分享方式:


使用合作夥伴中心或合作夥伴中心 API 的安全性需求

適當的角色:所有合作夥伴中心使用者

身為顧問、控制面板廠商或 雲端解決方案提供者 (CSP) 合作夥伴,您有關於驗證選項和其他安全性考慮的決策。

您和您的客戶的隱私權保護和安全性是我們的首要任務之一。 我們知道最好的防守是預防,我們只是像我們最薄弱的聯繫一樣強大。 這就是為什麼我們需要生態系統中的每個人,以確保適當的安全性保護已就緒。

必要的安全性需求

CSP 計劃可讓客戶透過合作夥伴購買Microsoft產品和服務。 根據他們與Microsoft的合約,合作夥伴必須管理環境,併為他們銷售的客戶提供支援。

透過此通道購買的客戶會將信任您作為合作夥伴,因為您擁有客戶租使用者的高許可權系統管理員存取權。

未實作強制安全性需求的合作夥伴將無法在 CSP 計劃中交易,或使用委派的系統管理員許可權管理客戶租使用者。 此外,未實作安全性需求的合作夥伴可能會讓參與計劃面臨風險。

與合作夥伴安全性需求相關聯的條款已新增至 Microsoft 合作夥伴合約。 Microsoft 合作夥伴合約 (MPA) 會定期更新,Microsoft建議所有合作夥伴定期檢查。 與顧問相關的是,相同的合約需求也將備妥。

所有合作夥伴都必須遵守 安全性最佳做法 ,才能保護合作夥伴和客戶環境。 遵守這些最佳做法有助於減輕安全性問題並補救安全性呈報,確保客戶的信任不會遭到入侵。

為了保護您的客戶,我們需要合作夥伴立即採取下列動作:

為合作夥伴租使用者中的所有用戶帳戶啟用 MFA

您必須在合作夥伴租使用者中的所有用戶帳戶上強制執行 MFA。 使用者帳戶在登入 Microsoft 商業雲端服務,或是透過合作夥伴中心或 API 在雲端解決方案提供者計畫中進行交易時,都必須經過 MFA 的查問。

MFA 強制執行遵循下列指導方針:

  • 使用支援Microsoft Microsoft Entra 多重要素驗證的合作夥伴。 如需詳細資訊,請參閱 啟用Microsoft Entra 多重要素驗證 的多種方式(支援 MFA)
  • 實作任何第三方 MFA 和例外狀況清單一部分的合作夥伴仍然可以存取合作夥伴中心和 API,但無法使用 DAP/GDAP 管理客戶(不允許例外狀況)
  • 如果合作夥伴的組織先前已獲授與 MFA 的例外狀況,在 2022 年 3 月 1 日之前,管理客戶租用戶作為 CSP 計劃的一部分的使用者,必須在 2022 年 3 月 1 日之前啟用Microsoft MFA 需求。 不符合 MFA 需求可能會導致客戶租使用者存取中斷。
  • 深入瞭解 如何為您的合作夥伴租使用者指定多重要素驗證 (MFA)。

採用安全應用程式模型架構

所有與合作夥伴中心 API 整合的合作夥伴,都必須針對任何應用程式和使用者驗證模型應用程式採用安全應用程式模型架構

重要

我們強烈建議合作夥伴實作安全應用程式模型,以與 Microsoft API (例如 Azure Resource Manager、Microsoft Graph) 進行整合,或利用使用者認證來運用自動化 (例如 PowerShell),以避免在強制執行 MFA 時發生任何中斷。

這些安全性需求有助於保護您的基礎結構,並保護客戶的數據免於潛在的安全性風險,例如識別竊取或其他詐騙事件。

其他安全性需求

客戶信任您作為其合作夥伴,以提供增值服務。 您必須採取所有安全性措施,以保護客戶的信任和您作為合作夥伴的聲譽。

Microsoft會繼續新增強制執行措施,讓所有合作夥伴都必須遵守並排定客戶安全性的優先順序。 這些安全性需求有助於保護您的基礎結構,並保護客戶的數據免於潛在的安全性風險,例如識別竊取或其他詐騙事件。

合作夥伴負責確保他們採用零信任的原則,特別是下列各項。

委派的系統管理員許可權 (DAP)

