de hiérarchiser la sécurité de leurs clients. Ces exigences de sécurité aident à protéger votre infrastructure et à protéger les données de vos clients contre les risques de sécurité potentiels, tels que l’identification du vol ou d’autres incidents de fraude.

Les partenaires doivent s’assurer qu’ils adoptent les principes de confiance zéro, comme décrit dans les sections suivantes.

Privilèges d’administrateur délégué granulaires

Les fonctionnalités de GDAP aident les partenaires à contrôler l’accès aux charges de travail de leurs clients afin de mieux répondre à leurs préoccupations. Les partenaires peuvent offrir davantage de services aux clients qui peuvent être mal à l’aise avec les niveaux actuels d’accès aux partenaires. Ils peuvent également offrir des services aux clients ayant des besoins réglementaires qui nécessitent un accès au moins privilégié aux partenaires.

GDAP est une fonctionnalité de sécurité qui fournit aux partenaires un accès sans privilèges après le protocole de cybersécurité Confiance Zéro. Il permet aux partenaires de configurer un accès granulaire et limité au temps aux charges de travail de leurs clients dans les environnements de production et de bac à sable. Les clients doivent accorder explicitement l’accès le moins privilégié à leurs partenaires.

Pour plus d’informations, consultez la vue d’ensemble des privilèges d’administrateur délégué granulaires (GDAP), des informations sur les rôles à privilèges minimum et la FAQ sur le GDAP

Surveiller les notifications de fraude Azure

En tant que partenaire du programme CSP, vous êtes responsable de la consommation Azure de votre client. Il est donc important que vous connaissiez toutes les activités potentielles d’exploration de données de crypto-monnaie dans les abonnements Azure de vos clients. Cette sensibilisation vous aide à prendre des mesures immédiates pour déterminer si le comportement est légitime ou frauduleux. Si nécessaire, vous pouvez ensuite suspendre les ressources Azure affectées ou l’abonnement Azure pour atténuer le problème.

Pour plus d’informations, consultez la détection et la notification de fraude Azure.

S’inscrire à Microsoft Entra ID P2

Tous les agents d’administration du locataire CSP doivent renforcer leur cybersécurité en implémentant Microsoft Entra ID P2 et tirer parti des différentes fonctionnalités pour renforcer votre locataire CSP. Microsoft Entra ID P2 fournit un accès étendu aux journaux de connexion et aux fonctionnalités Premium telles que Microsoft Entra Privileged Identity Management (PIM) et les fonctionnalités d’accès conditionnel basé sur les risques pour renforcer les contrôles de sécurité.

Adhérer aux meilleures pratiques de sécurité CSP

Il est important de suivre toutes les bonnes pratiques csp en matière de sécurité. En savoir plus sur les bonnes pratiques de sécurité du fournisseur de solutions cloud.

Implémentation de l’authentification multifacteur

Pour respecter les exigences de sécurité des partenaires, vous devez implémenter et appliquer l’authentification multifacteur pour chaque compte d’utilisateur de votre locataire partenaire. Vous pouvez procéder de l'une des manières suivantes :

• Implémentez les paramètres de sécurité Microsoft Entra par défaut. Pour plus d’informations, consultez la section suivante, valeurs par défaut de sécurité.
• Achetez l’ID Microsoft Entra P1 ou P2 pour chaque compte d’utilisateur. Pour plus d’informations, consultez Planifier un déploiement d’authentification multifacteur Microsoft Entra.

Paramètres de sécurité par défaut

L’une des options que les partenaires peuvent utiliser pour implémenter des exigences MFA consiste à activer les paramètres de sécurité par défaut dans Microsoft Entra ID. Les valeurs par défaut de sécurité offrent un niveau de sécurité de base sans coût supplémentaire. Passez en revue comment activer l’authentification multifacteur pour votre organisation avec l’ID Microsoft Entra. Voici quelques considérations clés avant d’activer les valeurs par défaut de sécurité.

