共用方式為

CSP 安全性最佳做法

  • 發行項

參與雲端解決方案提供者 (CSP) 計劃的所有合作夥伴,在存取合作夥伴中心合作夥伴中心 API時,應遵循本文中的安全性指引,以保護自己和客戶。

如需了解客戶安全性,請參閱客戶安全性最佳實踐。 如需管理服務主體的最佳做法,請參閱在 Microsoft Entra ID 中保護服務主體。

重要

自 2023 年 6 月 30 日起,Azure Active Directory (Azure AD) Graph 已淘汰。 接下來,我們不會對 Azure AD Graph 進行進一步的投資。 Azure AD Graph API 除了安全性相關修正之外,沒有 SLA 或維護承諾。 我們只會在 Microsoft Graph 投資新的功能和特性。

我們會以累加步驟淘汰 Azure AD Graph,讓您有足夠的時間將應用程式移轉至 Microsoft Graph API。 在稍後宣佈的日期,我們將封鎖使用 Azure AD Graph 建立任何新的應用程式。

若要深入瞭解,請參閱 重要事項:Azure AD Graph 停用及 PowerShell 模組淘汰

  • 在合作夥伴中心租戶中新增一位負責安全性問題通知的安全性聯繫人。
  • 在 Microsoft Entra ID 中檢查您的身分識別安全分數,並採取適當措施來提高您的分數。
  • 查看並實施在管理未支付、詐騙或濫用中記錄的指導方針。
  • 熟悉 NOBELIUM 威脅組織和相關資料:
    • NOBELIUM 針對委派的管理特權以促進更廣泛的攻擊
    • NOBELIUM 回應訓練
    • 保護通道:零信任旅程

身分識別最佳做法

需要多重要素驗證

  • 請確保您的合作夥伴中心租戶和客戶租戶中的所有使用者都已註冊,並且需要使用多重要素驗證 (MFA)。 有各種方式可以設定 MFA。 選擇適用於您正在設定的租戶的方法:
    • 我的合作夥伴中心/客戶的租戶使用 Microsoft Entra ID P1
    • 我的合作夥伴中心/客戶的租戶擁有 Microsoft Entra ID P2
      • 使用 條件式存取 來強制施行 MFA。
      • 使用 Microsoft Entra 身分識別保護來實施風險導向的原則。
      • 針對您的合作夥伴中心租戶,根據您的內部使用權(IUR)權益,您可能符合資格獲得 Microsoft 365 E3 或 E5。 這些 SKU 分別包含Microsoft Entra ID P1 或 2。
      • 針對客戶的租用戶,建議您啟用 安全性預設值
        • 如果您的客戶使用需要舊版驗證的應用程式,在您啟用安全性預設值之後,這些應用程式將無法運作。 如果無法將應用程式取代、移除或更新以使用新式驗證,您可以透過每個使用者的 MFA 來強制執行 MFA。
        • 您可以使用下列 Graph API 呼叫來監視並強制執行客戶對安全性預設值的使用:
  • 請確保使用的多因素驗證(MFA)方法具有防釣魚攻擊的能力。 您可以使用無密碼驗證或數字匹配來完成此動作。
  • 如果客戶拒絕使用 MFA,不要授予他們 Microsoft Entra ID 的任何管理員角色存取權,或 Azure 訂用帳戶的寫入權限。

應用程式存取

  • 採用安全應用程式模型架構。 所有與合作夥伴中心 API 整合的合作夥伴,都必須針對所有應用程式和使用者驗證模型應用程式採用 Secure Application Model 框架。
  • 在合作夥伴中心的 Microsoft Entra 租戶中停用 使用者同意,或使用 系統管理員同意工作流程

