共用方式為

使用合作夥伴中心或合作夥伴中心 API 的安全性需求

  • 發行項

適當的角色:所有合作夥伴中心使用者

身為顧問、控制面板廠商或雲端解決方案提供者(CSP)合作夥伴,您有關於驗證選項和其他安全性考慮的決策。

您和您的客戶的隱私權保護和安全性是我們的首要任務之一。 我們知道最好的防禦是預防,我們的強大取決於我們最薄弱的環節。 我們需要生態系統中的每個人來確保已經採取適當的安全保護措施。

強制安全性需求

CSP 計劃可協助客戶透過合作夥伴購買Microsoft產品和服務。 根據他們與Microsoft的合約,合作夥伴必須管理環境,併為他們銷售的客戶提供支援。

透過此管道購買的客戶,將信任您作為合作夥伴,因為您擁有客戶租使用者的高許可權系統管理員存取權。

未實作強制安全性需求的合作夥伴無法在 CSP 計劃中交易。 他們也無法管理使用委派管理員權限的客戶租戶。 此外,未實作安全性需求的合作夥伴可能會讓參與計劃面臨風險。

與合作夥伴安全性需求相關聯的條款會新增至Microsoft合作夥伴合約。 Microsoft合作夥伴合約 (MPA) 會定期更新,Microsoft建議所有合作夥伴定期回頭查看。 與顧問有關,同樣的合約需求已設定。

所有合作夥伴都必須遵守 安全性最佳做法,以便保護合作夥伴和客戶環境。 這些最佳做法可協助您減少安全性問題、處理安全性升高,並確保客戶的信任不會受到影響。

若要保護您的客戶,您必須立即採取下列動作:

為合作夥伴租戶中的所有用戶帳戶啟用多因素驗證 (MFA)

您必須在夥伴租戶中的所有使用者帳戶上強制執行多因素驗證 (MFA)。 MFA 會在使用者進行以下操作時出現挑戰:

  • 登入Microsoft商業雲端服務。
  • 透過合作夥伴中心在雲端解決方案提供者計畫中交易。
  • 透過 API 進行交易。

MFA 強制執行遵循下列指導方針:

  • 使用 Microsoft 支援的 Microsoft Entra 多重要素驗證的合作夥伴。 如需詳細資訊,請參閱 啟用 Microsoft Entra 多重要素驗證的方法
  • 實施任何非 Microsoft MFA 並位於例外清單上的合作夥伴。 他們仍然可以在某些例外情況下存取合作夥伴中心和 API,但無法使用 DAP/GDAP 來管理客戶。 沒有例外狀況。
  • 先前被授予多因素驗證(MFA)例外狀況的合作夥伴組織。 如果合作夥伴組織獲得 MFA 的例外,只有在作為雲端解決方案提供商計畫一部分的使用者在 2022 年 3 月 1 日之前啟用管理客戶租用戶的功能,這些例外才會被認可。 不符合多因素驗證需求可能會導致客戶租戶訪問權限丟失。

如需詳細資訊,請參閱 為您的合作夥伴租使用者強制啟用多重要素驗證

採用安全應用程式模型架構

所有與合作夥伴中心 API 整合的合作夥伴都必須針對任何應用程式和使用者驗證模型應用程式採用 安全應用程式模型架構

重要

強烈建議合作夥伴實作安全應用程式模型,以與 Microsoft API 整合,例如 Azure Resource Manager 或 Microsoft Graph。 此外,合作夥伴應該在利用自動化時實作安全應用程式模型,例如使用客戶認證來使用 PowerShell,以避免在強制執行 MFA 時發生任何中斷。

這些安全性需求有助於保護您的基礎結構,並保護客戶的數據免於潛在的安全性風險,例如識別竊取或其他詐騙事件。

其他安全性需求

客戶信任您作為其合作夥伴,以提供增值服務。 您必須採取所有安全性措施,以保護客戶的信任和您作為合作夥伴的聲譽。

Microsoft會繼續新增強制執行措施,讓合作夥伴必須遵守並排定客戶安全性的優先順序。 這些安全性需求有助於保護您的基礎結構,並保護客戶的數據免於潛在的安全性風險,例如識別竊取或其他詐騙事件。

合作夥伴必須確保他們採用零信任的原則,如下列各節所述。

委派的系統管理員許可權

委派的系統管理員許可權 (DAP) 可代表他們管理客戶的服務或訂用帳戶。 客戶必須授與該服務的合作夥伴系統管理許可權。 由於提供給合作夥伴用來管理客戶的權限高度提升,Microsoft 建議合作夥伴 移除非作用中的 DAP。 使用委派系統管理員許可權管理客戶租戶的合作夥伴應從 合作夥伴中心移除不活動的 DAP,以防止對客戶租戶及其資產造成任何影響。