• Les partenaires qui ont déjà adopté des stratégies de référence doivent prendre des mesures pour passer aux valeurs par défaut de sécurité.
• Les valeurs par défaut de sécurité sont le remplacement des politiques de base d’aperçu disponibles généralement. Une fois qu’un partenaire active les paramètres de sécurité par défaut, il ne peut pas activer les stratégies de référence.
• Les stratégies par défaut de sécurité sont activées en même temps.
• Les partenaires qui utilisent l’accès conditionnel ne peuvent pas utiliser les paramètres de sécurité par défaut.
• Les protocoles d’authentification hérités sont bloqués.
• Le compte de synchronisation Microsoft Entra Connect est exclu des paramètres de sécurité par défaut et n’est pas invité à s’inscrire ou à effectuer une authentification multifacteur. Les organisations ne doivent pas utiliser ce compte à d’autres fins.

Pour plus d’informations, consultez Vue d’ensemble de l’authentification multifacteur Microsoft Entra pour votre organisation et Quelles sont les valeurs par défaut de sécurité ?.

Questions fréquentes (FAQ) sur l’implémentation

Étant donné que ces exigences s’appliquent à tous les comptes d’utilisateur de votre locataire partenaire, vous devez prendre en compte plusieurs éléments pour garantir un déploiement fluide. Par exemple, identifiez les comptes d’utilisateur dans l’ID Microsoft Entra qui ne peuvent pas effectuer d’authentification multifacteur, ainsi que les applications et les appareils de votre organisation qui ne prennent pas en charge l’authentification moderne.

Avant d’effectuer une action, nous vous recommandons d’effectuer les validations suivantes.

Avez-vous une application ou un appareil qui ne prend pas en charge l’utilisation de l’authentification moderne ?

Lorsque vous appliquez l’authentification MFA, les authentifications héritées qui utilisent IMAP, POP3, SMTP, les protocoles sont bloqués. C’est parce que ces protocoles ne prennent pas en charge l’authentification multifacteur. Pour corriger cette limitation, utilisez la fonctionnalité de mots de passe d’application pour vous assurer que l’application ou l’appareil s’authentifie toujours. Passez en revue les considérations relatives à l’utilisation des mots de passe d’application pour déterminer si vous pouvez les utiliser dans votre environnement.

Avez-vous des utilisateurs Office 365 disposant de licences associées à votre locataire partenaire ?

Avant d’implémenter une solution, nous vous recommandons de déterminer les versions de Microsoft Office que les utilisateurs de votre locataire partenaire utilisent. Il est possible que vos utilisateurs puissent rencontrer des problèmes de connectivité avec des applications telles qu’Outlook. Avant d’appliquer l’authentification multifacteur, il est important de vous assurer que vous utilisez Outlook 2013 SP1 ou version ultérieure et que votre organisation a activé l’authentification moderne. Pour plus d’informations, consultez Activer l’authentification moderne dans Exchange Online.

Pour activer l’authentification moderne pour les appareils qui exécutent Windows et que Microsoft Office 2013 est installé, vous devez créer deux clés de Registre. Voir Activer l’authentification moderne pour Office 2013 sur les appareils Windows.

Existe-t-il une stratégie empêchant l’un de vos utilisateurs d’utiliser leurs appareils mobiles tout en travaillant ?

Il est important d’identifier toute stratégie d’entreprise qui empêche les employés d’utiliser des appareils mobiles tout en travaillant, car elle influence la solution MFA que vous implémentez. Il existe des solutions, telles que celles fournies par le biais de l’implémentation des paramètres de sécurité Microsoft Entra par défaut, qui autorisent uniquement l’utilisation d’une application d’authentificateur pour la vérification. Si votre organisation dispose d’une stratégie empêchant l’utilisation d’appareils mobiles, envisagez l’une des options suivantes :

• Déployez une application de mot de passe de base à usage unique (TOTP) basée sur le temps qui peut s’exécuter sur un système sécurisé.

Quelle automatisation ou intégration avez-vous pour authentifier les informations d'identification des utilisateurs ?

L’application de l’authentification multifacteur pour les utilisateurs, y compris les comptes de service, dans votre annuaire partenaire, peut affecter toute automatisation ou intégration qui utilise des informations d’identification utilisateur pour l’authentification. Il est donc important d’identifier les comptes utilisés dans ces situations. Consultez la liste suivante d’exemples d’applications ou de services à prendre en compte :

• Utilisez un panneau de configuration pour préparer des ressources pour le compte de vos clients.
• Intégrez à n’importe quelle plateforme qui facture (telle qu’elle est liée au programme CSP) et prend en charge vos clients.
• Utilisez des scripts PowerShell qui utilisent les applets de commande Az, AzureRM, Microsoft Graph PowerShell et d’autres modules.

