CSP 安全性最佳做法

存取合作夥伴中心和合作夥伴中心API 之 雲端解決方案提供者 （CSP） 計劃中的所有合作夥伴都應該遵循本文中的安全性指引來保護自己和客戶。

如需客戶安全性，請參閱 客戶安全性最佳做法。

重要

自 2023 年 6 月 30 日起，Azure Active Directory （Azure AD） Graph 已淘汰。 接下來，我們不會對 Azure AD Graph 進行進一步的投資。 Azure AD Graph API 除了安全性相關修正之外，沒有 SLA 或維護承諾。 對新功能的投資只會在 Microsoft Graph 中進行。

我們會以累加步驟淘汰 Azure AD Graph，讓您有足夠的時間將應用程式遷移至 Microsoft Graph API。 在稍後宣佈的日期，我們將封鎖使用 Azure AD Graph 建立任何新的應用程式。

若要深入瞭解，請參閱 重要事項：Azure AD Graph 淘汰和 Powershell 模組淘汰。

租用戶中強烈建議的步驟

• 在合作夥伴中心租使用者中新增安全性相關問題通知的安全性聯繫人 。
• 在 Microsoft Entra ID 中檢查您的 身分識別安全分數 ，並採取適當的動作來提高分數。
• 檢閱並實作管理非付款、詐騙或誤用中所述的指導方針。
• 熟悉諾貝爾獎威脅演員和相關材料：
  • 諾貝爾文學以委派的系統管理特權為目標，以促進更廣泛的攻擊
  • 諾貝爾獎回應訓練
  • 保護通道：零信任旅程

身分識別最佳做法

需要多重要素驗證

• 請確定 合作夥伴中心租用戶和客戶租使用者中的所有使用者 都已註冊，且需要多重要素驗證 （MFA）。 有各種方式可以設定 MFA。 選擇套用至您要設定之租使用者的方法：
  • 我的合作夥伴中心/客戶的租使用者具有 Microsoft Entra ID P1
    • 使用 條件式存取 來強制執行 MFA。
  • 我的合作夥伴中心/客戶的租使用者有 Microsoft Entra ID P2
    • 使用 條件式存取 來強制執行 MFA。
    • 使用 Microsoft Entra ID Protection 實作以風險為基礎的原則 。
    • 針對合作夥伴中心租用戶，視您的內部使用權 （IUR） 權益而定，您可能符合 Microsoft 365 E3 或 E5 的資格。 這些 SKU 分別包含 Microsoft Entra ID P1 或 2。
    • 針對客戶的租用戶，建議您啟用 安全性預設值。
      • 如果您的客戶使用需要舊版驗證的應用程式，在您啟用安全性預設值之後，這些應用程式將無法運作。 如果無法取代、移除或更新應用程式以使用新式驗證，您可以透過 每個使用者的 MFA 強制執行 MFA。
      • 您可以使用下列 Graph API 呼叫來監視並強制執行客戶對安全性預設值的使用：
        • identitySecurityDefaultsEnforcementPolicy 資源類型 - Microsoft Graph v1.0 |Microsoft Learn
• 請確定使用的 MFA 方法是防網路釣魚。 您可以使用無密碼驗證或數位比對來執行此動作。
• 如果客戶拒絕使用 MFA，請勿提供 Microsoft Entra ID 的任何系統管理員角色存取權，或寫入 Azure 訂用帳戶的許可權。

應用程式存取

• 採用安全應用程式模型架構。 所有與合作夥伴中心 API 整合的合作夥伴，都必須針對任何應用程式和使用者驗證模型應用程式採用安全應用程式模型架構。
• 在合作夥伴中心 Microsoft Entra 租使用者中停用 使用者同意 或使用 管理員同意工作流程。