如需詳細資訊,請參閱 監視管理關係和自助式 DAP 移除 指南、委派管理許可權 常見問題,以及 針對委派管理許可權的 NOBELIUM 活動 指南。

此外,DAP 即將淘汰。 我們強烈建議所有積極使用 DAP 來管理客戶租用戶的合作夥伴,轉向最小權限管理模式 細微委派系統管理員許可權,以安全地管理其客戶的租用戶。

轉換至最小許可權角色以管理您的客戶租戶

由於 DAP 即將淘汰,因此 Microsoft 強烈建議您從目前的 DAP 模型轉移,這些模型為系統管理員代理提供長期或永久的全域系統管理員存取權。 將它取代為一個細緻的委派存取模型。 細部委派的存取模型可降低客戶的安全性風險,以及這些風險的影響。 它也可讓您在管理客戶服務和環境的員工工作負載層級限制每位客戶的存取權和彈性。

如需詳細資訊,請參閱 細微委派系統管理員許可權概觀最低許可權角色的資訊,以及 GDAP 常見問題

監看 Azure 詐騙通知

身為 CSP 計劃的合作夥伴,您必須負責客戶的 Azure 使用量,因此請務必瞭解客戶 Azure 訂用帳戶中任何潛在的加密貨幣採礦活動。 此認知可協助您立即採取行動,以判斷行為是否合法或詐騙。 如有必要,您可以暫停受影響的 Azure 資源或 Azure 訂用帳戶,以減輕問題。

如需詳細資訊,請參閱 Azure 詐騙偵測和通知

註冊 Microsoft Entra ID P2

CSP 租戶中的所有系統管理員代理應該實施 Microsoft Entra ID P2,並利用其各種功能來加強您的 CSP 租戶的網路安全。 Microsoft Entra ID P2 提供登入記錄和進階功能的延伸存取,例如Microsoft Entra Privileged Identity Management (PIM) 和風險型條件式存取功能,以加強安全性控制。

遵循 CSP 安全性最佳做法

務必遵循 CSP 的所有最佳做法以確保安全性。 若要深入瞭解,請參閱 雲端解決方案提供者安全性最佳做法

實作多重要素驗證

若要符合合作夥伴安全性需求,您必須為合作夥伴租使用者中的每個使用者帳戶實作並強制執行 MFA。 您可以執行以下方法之一:

安全性預設值

合作夥伴可用來實作 MFA 需求的其中一個選項,是在 Microsoft Entra ID 中啟用安全性預設值。 安全性預設值提供基本層級的安全性,不需額外費用。 檢閱如何使用 Microsoft Entra 識別碼為貴組織啟用 MFA。 以下是啟用安全性預設值之前的重要考慮。

  • 已採用基準原則的合作夥伴必須採取動作,才能轉換為安全性預設值。
  • 安全性預設值是預覽基準原則的正式運作取代。 合作夥伴啟用安全性預設值之後,就無法啟用基準原則。
  • 安全性預設原則會立即啟用。
  • 使用 條件式存取的合作夥伴無法使用 安全性預設值
  • 舊版驗證通訊協定會遭到封鎖。
  • Microsoft Entra Connect 同步處理帳戶會從安全性預設值中排除,而且不會提示註冊或執行多重要素驗證。 組織不應該將此帳戶用於其他用途。

如需詳細資訊,請參閱 Microsoft Entra 多重要素驗證的概觀什麼是安全性預設值?

注意

Microsoft Entra 安全性預設值是簡化基準保護原則的演進。 如果您已經啟用基準保護原則,強烈建議您啟用 安全性預設值

實作常見問題 (FAQ)

由於這些需求適用於合作夥伴租使用者中的所有用戶帳戶,因此您必須考慮數件事,以確保部署順暢。 例如,在 Microsoft Entra ID 中識別無法執行 MFA 的用戶帳戶,以及組織中不支援新式驗證的應用程式和裝置。

執行任何動作之前,建議您先完成下列驗證。

您是否有不支援使用新式驗證的應用程式或裝置?

當您強制執行 MFA 時,會封鎖使用 IMAP、POP3、SMTP、通訊協定的舊版驗證。 這是因為這些通訊協定不支援 MFA。 若要更正這項限制,請使用 應用程式密碼 功能來確保應用程式或裝置仍會進行驗證。 請檢閱 使用應用程式密碼時應考慮的因素,以判斷這些密碼是否適合您的環境。

您是否有 Office 365 使用者擁有與您的合作夥伴租戶相關的授權?