Cette liste n’est pas complète. Il est donc important d’effectuer une évaluation complète de n’importe quelle application ou service dans votre environnement qui utilise les informations d’identification de l’utilisateur pour l’authentification. Pour faire face à l’exigence de l’authentification multifacteur, utilisez les instructions de l’infrastructure du modèle d’application sécurisé , le cas échéant.

Accéder à votre environnement

Pour mieux comprendre ce qui ou qui s’authentifie sans défi MFA, nous vous recommandons de passer en revue l’activité de connexion. Avec Microsoft Entra ID P1 ou P2, vous pouvez utiliser le rapport de connexion. Pour plus d’informations, consultez les rapports d’activité de connexion dans le Centre d’administration Microsoft Entra. Si vous n’avez pas Microsoft Entra ID P1 ou P2, ou si vous avez besoin d’un moyen d’obtenir une activité de connexion via PowerShell, utilisez l’applet de commande Get-PartnerUserSignActivity à partir du module Partner Center PowerShell.

Comment les exigences sont appliquées

Si une organisation partenaire a reçu une exception pour l’authentification multifacteur, les exceptions sont respectées uniquement si les utilisateurs qui gèrent les locataires clients dans le cadre du programme Fournisseur de solutions cloud les ont activés avant le 1er mars 2022. La non-conformité aux exigences de l’authentification multifacteur peut entraîner la perte d’accès client client.

Microsoft Entra ID et l’Espace partenaires appliquent les exigences de sécurité des partenaires en vérifiant la présence de la revendication MFA pour identifier que la vérification MFA a lieu. À compter du 18 novembre 2019, Microsoft a activé davantage de garanties de sécurité, précédemment appelées « mesures techniques », pour les locataires partenaires.

Au moment de l’activation, les utilisateurs du locataire partenaire sont invités à effectuer la vérification MFA lorsqu’ils effectuent des opérations d’administrateur au nom de (AOBO). Les utilisateurs doivent également effectuer la vérification MFA lorsqu’ils accèdent à l’Espace partenaires ou appellent les API de l’Espace partenaires. Pour plus d’informations, consultez Mandat d’authentification multifacteur pour votre locataire partenaire.

Les partenaires qui ne répondent pas aux exigences doivent mettre en œuvre ces mesures dès que possible pour éviter toute interruption de l’activité. Si vous utilisez l’authentification multifacteur Microsoft Entra ou les valeurs par défaut de sécurité Microsoft Entra, vous n’avez pas besoin d’effectuer d’autres actions.

Si vous utilisez une solution MFA non-Microsoft, il est possible que la revendication MFA ne soit pas émise. Lorsque la revendication est manquante, l’ID Microsoft Entra ne peut pas déterminer si la demande d'authentification inclut un défi MFA. Pour plus d’informations sur la façon de vérifier que votre solution émet la revendication attendue, consultez Les exigences de sécurité des partenaires de test.

Ressources et exemples

Consultez les ressources suivantes pour l'assistance et les exemples de code :

• Communauté du groupe de conseils de sécurité du Centre des partenaires : La communauté du groupe de conseils de sécurité du Centre des partenaires est une communauté en ligne où vous pouvez découvrir les événements à venir et poser vos questions.
• Exemples .NET du Centre de Partenaires : ce référentiel GitHub contient des exemples développés à l’aide de .NET qui illustrent comment implémenter l’infrastructure Secure Application Model.
• Exemples Java du Centre Partenaire : ce référentiel GitHub contient des exemples développés à l’aide de Java qui montrent comment implémenter le framework Secure Application Model.
• Espace partenaires PowerShell - Authentification multifacteur : cet article d’authentification multifacteur fournit des détails sur la façon d’implémenter l’infrastructure de modèle d’application sécurisé à l’aide de PowerShell.
• Fonctionnalités et licences pour l’authentification multifacteur Microsoft Entra
• Planifier un déploiement multifacteur Microsoft Entra
• Tester les exigences de sécurité du partenaire à l’aide de PowerShell

Contenu connexe

• Mandater l’authentification multifacteur pour votre locataire partenaire