最低許可權 / 沒有常設存取權

  • 具有Microsoft Entra 特殊許可權內建角色的用戶不應該定期使用這些帳戶進行電子郵件和共同作業。 為共同作業工作建立沒有Microsoft Entra 系統管理角色的個別用戶帳戶。
  • 檢閱系統管理員代理程式群組,並移除不需要存取權的人員。
  • 定期檢閱Microsoft Entra ID 中的系統管理角色存取權,並盡可能限制對少數帳戶的存取。 如需詳細資訊,請參閱 Microsoft Entra 內建角色
  • 離開公司或變更公司內角色的用戶應該從合作夥伴中心存取權中移除。
  • 如果您具有 Microsoft Entra ID P2,請使用特權身分管理 (PIM) 來強制執行及時存取 (JIT)。 使用雙重監管來檢閱和核准Microsoft Entra 系統管理員角色和合作夥伴中心角色的存取權。
  • 如需保護特權角色,請參閱 保護特權存取概觀
  • 定期檢閱客戶環境的存取權限。
    • 拿掉非活躍的委派系統管理許可權(DAP)
    • GDAP 常見問題。
    • 請確保 GDAP 關係正在利用具備所需最低許可權的角色。

身分識別隔離

  • 請避免在裝載內部 IT 服務(例如電子郵件和共同作業工具)的相同 Microsoft Entra 租使用者中裝載 Partner Center 實例。
  • 針對具有客戶存取權的合作夥伴中心特殊許可權使用者,使用個別的專用用戶帳戶。
  • 請避免在客戶Microsoft Entra 租使用者中建立用戶帳戶,以供合作夥伴用來管理客戶租使用者和相關應用程式和服務。

裝置最佳做法

  • 僅允許從已註冊、受安全性基準控管且狀況良好並受到安全風險監控的工作站,存取合作夥伴中心和客戶租戶。
  • 針對具有特殊許可權存取客戶環境的合作夥伴中心使用者,請考慮要求這些使用者存取客戶環境的專用工作站(虛擬或實體)。 如需詳細資訊,請參閱保護特權存取。

監測最佳實踐

合作夥伴中心 API

  • 所有控制面板廠商都應該啟用安全的應用程式模型,並開啟每個用戶活動的記錄。
  • 控制面板廠商應啟用對每位合作夥伴代理程式的登入和所有採取動作的稽核。

登入活動監視和稽核

  • 具有Microsoft Entra ID P2 授權的合作夥伴會自動符合資格,以將稽核和登入記錄數據保留最多 30 天。

    確認:

    • 已經實施了稽核記錄以用於委派的系統管理員帳戶。
    • 記錄會擷取服務所提供的最詳細的數據。
    • 記錄會保留一段可接受的期間(最多 30 天),以偵測異常活動。

    詳細的稽核記錄可能需要購買更多服務。 如需詳細資訊,請參閱 Microsoft Entra ID 儲存報告數據的保存時間?

  • 定期檢閱並確認具有特殊許可權 Entra 系統管理員角色之所有使用者Microsoft Entra 標識符內的密碼復原電子郵件地址和電話號碼,並視需要更新。

    • 如果客戶的租戶遭到入侵:CSP 直接計費合作夥伴、間接提供者或間接轉銷商 無法 聯絡支援,要求更改客戶租戶中系統管理員的密碼。 客戶必須按照「重設我的系統管理員密碼」主題中的指示,致電 Microsoft 支援。 重設我的系統管理員密碼主題包含客戶可用來撥打 Microsoft 支援服務的連結。 指示客戶提及 CSP 無法再存取其租使用者,以協助重設密碼。 CSP 應該考慮暫停客戶的訂用帳戶,直到重新取得存取權並移除違規者為止。

  • 實作稽核記錄最佳做法,並定期檢閱委派的系統管理員帳戶所執行的活動。

    • 什麼是 Microsoft Entra 報表?
    • 使用 Azure Monitor 日誌分析活動日誌
    • Microsoft Entra 審核活動參考

  • 合作夥伴應檢閱 其環境內有風險的用戶報告 ,並根據已發佈的指引處理偵測到呈現風險的帳戶。

    • 補救風險並解除使用者封鎖
    • Microsoft Entra ID Protection 的使用者體驗

相關內容