發行者證明常見問題

公司或應用程式首頁的連結。

這是來自您應用程式服務資訊的預先填入數據。 請視需要加以更新。

這是來自您應用程式服務資訊的預先填入數據。 請視需要加以更新。

這是必要的，因為它與不同國家/地區的數據處理做法和法規有關。

應用程式資訊提供應用程式可執行之動作的概觀。

頁面連結概述應用程式的詳細資訊，用戶可以在其中深入瞭解應用程式的詳細資訊？ 如果您沒有此頁面，請標記 [否]。

後端服務或程式代碼存放庫的裝載環境將位於Microsoft 365 認證的範圍內。 請識別裝載類型;IaaS = 基礎結構即服務、PaaS/無伺服器 = 平臺即服務、ISV 裝載 = 主控環境是由您自己擁有和/或操作 (也就是您自己的數據中心或第三方數據中心) 的共同位置，Hybrid = 環境可以由多個裝載類型組成， (也就是 ISV Hosted 和 PaaS) 。

範例包括：Microsoft Azure、Amazon AWS、Google...這也可能包含您公司的獨特解決方案。

如果您的應用程式會處理或儲存任何Microsoft客戶數據，例如從 Microsoft Graph 或客戶租使用者等Microsoft資源端點取用的任何數據，請選取 [是]。 如果沒有，請選取 [否]。

提供應用程式所處理的特定資料類型，例如使用者配置檔數據、使用者郵件數據等。

傳輸層安全性 (TLS) 1.1 或更新版本是透過電腦網路建立加密通道的安全性通訊協定。 使用 TLS 有助於防止竊聽和攔截式攻擊。 若要為客戶提供最佳的類別加密，您的應用程式是否支援 TLS 1.1 或更新版本？

應用程式或基礎結構是否會儲存任何Microsoft客戶數據？|如果您的應用程式會處理或儲存任何Microsoft客戶數據，例如從 Microsoft Graph 或客戶租使用者等Microsoft資源端點取用的任何數據，請選取 [是]。 如果沒有，請選取 [否]。

提供儲存在資料庫中的特定數據類型，例如使用者配置檔數據、使用者郵件數據、租用戶資訊，例如租使用者標識碼、使用者通訊標識碼等。

指定將儲存Microsoft客戶數據的區域。 例如： 德國、日本。

當客戶要求刪除資料或取消訂閱時，您的組織是否遵循嚴格的數據儲存或刪除數據標準？

修補客戶離開服務後儲存客戶信息的時間週期。

加密是安全性不可或缺的工具，因為它會限制存取，Key Vault 可讓應用程式和用戶儲存和使用數種類型的秘密/金鑰數據。 是否已處理及收集、分析和管理客戶數據、加密金鑰/秘密的所有存取？ 這項資訊與數據處理和安全性做法有關，因此需要這項資訊。

客戶數據可以是員工使用者名稱或標識碼、位置、人員資訊、使用者特定IP位址等。如果您的組織將任何Microsoft客戶數據或客戶內容傳送給第三方或子處理者，請選取 [是]。 如果沒有，請選取 [否]。

第三方服務可以是呼叫中心、BPO、數據輸入等。如果您有與任何第三方服務共用Microsoft客戶數據的合約，請選取 [是]。 如果沒有，請選取 [否]。

安全性

滲透測試也稱為手寫筆測試，是測試計算機系統、網路或 Web 應用程式以找出攻擊者可能利用的安全性弱點的做法。

如果您的組織有災害復原 (DR) 計劃的正式檔，其中包含如何回應非計劃性事件的詳細指示，例如天然災害、電源中斷、網路攻擊和任何其他干擾性事件，請選取 [是]。 如果沒有，請選取 [否]。

反惡意代碼針對較新、更具創新性的病毒提供主動式解決方案，防病毒軟體不具備處理能力。 應用程式控制項是輸入、處理和輸出函式的控制項。 選取適當的選項

這項資訊與安全性作法相關，因此需要這項資訊。

每當您訂閱防病毒軟體、防火牆或防病毒軟體保護時，您都必須持續更新系統檔案，以識別可協助計算機偵測並消除這類病毒的變更、改進或新參數。 這些稱為安全性修補程式。 如果您有控管服務等級協議的原則， (SLA) 來套用修補程式，請選取 [是]。 如果沒有，請選取 [否]。

PII 是可用來識別特定人員的任何數據。 例如： 名稱、電子郵件位址。

您可以在我們的 [Microsoft 檔] 頁面上找到範例、按兩下應用程式、按兩下 [資料處理]，您可以透過 Bot 查看資料存取的其他理由範例。

個人標識資訊 (PII) 是可用來識別特定人員的任何數據。 例如： 名稱、電子郵件位址。

為何需要儲存個人標識資訊？

OII 是可用來識別組織/租使用者的任何數據。 例如： 租使用者標識碼或IP位址、租使用者使用量數據、電子郵件位址中的租使用者功能變數名稱 (joe@contoso.com) 。