委派的系統管理員許可權 (DAP) 可代表他們管理客戶的服務或訂用帳戶。 客戶必須授與該服務的合作夥伴系統管理許可權。 由於提供給合作夥伴來管理客戶的許可權高度提升,Microsoft建議所有合作夥伴 移除非作用中的 DAP。 使用委派系統管理員許可權管理客戶租使用者的所有合作夥伴都應該從合作夥伴中心移除非作用中的 DAP,以防止對客戶租使用者及其資產造成任何影響。

如需詳細資訊,請參閱監視系統管理關聯性和自助式 DAP 移除指南委派的系統管理許可權常見問題,以及以委派的系統管理許可權為目標的 NOBELIUM。

此外,DAP 即將淘汰。 我們強烈建議所有主動使用 DAP 來管理其客戶租用戶的合作夥伴,並移至最低許可權 的細微委派系統管理員許可權模型 ,以安全地管理其客戶的租使用者。

轉換至最低許可權角色以管理您的客戶租使用者

由於 DAP 即將淘汰,因此Microsoft強烈建議您遠離目前的 DAP 模型(這可提供系統管理員代理程式常設或永久全域管理員存取權),並以更細緻的委派存取模型取代它。 細部委派的存取模型可降低客戶的安全性風險,以及這些風險對他們的影響。 它也可讓您控制及彈性,以管理客戶服務和環境的員工工作負載層級限制每位客戶的存取權。

如需詳細資訊,請參閱細微委派的系統管理員許可權概觀、最低許可權角色的資訊,以及 GDAP 常見問題

監看 Azure 詐騙通知

身為 CSP 計劃的合作夥伴,您必須負責客戶的 Azure 使用量,因此請務必瞭解客戶 Azure 訂用帳戶中任何潛在的加密貨幣採礦活動。 此認知可讓您立即採取行動,以判斷行為是否合法或詐騙,並在必要時暫停受影響的 Azure 資源或 Azure 訂用帳戶以減輕問題。

如需詳細資訊,請參閱 Azure 詐騙偵測和通知

註冊 Microsoft Entra ID P2

CSP 租使用者中的所有系統管理員代理程式都應該藉由實 作 Microsoft Entra ID P2 來強化其網路安全性,並利用各種功能來強化 CSP 租使用者。 Microsoft Entra ID P2 提供登入記錄和進階功能的延伸存取,例如Microsoft Entra Privileged Identity Management (PIM) 和風險型條件式存取功能,以加強安全性控制。

遵循 CSP 安全性最佳做法

請務必遵循安全性的所有 CSP 最佳做法。 若要深入瞭解,請參閱 雲端解決方案提供者 安全性最佳做法

實作多重要素驗證

若要符合合作夥伴的安全性需求,您必須為合作夥伴租用戶中的每個使用者帳戶實作並強制執行 MFA。 您可以使用下列其中一種方法執行這個動作:

安全性預設值

合作夥伴可以選擇實作 MFA 需求的其中一個選項是啟用Microsoft Entra 識別碼中的安全性預設值。 安全性預設值提供基本層級的安全性,且無需額外費用。 在啟用安全性預設值之前,請檢閱如何使用 Microsoft Entra ID 和下列重要考慮,為您的組織啟用 MFA。

  • 已採用基準原則的合作夥伴必須採取動作,才能轉換成安全性預設值。
  • 安全性預設值可取代預覽基準原則的一般可用性。 合作夥伴啟用安全性預設值之後,就無法啟用基準原則。
  • 使用安全性預設值時,會一次啟用所有原則。
  • 對於使用 條件式存取的合作夥伴, 無法使用安全性預設值
  • 舊版驗證通訊協定會遭到封鎖。
  • Microsoft Entra Connect 同步處理帳戶會從安全性預設值中排除,而且不會提示您註冊或執行多重要素驗證。 組織不應該將此帳戶用於其他用途。

如需詳細資訊,請參閱 組織Microsoft Entra 多重要素驗證 的概觀和 什麼是安全性預設值?

注意

Microsoft Entra 安全性預設值是簡化基準保護原則的演進。 如果您已啟用基準保護原則,強烈建議您啟用 安全性預設值

實作常見問題 (FAQ)

這些需求適用於您夥伴租用戶中的所有使用者帳戶,因此您必須考量若干事項,以確保能夠順利部署。 例如,在 Microsoft Entra ID 中識別無法執行 MFA 的用戶帳戶,以及組織中不支援新式驗證的應用程式和裝置。

執行任何動作之前,建議您先完成下列驗證。

您是否有不支援使用新式驗證的應用程式或裝置?