在您實作任何解決方案之前,建議您判斷合作夥伴租用戶中使用者所使用的 Microsoft Office 版本。 您的使用者有可能遇到 Outlook 等應用程式的連線問題。 強制執行 MFA 之前,請務必確定您使用 Outlook 2013 SP1 或更新版本,且您的組織已啟用新式驗證。 如需詳細資訊,請參閱 在 Exchange Online中啟用新式驗證。

若要為執行 Windows 且已安裝 Microsoft Office 2013 的裝置啟用新式驗證,您必須建立兩個登錄機碼。 請參閱 在 Windows 裝置上為 Office 2013 啟用新式驗證

是否有原則可防止您的任何使用者在工作時使用其行動裝置?

請務必識別任何公司原則,以防止員工在工作時使用行動裝置,因為它會影響您實作的 MFA 解決方案。 有一些解決方案,例如透過實作 Microsoft Entra 安全性預設值所提供的解決方案,只允許使用驗證器應用程式進行驗證。 如果您的組織有防止行動裝置使用的原則,請考慮下列其中一個選項:

  • 部署可在安全系統上執行的時間型單次基底密碼 (TOTP) 應用程式。

您有什麼自動化或整合用於驗證使用者認證?

在合作夥伴目錄中,對於使用者和服務帳戶的 MFA 強制執行,可能會影響到任何使用使用者認證進行驗證的自動化或整合。 因此,請務必識別在這些情況下使用哪些帳戶。 請參閱下列範例應用程式或服務清單以考慮:

  • 使用控制面板代表您的客戶準備資源。
  • 與能夠開具發票的任何平臺整合(與 CSP 計劃相關),並支援您的客戶。
  • 使用使用 Az Cmdlet、AzureRM、Microsoft Graph PowerShell和其他模組的 PowerShell 腳本。

這份清單並不全面,因此請務必對環境中使用使用者認證進行驗證的任何應用程式或服務執行完整評估。 若要處理 MFA 的需求,請盡可能使用 安全應用程式模型架構 中的指導方針。

存取您的環境

若要進一步瞭解哪些或誰在沒有 MFA 挑戰的情況下進行驗證,建議您檢閱登入活動。 透過Microsoft Entra ID P1 或 P2,您可以使用登入報告。 如需詳細資訊,請參閱 Microsoft Entra 系統管理中心 中的登入活動報告。 如果您沒有 Microsoft Entra ID P1 或 P2,或者如果您需要透過 PowerShell 取得登入活動的方法,請使用來自 合作夥伴中心 PowerShell 模組的 Get-PartnerUserSignActivity Cmdlet。

需求如何被執行

如果合作夥伴組織獲得了 MFA 的例外,只有在雲端解決方案提供者計劃中管理客戶租用戶的使用者在 2022 年 3 月 1 日之前啟用了 MFA,例外狀況才會被認可。 未遵守 MFA 要求可能會導致客戶租戶存取中斷。

Microsoft Entra ID 和合作夥伴中心藉由檢查 MFA 宣告是否存在來確認 MFA 驗證是否已執行,藉此強制執行合作夥伴的安全性需求。 自 2019 年 11 月 18 日起,Microsoft對合作夥伴租用戶啟用更多安全性保護措施,先前稱為「技術強制執行」。

啟用時,合作夥伴租戶中的使用者在執行任何代表 (AOBO) 之操作時,會被要求完成 MFA 驗證。 當使用者存取合作夥伴中心或呼叫合作夥伴中心 API 時,使用者也需要完成 MFA 驗證。 如需詳細資訊,請參閱 的合作夥伴租戶要求進行多重要素驗證。

不符合需求的合作夥伴應儘快實作這些措施,以避免任何業務中斷。 如果您使用 Microsoft Entra 多重要素驗證或Microsoft Entra 安全性預設值,則不需要採取任何其他動作。

如果您使用非Microsoft MFA 解決方案,則可能不會發出 MFA 宣告。 當宣告遺失時,Microsoft Entra ID 無法判斷 MFA 是否挑戰驗證要求。 如需如何確認解決方案發出預期宣告的資訊,請參閱 測試合作夥伴安全性需求

重要

如果您的非Microsoft解決方案未發出預期的宣告,請與開發解決方案的廠商合作,以判斷要採取的動作。

資源和範例

如需支援和範例程式代碼,請參閱下列資源:

相關內容