使用合作伙伴中心或合作伙伴中心 API 的安全要求
相应的角色:所有合作伙伴中心用户
作为顾问、控制面板供应商或云解决方案提供商(CSP)合作伙伴,你已决定有关身份验证选项和其他安全注意事项。
为你和你的客户提供隐私和安全保护是我们的首要任务。 我们知道,最好的防御措施是防患于未然,链条的强度取决于其最弱的一环。 这就是为什么我们需要生态系统中的每个人来确保适当的安全保护到位。
强制性安全要求
CSP 计划允许客户通过合作伙伴购买 Microsoft 产品和服务。 根据与 Microsoft 的协议,合作伙伴需要为其销售给的客户管理环境并提供支持。
通过此渠道购买的客户将信任你作为合作伙伴,因为你拥有对客户租户的高特权管理员访问权限。
未实施强制安全要求的合作伙伴将无法在 CSP 计划中进行交易或使用委派管理员权限管理客户租户。 此外,不实施安全要求的合作伙伴可能会使他们参与计划处于危险之中。
与合作伙伴安全要求相关的条款已添加到 Microsoft 合作伙伴协议中。 Microsoft 合作伙伴协议(MPA)会定期更新,Microsoft建议所有合作伙伴定期检查。 由于与顾问相关,因此会实施相同的合同要求。
所有合作伙伴必须遵守安全最佳做法,以便能够保护合作伙伴和客户环境。 遵循这些最佳做法有助于缓解安全问题并修正安全升级,确保客户的信任不会受到损害。
为了保护你和你的客户,我们要求合作伙伴立即执行以下操作:
为合作伙伴租户中的所有用户帐户启用 MFA
必须为合作伙伴租户中的所有用户帐户强制实施 MFA。 在登录到 Microsoft 商业云服务时,或者通过合作伙伴中心或 API 在云解决方案提供商计划中进行事务处理时,用户必须接受 MFA。
MFA 的强制实施遵循以下准则:
- 使用Microsoft支持的Microsoft Entra 多重身份验证的合作伙伴。 有关详细信息,请参阅 启用 Microsoft Entra 多重身份验证 的多种方法(支持 MFA)
- 实施任何第三方 MFA 和异常列表一部分的合作伙伴仍可访问合作伙伴中心和 API,但无法使用 DAP/GDAP 管理客户(不允许例外)
- 如果合作伙伴的组织以前被授予 MFA 例外,则作为 CSP 计划的一部分管理客户租户的用户必须在 2022 年 3 月 1 日之前启用Microsoft MFA 要求。 不符合 MFA 要求可能会导致客户租户访问丢失。
- 详细了解如何 为合作伙伴租户分配多重身份验证(MFA)。
采用安全应用程序模型框架
所有集成合作伙伴中心 API 的合作伙伴必须对任何应用和用户身份验证模型应用程序采用安全应用程序模型框架。
重要
强烈建议合作伙伴实现安全应用程序模型,以便集成 Microsoft API(例如 Azure 资源管理器或 Microsoft Graph)或利用自动化时(例如使用用户凭据的 PowerShell),避免在强制实施 MFA 时出现任何中断。
这些安全要求有助于保护基础结构,并保护客户的数据免受潜在的安全风险,例如识别盗窃或其他欺诈事件。
其他安全要求
客户信任你作为他们的合作伙伴来提供增值服务。 必须采取所有安全措施来保护客户的信任和作为合作伙伴的声誉。
Microsoft 将持续增加强制措施,要求所有合作伙伴遵守并优先考虑其客户的安全。 这些安全要求将有助于保护你的基础结构与客户数据免受身份盗用或其他欺诈事件等潜在安全风险的影响。
合作伙伴需负责确保采用零信任原则,具体而言,包括以下原则。
委派管理员特权 (DAP)
委派管理员特权 (DAP) 提供代表客户管理其服务或订阅的功能。 客户必须授予合作伙伴对该服务的管理权限。 由于提供给合作伙伴管理客户的特权受到高度提升,Microsoft建议所有合作伙伴 删除非活动 DAP。 使用委派管理员权限管理客户租户的所有合作伙伴都应从 合作伙伴中心 删除非活动 DAP,以防止对客户租户及其资产产生任何影响。
有关详细信息,请参阅监视管理关系和自助式 DAP 删除指南、委派管理员特权常见问题解答和面向委派管理员特权的 NOBELIUM 指南。
此外,DAP 即将弃用。 我们强烈建议所有积极使用 DAP 管理其客户租户的合作伙伴,并朝着最低特权 粒度委派管理员权限模型 迈进,以安全地管理其客户的租户。
过渡到最低特权角色以管理客户租户
