CSP 安全最佳做法

访问合作伙伴中心和合作伙伴中心 API 的 云解决方案提供商 （CSP） 计划中的所有合作伙伴都应遵循本文中的安全指南来保护自己和客户。

有关客户安全性，请参阅 客户安全最佳做法。

重要

截至 2023 年 6 月 30 日，已弃用 Azure Active Directory （Azure AD） Graph。 今后，我们在 Azure AD Graph 中没有进一步的投资。 除了与安全相关的修补程序之外，Azure AD Graph API 没有 SLA 或维护承诺。 对新特性和功能的投资将仅在 Microsoft Graph 中进行。

我们将以增量步骤停用 Azure AD Graph，以便有足够的时间将应用程序迁移到 Microsoft Graph API。 稍后我们将宣布，我们将阻止使用 Azure AD Graph 创建任何新应用程序。

若要了解详细信息，请参阅 重要说明：Azure AD Graph 停用和 Powershell 模块弃用。

租户中强烈建议执行的步骤

• 在合作伙伴中心租户中添加与安全相关的问题通知的安全联系人 。
• 在 Microsoft Entra ID 中检查标识安全分数，并采取相应的措施提高分数。
• 查看并实施管理非付款、欺诈或滥用中记录的指南。
• 熟悉诺贝尔奖威胁参与者和相关材料：
  • NOBELIUM 以委派管理权限为目标，将攻击范围扩大
  • 诺贝尔奖响应训练
  • 保护通道：零信任之旅

标识最佳做法

要求多重身份验证

• 确保 合作伙伴中心租户和客户租户中的所有用户 都已注册并要求多重身份验证（MFA）。 可通过多种方式配置 MFA。 选择适用于要配置的租户的方法：
  • 我的合作伙伴中心/客户的租户Microsoft Entra ID P1
    • 使用 条件访问 强制实施 MFA。
  • 我的合作伙伴中心/客户的租户Microsoft Entra ID P2
    • 使用 条件访问 强制实施 MFA。
    • 使用Microsoft Entra ID 保护实现基于风险的策略。
    • 对于合作伙伴中心租户，根据内部使用权限（IUR）权益，你可能有资格获得 Microsoft 365 E3 或 E5。 这些 SKU 分别包括 Microsoft Entra ID P1 或 2。
    • 对于客户的租户，我们建议启用 安全默认值。
      • 如果客户正在使用需要旧式身份验证的应用，则启用安全默认值后，这些应用将无法正常运行。 如果无法替换、删除或更新应用以使用新式身份验证，可以通过每个用户 MFA 强制实施 MFA。
      • 可以使用以下图形 API 调用来监视和强制客户使用安全默认值：
        • identitySecurityDefaultsEnforcementPolicy 资源类型 - Microsoft Graph v1.0 |Microsoft Learn
• 确保使用的 MFA 方法具有防钓鱼性。 为此， 可以使用无密码身份验证 或 数字匹配。
• 如果客户拒绝使用 MFA，请不要向他们提供对 Microsoft Entra ID 的任何管理员角色访问权限，或向 Azure 订阅写入权限。

应用访问

• 采用安全应用程序模型框架。 所有集成合作伙伴中心 API 的合作伙伴必须对任何应用和用户身份验证模型应用程序采用安全应用程序模型框架。
• 在 合作伙伴中心禁用用户同意 Microsoft Entra 租户或使用 管理员许可工作流。

最小特权/无站立访问权限

• 具有 Microsoft Entra 特权内置角色的用户不应定期将这些帐户用于电子邮件和协作。 为协作任务创建没有Microsoft Entra 管理角色的单独用户帐户。
• 查看管理员代理组并删除不需要访问权限的人员。
• 定期查看 Microsoft Entra ID 中的管理角色访问权限，并限制对尽可能少的帐户的访问权限。 有关详细信息，请参阅 Microsoft Entra 内置角色。
• 离开公司或更改公司内部角色的用户应从合作伙伴中心访问权限中删除。
• 如果你有Microsoft Entra ID P2，请使用 Privileged Identity Management （PIM） 强制实施实时 （JIT） 访问。 使用双重监护权来评审和批准Microsoft Entra 管理员角色和合作伙伴中心角色的访问权限。
• 有关保护特权角色，请参阅 “保护特权访问”概述。
• 定期查看对客户环境的访问权限。
  • 删除非活动委派管理权限（DAP）。
  • GDAP 常见问题解答。
  • 确保 GDAP 关系利用具有最低特权的角色。

标识隔离

• 避免在托管内部 IT 服务的同一Microsoft Entra 租户中托管合作伙伴中心实例，例如电子邮件和协作工具。
• 为具有客户访问权限的合作伙伴中心特权用户使用单独的专用用户帐户。
• 避免在客户Microsoft Entra 租户中创建用户帐户，这些租户供合作伙伴用来管理客户租户和相关应用和服务。

设备最佳做法

• 仅允许合作伙伴中心和客户租户从具有托管安全基线且受监视的安全风险的已注册正常运行的工作站进行访问。
• 对于有权访问客户环境的合作伙伴中心用户，请考虑要求这些用户访问客户环境的专用工作站（虚拟或物理）。 有关详细信息，请参阅保护特权访问。

监视最佳做法

合作伙伴中心 API

• 所有控制面板供应商都应启用安全应用程序模型，并为每个用户活动启用日志记录。
• 控制面板供应商应允许审核每个合作伙伴代理登录到应用程序并执行的所有操作。

登录监视和审核

• 具有 Microsoft Entra ID P2 许可证的合作伙伴自动有资格将审核和登录日志数据保留长达 30 天。

  确认：

  • 审核日志记录用于使用委派的管理员帐户。
  • 日志将捕获服务提供的最大详细信息级别。
  • 日志会保留一个可接受的时间段（最多 30 天），以便检测异常活动。

  详细的审核日志记录可能需要购买更多服务。 有关详细信息，请参阅 Microsoft Entra ID 存储报告数据多长时间？

• 定期查看并验证具有特权 Entra 管理员角色的所有用户Microsoft Entra ID 中的密码恢复电子邮件地址和电话号码，并在必要时进行更新。

  • 如果客户的租户遭到入侵：CSP 直接计费合作伙伴、间接提供商或间接经销商 无法 联系支持人员，请求客户租户中的管理员密码更改。 客户必须按照主题“重置管理员密码”中的说明拨打Microsoft支持人员。 “重置我的管理员密码”主题包含客户可用于呼叫Microsoft 支持部门的链接。 指示客户提及 CSP 不再有权访问其租户，以帮助重置密码。 CSP 应考虑暂停客户的订阅，直到重新获得访问权限并删除冒犯方。

• 实施审计日志记录最佳实践并对委派管理员帐户执行的活动进行例行审查。

  • 什么是 Microsoft Entra 报表？
  • 使用 Azure Monitor 日志分析活动日志
  • Microsoft Entra 审核活动参考

• 合作伙伴应查看 其环境中有风险的用户报告 ，并根据发布的指南解决检测到存在风险的帐户。

  • 修正风险并对用户解除阻止
  • Microsoft Entra ID 保护的用户体验

相关材料

• 有关管理服务主体的最佳做法，请参阅 Microsoft Entra ID 中的保护服务主体。
• 合作伙伴安全要求
• 零信任的指导原则
• 客户安全最佳做法