當您強制執行 MFA 時,舊版驗證會使用 IMAP、POP3、SMTP 等通訊協定遭到封鎖,因為它們不支援 MFA。 若要解決這項限制,請使用 應用程式密碼 功能來確保應用程式或裝置仍會進行驗證。 請檢閱使用應用程式密碼的考量事項,以確認是否可在您的環境中加以使用。

您是否有 Office 365 使用者具有與合作夥伴租用戶相關聯的授權?

在實作任何解決方案之前,建議您先判斷合作夥伴租使用者中哪些Microsoft Office 使用者版本正在使用。 您的使用者可能會遇到 Outlook 等應用程式的連線問題。 強制執行 MFA 之前,請務必確定您使用 Outlook 2013 SP1 或更新版本,且您的組織已啟用新式驗證。 如需詳細資訊,請參閱在 Exchange Online 中啟用新式驗證

若要為執行已安裝 office 2013 Microsoft Windows 的裝置啟用新式驗證,您必須建立兩個登錄機碼。 請參閱為 Windows 裝置上的 Office 2013 啟用新式驗證

是否有原則防止任何使用者在工作時使用其行動裝置?

請務必識別任何公司原則,以防止員工在工作時使用行動裝置,因為它會影響您實作的 MFA 解決方案。 有一些解決方案,例如透過實作 Microsoft Entra 安全性預設值所提供的解決方案,只允許使用驗證器應用程式進行驗證。 如果您的組織有防止使用行動裝置的原則,則應該考量下列其中一個選項:

  • 部署可在安全系統上執行的以時間為基礎的一次性基礎密碼 (TOTP) 應用程式。

您必須使用使用者認證進行驗證的自動化或整合?

針對每個使用者強制執行 MFA,包括合作夥伴目錄中的服務帳戶,可能會影響任何使用使用者認證進行驗證的自動化或整合。 因此,請務必識別在這些情況下所使用的帳戶。 請參閱下列範例應用程式或服務的清單以供考慮:

上述清單並不全面,因此請務必對環境中使用使用者認證進行驗證的任何應用程式或服務執行完整評估。 若要與 MFA 的需求抗衡,您應該盡可能在安全應用程式模型架構中實作指導方針。

存取您的環境

若要進一步瞭解哪些或誰在未經 MFA 挑戰的情況下進行驗證,建議您檢閱登入活動。 透過Microsoft Entra ID P1 或 P2,您可以使用登入報告。 如需此主題的詳細資訊,請參閱 Microsoft Entra 系統管理中心的登入活動報告。 如果您沒有Microsoft Entra ID P1 或 P2,或想要透過 PowerShell 取得此登入活動的方式,則必須從合作夥伴中心 PowerShell 模組使用 Get-PartnerUserSignActivity Cmdlet。

強制執行需求的方式

如果合作夥伴的組織先前已獲授與 MFA 的例外狀況,則管理客戶租用戶作為 CSP 計劃的一部分的用戶必須在 2022 年 3 月 1 日之前啟用Microsoft MFA 需求。 不符合 MFA 需求可能會導致客戶租使用者存取中斷。

合作夥伴安全性需求是由 Microsoft Entra ID 強制執行,然後藉由檢查 MFA 宣告是否存在,以識別 MFA 驗證是否已進行。 自 2019 年 11 月 18 日起,Microsoft已對合作夥伴租用戶啟用更多安全性保護措施(先前稱為「技術強制執行」)。

啟用時,合作夥伴租使用者中的使用者會在代表 (AOBO) 作業執行任何系統管理員、存取合作夥伴中心或呼叫合作夥伴中心 API 時,要求完成 MFA 驗證。 如需詳細資訊,請參閱 為您的合作夥伴租使用者管理多重要素驗證 (MFA)。

不符合需求的合作夥伴應儘快實作這些措施,以避免任何業務中斷。 如果您使用 Microsoft Entra 多重要素驗證或Microsoft Entra 安全性預設值,則不需要採取任何其他動作。

如果您使用第三方 MFA 解決方案,可能會發出 MFA 宣告。 如果遺漏此宣告,Microsoft Entra ID 將無法判斷驗證要求是否受到 MFA 的挑戰。 如需如何確認解決方案發出預期宣告的資訊,請參閱 測試合作夥伴安全性需求

重要

如果您的第三方解決方案未發出預期的宣告,您必須與開發解決方案的廠商合作,以判斷應該採取的動作。

資源和範例

如需支援和範例程式碼,請參閱下列資源: