未払い、不正行為、誤用
適用対象: パートナー センター | Microsoft Cloud for US Government のパートナー センター
対象のロール: グローバル管理者 | ユーザー管理の管理者 | 管理エージェント | 課金管理者
直接請求 CSP と間接 CSP は、顧客と顧客による購入済みサービスの未払いによる不正な購入に対して財務的に責任を負うため、クラウド ソリューション プロバイダー (CSP) パートナーが厳格な不正行為防止と検出リスク軽減コントロールを実装することを強くお勧。 Microsoft Partner Agreement (MPA) に署名することで、CSP はポリシーの条項に従うことに同意し、Azure の不正行為と未払いに関する Microsoft のポリシーでは、パートナー ポータル アカウントのいずれかで発生した不正なアクティビティに対してパートナーに金銭的責任を負う必要があります。
不正行為や誤用を回避したり、それらに対処したりするには、潜在的なリスクを理解し、パートナーの露出を減らすことができるポリシーとプラクティスを開発することが重要です。 この記事では、次のアクティビティに焦点を当てます。
オンライン リスクを軽減するためのその他の戦略については、 オンライン トランザクション リスク管理ガイドを参照してください。
Microsoft は、市場で競争力を確保するために、ポリシーとプラットフォームを定期的に評価しています。 その取り組みの一環として、2023 年 4 月 1 日以降に個々の Azure 顧客テナントで発生する不正なアクティビティについて、CSP の新しいコマース エクスペリエンスに例外要求プロセスを追加しています。
Microsoft は、新しいコマース プラットフォーム サブスクリプションの検証済みアカウント侵害の初回インスタンスについて、限られた 1 回限りの随意クレジットをレビューし、提供する場合があります。 要求は、顧客テナント ID ごとに 1 回だけ送信できます。
レビューの対象となるには、影響を受けるパートナーは、アクティビティが検出された日時に関係なく、最初の使用日から 60 日以内に Azure portal を通じて払い戻し要求サポート チケットを提出する必要があります。
2024 年 9 月から、レビューの対象となるためには、影響を受けるパートナーは、CSP テナント上のすべての管理ユーザー (不正なアクティビティが開始された時点) に対して多要素認証 (MFA) も有効になっている必要があります。
Microsoft は、通常のビジネス アクティビティの一環として、これらのインシデントに起因するセキュリティ リスクに対処し、軽減することをパートナーに期待しています。
サービスの不正使用リスク
サービスの不正使用 リスクは、Microsoft の許容される使用ポリシーに違反してクラウド サービスを使用しているお客様です。
サービスの不正使用の例
Microsoft の許容される使用ポリシーの違反の例を次に示します。
- 暗号化マイニング (Microsoft による事前の書面による承認なし)
- スパム行為
- ハッキング
- 分散型サービス拒否 (DDoS) 攻撃
- マルウェアの配布
- 海賊版サブスクリプションの再販
サービスの盗難リスク
サービスの盗難 リスクは、消費されたサービスに対して支払う意図がないお客様です。 この盗難には、盗まれた支払い方法の使用、誤った課金情報の提供、未払い残高の既定値の設定が含まれる場合があります。
サービス盗難の例
オンライン トランザクション リスクの例を次に示します。
- 対面で行わないトランザクション ("クレジット カードが存在しない" トランザクションなど)
- 誤って表現された ID
- サービスのプロビジョニングおよび使用が最初の支払い受領前に発生すること
- オンライン詐欺の新興市場またはリスクの高い地域
- 不適切なアクターによるアカウントの作成と購入の自動化
オンライン リスクの管理
パートナーは、次の推奨事項を使用して、顧客関係におけるオンライン トランザクション リスクへの露出を減らすためのポリシーとプラクティスを開発するのに役立ちます。
新しい顧客のオンボード
新規顧客をオンボードするときにオンライン リスクを軽減するための推奨事項は、次のとおりです。
- 可能な場合は、顧客との個人的な関係を確立します (たとえば、電話で顧客に連絡します)。
- 顧客の資格情報とバックグラウンドをより適切な方法で検証します (信用調査所や企業調査会社を利用するなど)。
- サインアップ時に多要素認証 (SMS 検証など) を使用して、ロボットアカウントの作成と購入への露出を最小限に抑えます。
- 多要素認証などのツールを使用して、テナントの監視とセキュリティ保護を顧客に要求する。
- サービス (デジタル ID サービスなど) を使用して ID を管理および追跡します。
- クレジット カード詐欺を厳密に検出するシステムを使用して、顧客の財務体質を評価します。
- 明確な回収ポリシーを確立します。 詳細コレクションプロセス、およびサブスクリプションへのアクセスが未払いによって影響を受ける場合。 (パートナーは、顧客のサブスクリプションへのアクセスを無効にしたり、支払いを停止したりできます)。
顧客のアカウントを管理する
購入後に顧客アカウントを管理するための推奨事項は、次のとおりです。
- Microsoft の通知を迅速に受信、確認、対応、応答するプロセスを実装します。
- お客様と協力して、適切な監視しきい値を設定しながら、クラウド使用状況ビジネスのニーズを理解します。 (たとえば、パートナー は、パートナー センター月単位の Azure 支出予算を設定できます。この理解により、パートナーは月の顧客の使用状況を監視し、顧客が予算に近づいたときに通知を受け取ることができます)。
- アカウント設定ワークスペースを使用して定期的にユーザーアクティビティ ログを監視し、不正行為を早期に検出できるようにします。
- 疑わしい活動が検出されたら、迅速にアクションを実行します。
- リスク軽減コントロールを実装する前に、サブスクリプションへの完全な管理アクセス権を顧客に設定しないでください。
顧客の課金を管理する
購入後に顧客の請求を管理するための推奨事項は、次のとおりです。
- 最初のトランザクションと課金の前に前払いを要求します。
- リスクの高い支払い方法 (プリペイド カードや保存されたバリュー カードなど) を受け入れないでください。
- 顧客の支払いと売掛金の年数を監視します。 支払いの遅延または未払いに対して、標準化した督促プロセスを積極的に実施します。
重要
請求書の支払いは、パートナー センターの Billing ワークスペースに 営業日に表示されます お客様は、支払いを送信する前に課金情報が正しいことを確認し、支払いが円滑に行われるようにする必要があります。
Microsoft の許容される使用ポリシーの適用
Microsoft が、許容される使用ポリシーに違反していることを確認または疑うパートナーまたは顧客のアクティビティを検出した場合は、適用手順を実行します。 その顧客へのサービス提供は即座に中断される可能性があります。 パートナーは、強制アクションの通知を受け取るか、Microsoft からの要求に基づいて更新されます。
Note
リソースとドキュメントのライセンスで Microsoft ポリシーを検索します。