OII) (可識別的組織資訊是可用來識別組織/租使用者的任何數據。 例如： 租使用者標識碼或IP位址、租使用者使用量數據、電子郵件位址中的租使用者功能變數名稱 (joe@contoso.com) 。

為什麼需要儲存組織可識別資訊？

|EUII 是可用來識別客戶數據的任何數據。 例如： 員工使用者名稱或標識碼、人員的位置資訊、使用者特定IP位址。 |

例如： Google Cloud、AWS

例如： 加密， 2FA

例如： Restricted、Confidential、Interal、Public

Multi-Factor Authentication (MFA) 是一種安全性系統，需要多個認證來驗證使用者的身分識別。 MFA 不僅要求使用者名稱和密碼，還需要其他認證，例如來自用戶智慧型手機的程式代碼、安全性問題的答案、指紋或臉部辨識。

IP 限制設定可用來限制或授與哪些IP可以存取服務內特定資源的存取權。 對於支援IP限制的應用程式，組織系統管理員可以限制組織中任何使用者可透過使用者介面或API存取系統的IP位址。

稽核記錄是電子記錄，可依時間順序編目事件或程式，以提供支援、文件和歷程記錄，用來驗證安全性和操作動作，或減輕挑戰。 使用者稽核記錄將包含用戶活動的相關信息，例如登入嘗試、存取檔案等。

系統管理員稽核線索將包含系統管理員活動，例如授與新許可權、變更設定、API 呼叫等。

數據稽核記錄會包含資料庫中的變更活動，例如上次修改屬性的時間、記錄的先前值和修改者等。

例如： 最小密碼長度、字元組合、不允許重複使用舊密碼、不允許使用個人資訊 (例如名稱、電子郵件等 ) 、在特定時間週期之後進行密碼更新。

安全性判斷提示標記語言 - SAML - 是一種開放式標準，可在合作對象之間交換驗證和授權數據，特別是在識別提供者與服務提供者之間。

滲透測試也稱為手寫筆測試，是測試計算機系統、網路或 Web 應用程式以找出攻擊者可能利用的安全性弱點的做法。

合規性

對於具有與醫療保健服務相關之應用程式，或提供服務給 helthcare 服務的美國和非美國公司而言，這是必要的。

與醫療保健服務相關聯的應用程式或提供服務給 helthcare 服務的應用程式需要此專案。

對於具有與金融服務相關之應用程式或提供服務給金融機構的美國和非美國公司而言，這是必要的。

根據安全性、隱私權、可用性、機密性和處理完整性的一或多個信任服務準則，報告非財務處理。瞭解更多資訊

選取 [類型 1] 或 [類型 2]，如果您已取得這兩個類型，請選取 [類型 2]

根據信任服務準則報告，可自由散發，且只包含管理的判斷提示，指出其符合所選準則的需求？ 深入了解

支付卡行業 (PCI) 資料安全標準 (DSS) 是一個全球資訊安全性標準，旨在透過進一步控制信用卡資料來防止詐欺行為。 任何儲存、處理或傳輸付款和持卡人數據的組織都必須符合PCI DSS。瞭解更多資訊

ISO 27001 是一種憑證，提供給支持國際認可指導方針的公司，以及在組織內起始、實作及改善資訊安全性管理的一般原則。瞭解更多資訊

ISO 27018 會建立常用的控件，並提供在公用雲端運算環境中處理和保護個人標識資訊 (PII) 的指導方針？瞭解更多資訊

ISO 27017 會建立常接受的控件和指導方針，以在公用雲端運算環境中處理和保護用戶資訊。瞭解更多資訊

ISO 27002 會建立組織資訊安全性標準和資訊安全性管理實務的一般指導方針。瞭解更多資訊

FedRAMP 是美國政府計劃，提供雲端產品和服務的安全性評估、授權和持續監視的標準化方法。瞭解更多資訊

FedRAMP 授權會根據 NIST 指導方針在三個影響層級授與：低、中和高。 這些層級會將機密性、完整性或可用性遺失可能對組織造成的影響排名—低 (有限效果) 、中 (嚴重不良影響) ，以及高 (嚴重或嚴重影響) 。

FERPA 是保護學生教育記錄隱私權的聯邦法律。瞭解更多資訊

對於具有子系也可使用之應用程式的美國和非美國公司而言，這是必要的。

應用程式資訊提供應用程式可執行之動作的概觀。

NIST SP 800-171 是 NIST 特殊發行集，提供建議的需求來保護所控制未分類資訊的機密性， (CUI) 。 美國國家標準與技術局 (NIST) 會推廣和維護度量標準和指導方針，以協助保護聯邦機構的資訊和信息系統。瞭解更多資訊