最低許可權 / 沒有常設存取權

• 擁有 Microsoft Entra 系統管理角色的使用者，例如全域管理員或安全性系統管理員，不應該定期使用這些帳戶進行電子郵件和共同作業。 為共同作業工作建立沒有 Microsoft Entra 系統管理角色的個別用戶帳戶。
• 檢閱 管理員 代理程式群組，並移除不需要存取權的人員。
• 定期檢閱 Microsoft Entra 識別碼中的系統管理角色存取權，並盡可能限制對少數帳戶的存取。 如需詳細資訊，請參閱 Microsoft Entra 內建角色。
• 離開公司或變更公司內角色的用戶應該從合作夥伴中心存取權中移除。
• 如果您有 Microsoft Entra ID P2，請使用 Privileged Identity Management （PIM） 來強制執行 Just-In-Time （JIT） 存取。 使用雙重監管來檢閱和核准 Microsoft Entra 系統管理員角色和合作夥伴中心角色的存取權。
• 如需保護特殊許可權角色，請參閱 保護特殊許可權存取概觀。
• 定期檢閱客戶環境的存取權。
  • 移除非使用中委派 管理員 權限 （DAP） 。
  • GDAP 常見問題。
  • 請確定 GDAP 關聯性利用具有所需最低許可權的角色。

身分識別隔離

• 請避免在裝載內部 IT 服務的相同 Microsoft Entra 租使用者中裝載合作夥伴中心實例，例如電子郵件和共同作業工具。
• 針對具有客戶存取權的合作夥伴中心特殊許可權使用者，使用個別的專用用戶帳戶。
• 避免在客戶 Microsoft Entra 租使用者中建立用戶帳戶，以供合作夥伴用來管理客戶租使用者和相關應用程式和服務。

裝置最佳做法

• 僅允許合作夥伴中心和客戶租使用者從已註冊且狀況良好的工作站存取受控安全性基準，並受到安全性風險的監視。
• 針對具有特殊許可權存取客戶環境的合作夥伴中心使用者，請考慮要求這些使用者存取客戶環境的專用工作站（虛擬或實體）。 如需詳細資訊，請參閱 保護特殊許可權存取。

監視最佳做法

合作夥伴 API

• 所有 控制台 廠商都應該啟用安全的應用程式模型，並開啟每個用戶活動的記錄。
• 控制台 廠商應該能夠稽核每個合作夥伴代理程式登入應用程式，以及採取的所有動作。

登入監視和稽核

• 具有 Microsoft Entra ID P2 授權的合作夥伴會自動符合資格，以將稽核和登入記錄數據保留最多 30 天。

  確認：

  • 稽核記錄已就地使用委派的系統管理員帳戶。
  • 記錄會擷取服務所提供的詳細數據層級上限。
  • 記錄會保留一段可接受的期間（最多 30 天），以偵測異常活動。

  詳細的稽核記錄可能需要購買更多服務。 如需詳細資訊，請參閱 Microsoft Entra ID 儲存報告數據多久？

• 定期檢視並確認 Microsoft Entra ID 內具有全域管理員角色的所有用戶的密碼復原電子郵件地址和電話號碼，並視需要更新。

  • 如果客戶的租使用者遭到入侵：CSP 直接計費合作夥伴、間接提供者或間接轉銷商無法連絡支持人員，要求客戶租使用者中的 管理員 istrator 密碼變更。 客戶必須遵循重設我的系統管理員密碼主題中的指示來呼叫 Microsoft 支援服務。 [重設我的系統管理員密碼] 主題具有客戶可用來呼叫 Microsoft 支援服務 的連結。 指示客戶提及 CSP 無法再存取其租使用者，以協助重設密碼。 CSP 應該考慮暫停客戶的訂用帳戶，直到重新取得存取權並移除違規者為止。

• 實作稽核記錄最佳做法，並定期檢閱委派的系統管理員帳戶所執行的活動。

  • 什麼是 Microsoft Entra 報表？
  • 使用 Azure 監視器記錄分析活動記錄
  • Microsoft Entra 稽核活動參考

• 合作夥伴應檢閱 其環境內有風險的用戶報告 ，並根據已發佈的指引處理偵測到呈現風險的帳戶。

  • 補救風險並將使用者解除封鎖
  • Microsoft Entra ID Protection 的使用者體驗

相關資料

• 如需管理服務主體的最佳做法，請參閱 保護 Microsoft Entra 標識符中的服務主體。
• 合作夥伴安全性需求
• 零信任 的指導原則
• 客戶安全性最佳做法