安全性評估常見問題
本文提供 Microsoft Dynamics 365 詐騙保護中安全性評定常見問題的解答。
驗證和管理
應用程式或服務是否支援透過安全性聲明標記語言 (SAML) 1.1、SAML 2.0 或 Web 服務同盟 (WS-Fed) 的單一登錄 (SSO?
是。
- 入口網站:SPA - OAuth 2.0 和 OpenID 連線,透過 MSAL v2 連結庫搭配 PKCE 使用驗證程式碼流程。
- 服務對服務後端 API: OAuth 2.0
- 指紋服務: 匿名
- Azure Stack: 記憶體的共用存取簽章 (SAS) 令牌
是否有可讓使用者或系統管理員略過 SSO 的「後門」URL?
否。
應用程式是否支援Okta整合(SSO平臺)?
默認不支援Okta整合。 Microsoft Entra 支援自定義整合。 因為商家擁有租使用者,因此商家可以利用 Microsoft Entra 身分識別整合點。 如需詳細資訊,請參閱 Microsoft Entra 檔。
應用程式或服務是否支援雙因素驗證 (2FA)?
是。 商家可以在 Microsoft Entra ID 中啟用 2FA。
什麼是 2FA 解決方案?
2FA 解決方案是 Azure Multi-Factor Authentication,這是 Microsoft Entra 功能。 如需詳細資訊,請參閱 運作方式:Azure Multi-Factor Authentication。
應用程式是否支援應用層級密碼?
否。 使用者和應用程式身分識別是在客戶的 Microsoft Entra 帳戶中管理。
哪一種哈希或加密演算法可用來保護密碼?
不適用。
是否使用哈希鹽化?
不適用。
應用程式或服務是否使用自動帳戶布建? 如果是,它如何完成(例如,透過SAML隨選、透過安全傳輸或API的自動逗號分隔值 [CSV] 摘要?
否,不適用。
應用程式或服務是否使用立即帳戶存取終止,包括關閉開啟的會話?
否。 Microsoft Entra 令牌到期與使用者存取終止一致,而不是會話。
如果帳戶終止不是自動的,此動作是否在帳戶存取終止要求一小時內執行?
是,每個 Microsoft Entra 原則。 如需詳細資訊,請參閱 Microsoft Entra 檔。
應用程式的會話閑置逾時為何?
根據 Microsoft Entra 原則,會話閒置逾時會與令牌有效期間一致。
應用程式或服務是否透過 API 使用自動帳戶取消佈建程式?
否。
在取消布建時,應用程式或服務是否為附加至使用者帳戶的內容提供處置策略?
否。 只有稽核記錄會追蹤並保留為每個在線服務條款 (OST) 指導方針和 Microsoft 隱私聲明的功能。
根據最低許可權模型,應用程式或服務是否可讓系統管理員根據角色和/或功能明確授與數據與功能授權?
是。 透過 Microsoft Entra 角色,系統管理員可以授與其租使用者內的存取權。
最低預期支持系統管理員角色、使用者角色、只讀系統管理員(記錄)角色,以及無許可權系統管理員(無法存取內容)角色。 您是否提供此支援?
除了系統管理員角色之外,應用程式/服務沒有任何角色。 系統管理員角色中的用戶負責在其租使用者內建立其他角色。 如需如何新增和移除角色的資訊,請參閱 設定使用者存取權。
如果應用程式中有共用許可權,應用程式或服務是否可讓系統管理員檢閱使用者要求以取得其他數據存取權?
不適用。
應用程式或服務是否可讓系統管理員用戶區分系統管理員使用者和一般使用者?
否。
應用程式或服務中各種角色有哪些許可權?
如需詳細資訊,請參閱 使用者角色和存取權。
稽核
應用程式或服務記錄資訊是否為業界標準類型的事件格式,例如 CSV、通用事件格式 (CEF) 或 Syslog?
產品不會共享記錄數據。 服務計量和關鍵效能指標可透過Power BI檢視取得。
應用程式或服務會收集或提供使用者登入、註銷、密碼變更和失敗登入嘗試的數據嗎?
是。 如需詳細資訊,請參閱 Microsoft Entra 入口網站中的稽核活動報告。
應用程式或服務是否會收集或提供系統管理員動作的稽核記錄(用戶帳戶建立/更新/刪除)或應用程式特定動作?
應用程式會維護金鑰變更的稽核歷程記錄,例如規則或清單更新。 用戶帳戶動作和對應的稽核記錄是透過 Microsoft Entra ID 來控制。 如需詳細資訊,請參閱 Microsoft Entra 報表和監視檔。
如需 Microsoft Entra 稽核的相關信息,請參閱 Microsoft Entra Audit Activities 清單中應用程式角色和群組成員資格 的核心目錄事件。 如需從 Microsoft Entra 入口網站存取稽核,請參閱 Microsoft Entra 標識符中的稽核記錄。
應用程式或服務是否會收集或提供用戶動作的稽核記錄(檔案或內容建立/讀取/更新/刪除)?