CSA SSTAR 專門用來定義最佳做法，以協助確保更安全的雲端運算環境，以及協助潛在雲端客戶在將其 IT 作業轉換至雲端時做出明智的決策。瞭解更多資訊

CSA STAR、持續監視、評定、自我評定、證明、認證提供五個憑證層級。 選取您已取得的 。

GDPR (一般數據保護規定) 為歐盟 (歐盟) 中的人員提供商品和服務，或無論您或您的企業位於何處，為歐盟居民收集和分析數據的組織引進了新的規則。瞭解更多資訊

外部隱私權注意事項必須包含組織資訊、您收集的數據、收集數據的方式、如何使用個人資料、個人資料的共用方式、數據安全性、數據保留、客戶法律權利，如需詳細資訊，請造訪 GDPR 頁面

雖然程式代碼剖析是評估人員層面的程式，但自動化決策是使用技術方法做出個人決策的程式，而不需要人類介入。 GDPR - 與自動化決策和程式代碼剖析相關的權利。

GDPR - 對象的許可權

GDPR - 數據處理

如果您處理與種族或種族來源、政治意見、種族或種族信念、基因或生物特徵辨識數據、健康數據相關的任何數據，請選取 [是]。 如果沒有，請選取 [否]。

GDPR 會將同意的一般年齡設定為 16，這表示您無法合法地處理 15 歲或更小的數據主體數據。

如果您使用 16 以下的子系數據，您只能使用其父系或守護者的許可權來處理數據。 根據歐盟法律，未經成人同意且具有家長責任的任何處理都不合法。

GDPR - 清除許可權

GDPR - 限制處理的許可權

GDPR - 修正許可權

這項資訊與隱私權和安全性做法相關，因此需要這項資訊。

深入瞭解Microsoft身分識別平臺。瞭解更多資訊

Azure AD 指派給應用程式之應用程式的唯一標識符。深入瞭解

輸入 Azure 應用程式應用程式識別碼。瞭解更多資訊

輸入租使用者的識別碼，此標識符會顯示在應用程式註冊控制臺上的 Azure 應用程式 appId 下方。

輸入租使用者的識別碼，此標識符會顯示在應用程式註冊控制臺上的 Azure 應用程式 appId 下方。

這項資訊與身分識別實務相關，因此需要這項資訊。

Azure AD 會將唯一的應用程式或用戶端識別碼指派給您的應用程式。 入口網站會開啟應用程式的 [概觀] 頁面。 若要將功能新增至應用程式，您可以選取其他設定選項，包括商標、憑證和秘密、API 許可權等等。

以下是可接受的許可權清單。 Microsoft Graph 權限參考資料

具有已登入使用者的應用程式會使用委派權限。 針對這些應用程式，用戶或系統管理員同意應用程式要求的許可權，而應用程式在呼叫 Microsoft Graph 時，可以作為已登入的使用者。 某些委派的許可權可由非系統管理使用者同意，但某些較高許可權的許可權需要系統管理員同意。 應用程式許可權是由沒有登入使用者的應用程式所使用;例如，以背景服務或精靈身分執行的應用程式。 應用程式許可權只能由系統管理員同意。 深入瞭解。

為什麼您選擇該直方圖形許可權？

最低許可權許可權是您的應用程式需要要求才能為客戶提供其預定功能的最小許可權集。 針對呼叫 Microsoft Graph 的應用程式，Graph 總管和 API 參考文件可協助您判斷案例的最低許可權許可權。瞭解更多資訊

在我們的文件頁面上深入瞭解Microsoft身分識別平臺整合檢查清單

Microsoft驗證連結庫 (MSAL) 可讓開發人員從Microsoft身分識別平臺取得令牌，以驗證使用者並存取受保護的 Web API。瞭解更多資訊

Microsoft驗證連結庫 (MSAL) 可讓開發人員從Microsoft身分識別平臺取得令牌，以驗證使用者並存取受保護的 Web API。瞭解更多資訊

最簡單的條件式存取原則是 if-then 語句，如果使用者想要存取資源，則必須完成動作。 範例：薪資經理想要存取薪資應用程式，而且必須執行多重要素驗證才能存取它。瞭解更多資訊

提及您支援的所有條件式存取原則類型。 例如： 依位置封鎖存取，封鎖舊版驗證。 您可以在我們的檔案頁面上找到範例

(CAE) 是一種功能，可針對依賴 Azure AD 驗證的服務/工作負載，改善復原能力並減少 COGS。瞭解更多資訊

如果您的應用程式在程式代碼中儲存任何認證，請選取 [是]。 如果沒有，請選取 [否]。

如果您的應用程式或載入宏使用其他Microsoft API 請選取 [是]。 如果沒有，請選取 [否]。

例如： MSAL