共用方式為


CSP 安全性最佳做法

存取合作夥伴中心和合作夥伴中心 API 之 雲端解決方案提供者 (CSP) 計劃中的所有合作夥伴,都應該遵循本文中的安全性指引來保護自己和客戶。

如需客戶安全性,請參閱 客戶安全性最佳做法

重要

自 2023 年 6 月 30 日起,Azure Active Directory (Azure AD) Graph 已淘汰。 接下來,我們不會對 Azure AD Graph 進行進一步的投資。 Azure AD Graph API 除了安全性相關修正之外,沒有 SLA 或維護承諾。 我們只會對 Microsoft Graph 投資發展新的功能。

我們會以累加步驟淘汰 Azure AD Graph,讓您有足夠的時間將應用程式移轉至 Microsoft Graph API。 在稍後宣佈的日期,我們將封鎖使用 Azure AD Graph 建立任何新的應用程式。

若要深入瞭解,請參閱 重要事項:Azure AD Graph 淘汰和 Powershell 模組淘汰

身分識別最佳做法

需要多重要素驗證

  • 請確定 合作夥伴中心租用戶和客戶租使用者中的所有使用者 都已註冊,且需要多重要素驗證 (MFA)。 有各種方式可以設定 MFA。 選擇套用至您要設定之租使用者的方法:
  • 請確定使用的 MFA 方法是防網路釣魚。 您可以使用無密碼驗證數位比對來執行此動作。
  • 如果客戶拒絕使用 MFA,請勿將任何系統管理員角色存取權提供給Microsoft Entra ID,或寫入 Azure 訂用帳戶的許可權。

應用程式存取

最低許可權 / 沒有常設存取權

  • 具有Microsoft Entra 特殊許可權內建角色的用戶不應該定期使用這些帳戶進行電子郵件和共同作業。 為共同作業工作建立沒有Microsoft Entra 系統管理角色的個別用戶帳戶。
  • 檢閱系統管理員代理程式群組,並移除不需要存取權的人員。
  • 定期檢閱Microsoft Entra ID 中的系統管理角色存取權,並盡可能限制對少數帳戶的存取。 如需詳細資訊,請參閱 Microsoft Entra 內建角色
  • 離開公司或變更公司內角色的用戶應該從合作夥伴中心存取權中移除。
  • 如果您有Microsoft Entra ID P2,請使用 Privileged Identity Management (PIM) 強制執行 Just-In-Time (JIT) 存取。 使用雙重監管來檢閱和核准Microsoft Entra 系統管理員角色和合作夥伴中心角色的存取權。
  • 如需保護特殊許可權角色,請參閱 保護特殊許可權存取概觀
  • 定期檢閱客戶環境的存取權。

身分識別隔離

  • 請避免在裝載內部 IT 服務的相同Microsoft Entra 租使用者中裝載合作夥伴中心實例,例如電子郵件和共同作業工具。
  • 針對具有客戶存取權的合作夥伴中心特殊許可權使用者,使用個別的專用用戶帳戶。
  • 請避免在客戶Microsoft Entra 租使用者中建立用戶帳戶,以供合作夥伴用來管理客戶租使用者和相關應用程式和服務。

裝置最佳做法

  • 僅允許合作夥伴中心和客戶租使用者從已註冊且狀況良好的工作站存取受控安全性基準,並受到安全性風險的監視。
  • 針對具有特殊許可權存取客戶環境的合作夥伴中心使用者,請考慮要求這些使用者存取客戶環境的專用工作站(虛擬或實體)。 如需詳細資訊,請參閱保護特殊權限存取

監視最佳做法

合作夥伴 API

  • 所有 控制台 廠商都應該啟用安全的應用程式模型,並開啟每個用戶活動的記錄。
  • 控制台 廠商應啟用每個合作夥伴代理程式登入應用程式的稽核,以及採取的所有動作。

登入監視和稽核

  • 具有Microsoft Entra ID P2 授權的合作夥伴會自動符合資格,以將稽核和登入記錄數據保留最多 30 天。

    確認:

    • 稽核記錄已就地使用委派的系統管理員帳戶。
    • 記錄會擷取服務所提供的詳細數據層級上限。
    • 記錄會保留一段可接受的期間(最多 30 天),以偵測異常活動。

    詳細的稽核記錄可能需要購買更多服務。 如需詳細資訊,請參閱 Microsoft Entra ID 儲存報告數據多久?

  • 定期檢閱並確認具有特殊許可權 Entra 系統管理員角色之所有使用者Microsoft Entra 標識符內的密碼復原電子郵件地址和電話號碼,並視需要更新。

    • 如果客戶的租使用者遭到入侵:CSP 直接計費合作夥伴、間接提供者或間接轉銷商 無法 連絡支持人員,要求客戶租使用者中的系統管理員密碼變更。 客戶必須依照重設我的系統管理員密碼主題中的指示,呼叫Microsoft支援。 [重設我的系統管理員密碼] 主題具有客戶可用來呼叫 Microsoft 支援服務 的連結。 指示客戶提及 CSP 無法再存取其租使用者,以協助重設密碼。 CSP 應該考慮暫停客戶的訂用帳戶,直到重新取得存取權並移除違規者為止。
  • 實作稽核記錄最佳做法,並定期檢閱委派的系統管理員帳戶所執行的活動。

  • 合作夥伴應檢閱 其環境內有風險的用戶報告 ,並根據已發佈的指引處理偵測到呈現風險的帳戶。