不適用。 僅支援系統管理員角色。
應用程式或服務是否會收集或提供元數據動作的稽核記錄(建立/讀取/更新/刪除)?
是。 會維護金鑰變更的稽核歷程記錄,例如清單和規則更新。
Microsoft 是否可為個人標識資訊 (PII) 上執行的任何活動提供稽核線索?
唯一的 PII 是在規則和列表變更的稽核歷程記錄中。 此歷程記錄是唯讀的,無法修改。
Microsoft 是否可以儲存待用記錄和加密的數據?
記錄會依標準 Microsoft Azure Online Services 原則進行維護。
如果實例關閉,Microsoft 是否有程式可偵測、報告和警示客戶實例在合理的時間範圍內停機?
是,已備妥進階監視和警示功能。
向客戶提供哪些資訊來驗證交涉的服務等級協定(SLA)?
身為客戶,您可以對服務進行伺服器對伺服器呼叫,並直接監視 SLA。
如何向客戶回報停機時間通知?
沒有主動式停機通知已就緒,但目前是藍圖的一部分。 客戶會收到透過標準通訊通道透過警示所發現之任何事件的通知。
商務持續性和災害復原
應用程式或服務是否可讓非結構化數據以非專屬格式大量匯出,例如 CSV?
在產品中,一般數據保護規定 (GDPR) 體驗可讓使用者根據合規性檔中所述的指導方針導出數據。
非結構化數據是否保留安全性訪問控制清單 (ACL)?
否。 如需詳細資訊,請參閱 資料主體要求和 GDPR 與 CCPA。
應用程式或服務是否可讓資料庫以非專屬格式大量匯出?
否。
是否有記載的備份原則?
已備妥多區域數據復寫和復原策略。 如需備份和還原功能的詳細資訊,請參閱 Azure Cosmos DB 中的在線備份和隨選數據還原。
應用程式或服務是否有記載的災害復原計劃?
如需 Microsoft 企業商務持續性管理 (EBCM) 方案的詳細資訊,請參閱 企業商務持續性管理計劃白皮書。 (需要登入。)
資料安全性
Microsoft 是否可以在發生安全性事件時停用應用程式實例?
是。
應用程式或服務是否使用傳輸層安全性 (TLS) 加密來保護數據?
是。
使用何種層級的 TLS 加密?
TLS 1.2。
允許客戶存取安全性滲透掃描所需的資源有哪些程式?
需要 Microsoft 的公司、外部及法律事務(CELA)和安全性核准。
應用程式或服務是否有最近(不到三個月)的第三方網路安全性滲透測試?
是。 Azure 會定期執行此測試。
應用程式或服務是否有最近(不到三個月)的第三方應用程式安全性滲透測試?
是。 這項測試將會依要求提供。
應用程式或服務是否使用安全通訊方法,例如TLS?
是。
應用程式或服務是否有行動用戶端?
詐騙保護是一種以網路為基礎的軟體即服務(SaaS)供應專案。
應用程式可以受到限制,使其只允許來自受信任網路的流量?
應用程式無法透過使用者介面 (UI) 來限制。 不過,可以透過手動設定加以限制。
應用程式是否有流量報告,以及警示正常流量的能力?
是。 這些功能可透過內部警示和監視來取得。 如需詳細資訊,請參閱 API 呼叫監視。
如果基礎結構預設不支援待用加密,應用程式或服務是否可讓待用數據以加密格式儲存?
所有數據都會在待用時加密。 如需詳細資訊,請參閱 Azure Cosmos DB 中的數據加密。
系統是否有一般保留排程,以便在一段時間後清除數據?
是。 如需詳細資訊,請參閱 在線服務條款(OST) 指導方針。
治理
您有定義完善的安全性程式嗎?
是。 如需詳細資訊,請參閱 Microsoft 安全性開發生命週期 (SDL)。
Microsoft 是否已建立資訊安全策略?
是。 如需詳細資訊,請參閱 Microsoft 安全性開發生命週期 (SDL)。
Microsoft 是否有適用於我可以存取之數據中心安全性和原則的第三方稽核報告?
是。 如需詳細資訊,請流覽 Microsoft 服務信任入口網站。
應用程式或服務是否已完成雲端安全性聯盟 CCM 自我評定? 如果是,我可以存取嗎?
是。 請流覽 Microsoft 服務信任入口網站。
Microsoft 是否有目前的變更管理原則檔?
是。
應用程式或服務是否有已建立的事件回應和分級原則和已建立的程式?
是。