由于 DAP 即将弃用,因此Microsoft强烈建议远离当前的 DAP 模型(这为管理员代理提供永久全局管理员访问权限),并将其替换为细粒度委派访问模型。 细化委派访问模型可降低客户的安全风险以及这些风险对客户的影响。 它还为你提供控制力和灵活性,以在管理客户服务和环境的员工的工作负载级别限制每个客户的访问权限。
有关详细信息,请参阅精细委派管理特权 (GDAP) 概述、有关最低特权角色的信息和 GDAP 常见问题解答
监视 Azure 欺诈通知
作为 CSP 计划中的合作伙伴,你需要对客户的 Azure 消费,因此了解客户 Azure 订阅中的任何潜在加密货币挖矿活动非常重要。 这种意识使你能够立即采取措施来确定该行为是合法还是欺诈性的,并在必要时暂停受影响的 Azure 资源或 Azure 订阅以缓解问题。
有关详细信息,请参阅 Azure 欺诈检测和通知。
注册 Microsoft Entra ID P2
CSP 租户中的所有管理员代理都应通过实施 Microsoft Entra ID P2 来增强其网络安全,并利用各种功能来增强 CSP 租户。 Microsoft Entra ID P2 提供对登录日志和高级功能的扩展访问,例如Microsoft Entra Privileged Identity Management(PIM)和基于风险的条件访问功能,以加强安全控制。
遵守 CSP 安全最佳做法
遵守所有 CSP 安全最佳做法非常重要。 在云解决方案提供商安全最佳做法中了解详细信息。
实现多重身份验证
若要符合合作伙伴安全要求,必须为合作伙伴租户中的每个用户帐户实施并强制执行多重身份验证。 可通过下述方法之一完成此操作:
- 实现 Microsoft Entra 安全默认值。 请参阅下一部分“ 安全性默认值”中的详细信息。
- 为每个用户帐户购买Microsoft Entra ID P1 或 P2。 有关详细信息,请参阅规划 Microsoft Entra 多重身份验证部署。
安全默认值
合作伙伴可以选择实施 MFA 要求的选项之一是在 Microsoft Entra ID 中启用安全默认值。 安全默认值提供基本的安全级别,无需额外付费。 在启用安全默认值之前,请查看如何为组织启用 Microsoft Entra ID 和以下关键注意事项启用 MFA。
- 已采用基线策略的合作伙伴需采取行动过渡到安全性默认设置。
- 安全默认值是预览版基线策略的正式版替代品。 合作伙伴启用安全默认值后,他们无法启用基线策略。
- 使用安全默认值时,将同时启用所有策略。
- 对于使用 条件访问的合作伙伴, 安全默认值不可用。
- 阻止旧式身份验证协议。
- Microsoft Entra Connect 同步帐户已从安全默认值中排除,不会提示注册或执行多重身份验证。 组织不应将此帐户用于其他目的。
有关详细信息,请参阅组织的 Microsoft Entra 多重身份验证概述以及什么是安全默认值?
注意
Microsoft Entra 安全默认值是简化基线保护策略的演变。 如果已启用基线保护策略,则强烈建议启用 安全默认值。
实施常见问题解答 (FAQ)
由于这些要求适用于合作伙伴租户中的所有用户帐户,因此你需要考虑一些事项以确保顺利进行部署。 例如,标识无法执行 MFA 的 Microsoft Entra ID 中的用户帐户,以及组织中不支持新式身份验证的应用程序和设备。
在执行任何操作之前,建议完成以下验证。
你是否有不支持使用新式身份验证的应用程序或设备?
强制实施 MFA 时,旧式身份验证使用 IMAP、POP3、SMTP 等协议会被阻止,因为它们不支持 MFA。 若要解决此限制,请使用 应用密码 功能来确保应用程序或设备仍会进行身份验证。 请查看应用密码使用注意事项,确定应用密码是否可以在你的环境中使用。
你是否有拥有与你的合作伙伴租户关联的许可证的 Office 365 用户?
在实施任何解决方案之前,建议确定合作伙伴租户中正在使用哪些版本的Microsoft 办公室用户。 用户可能会在使用 Outlook 之类的应用程序时遇到连接问题。 在强制实施 MFA 之前,必须确保使用的是 Outlook 2013 SP1 或更高版本,且组织已启用新式身份验证。 有关详细信息,请参阅在 Exchange Online 中启用新式身份验证。
若要为运行安装了 Microsoft 办公室 2013 的 Windows 的设备启用新式身份验证,必须创建两个注册表项。 请参阅在 Windows 设备上启用适用于 Office 2013 的新式身份验证。
是否有策略阻止用户在工作时使用其移动设备?
必须确定任何阻止员工在工作时使用移动设备的公司策略,因为它会影响你实现的具体的 MFA 解决方案。 有一些解决方案(如通过实现 Microsoft Entra 安全默认值提供的解决方案)仅允许使用验证器应用进行验证。 如果组织的某项策略阻止使用移动设备,则请考虑以下选项之一:
- 部署可以在安全系统上运行的基于时间的一次性密码 (TOTP) 应用程序。
你有哪种自动化或集成必须使用用户凭据进行身份验证?
对合作伙伴目录中的每个用户(包括服务帐户)强制实施 MFA 可能会影响使用用户凭据进行身份验证的任何自动化或集成。 因此,必须确定在这些情况下使用的是什么帐户。 请查看以下列表,了解要考虑的示例应用程序或服务:
- 控制面板,用于代表客户预配资源
- 与任何用于客户发票(由于与 CSP 计划相关)和支持的平台的集成
- 使用 Az、AzureRM、 Microsoft Graph PowerShell 和其他模块的 PowerShell 脚本
前面的列表并不全面,因此,必须对环境中使用用户凭据进行身份验证的任何应用程序或服务执行完整评估。 在可能情况下,应该按安全应用程序模型框架中的指南(不同于 MFA 的要求)进行操作。
访问环境
为了更好地了解哪些或谁在未经 MFA 质询的情况下进行身份验证,我们建议你查看登录活动。 通过Microsoft Entra ID P1 或 P2,可以使用登录报告。 有关此主题的详细信息,请参阅 Microsoft Entra 管理中心中的登录活动报告。 如果没有Microsoft Entra ID P1 或 P2,或者想要通过 PowerShell 获取此登录活动,则需要从合作伙伴中心 PowerShell 模块使用 Get-PartnerUserSignActivity cmdlet。
如何强制实施这些要求
如果合作伙伴的组织以前被授予 MFA 例外,则作为 CSP 计划的一部分管理客户租户的用户必须在 2022 年 3 月 1 日之前启用Microsoft MFA 要求。 不符合 MFA 要求可能会导致客户租户访问丢失。
合作伙伴安全要求由Microsoft Entra ID 强制执行,而合作伙伴中心又通过检查是否存在 MFA 声明来标识是否已进行 MFA 验证。 自 2019 年 11 月 18 日以来,Microsoft已向合作伙伴租户激活了更多的安全措施(以前称为“技术强制”。
激活后,在代表 (AOBO) 操作、访问合作伙伴中心或调用合作伙伴中心 API 时,请求合作伙伴租户中的用户完成 MFA 验证。 有关详细信息,请参阅 为合作伙伴租户分配多重身份验证(MFA)。
不满足这些要求的合作伙伴应尽快实施这些措施,以免出现业务中断。 如果使用 Microsoft Entra 多重身份验证或Microsoft Entra 安全默认值,则无需执行任何其他操作。
如果使用第三方 MFA 解决方案,则可能没有颁发 MFA 声明。 如果缺少此声明,Microsoft Entra ID 将无法确定身份验证请求是否受到 MFA 质询。 有关如何验证解决方案是否发出预期声明的信息,请阅读 “测试合作伙伴安全要求”。
重要
如果第三方解决方案未发出预期的声明,则需要与开发解决方案的供应商合作,以确定应采取的操作。
资源和示例
请查看以下资源来获取支持和示例代码:
- 合作伙伴中心安全指导组社区:合作伙伴中心安全指导组社区是一个在线社区,可在其中了解即将发生的事件,并询问你可能拥有的任何问题。
- 合作伙伴中心 .NET 示例:此 GitHub 存储库包含使用 .NET 开发的示例,演示如何实现安全应用程序模型框架。
- 合作伙伴中心 Java 示例:此 GitHub 存储库包含使用 Java 开发的示例,演示如何实现安全应用程序模型框架。
- 合作伙伴中心 PowerShell - 多重身份验证:此多重身份验证文章详细介绍了如何使用 PowerShell 实现安全应用程序模型框架。
- Microsoft Entra 多重身份验证的功能和许可证
- 规划Microsoft Entra 多重部署
- 使用 PowerShell 测试合作伙伴安全要求