這很重要
此安全基準基於先前版本的 Microsoft Cloud Security Benchmark(v1.0),可能包含過時的指引。 欲了解最新安全指引,請參閱 通用列印文件。
此安全基準將 Microsoft 雲端安全基準 1.0 版本的指引應用於 Universal Print。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容依據 Microsoft 雲端安全基準及適用於 Universal Print 的相關指引所定義的安全控制措施進行分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。
當功能具有相關的 Azure 政策定義時,這些定義會列在此基準中,以協助您評估與 Microsoft 雲端安全性基準控制和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
備註
不適用於 Universal Print 的功能已被排除。 想了解 Universal Print 如何完全對應到 Microsoft 雲端安全基準,請參閱 完整的 Universal Print 安全基準對應檔案。
安全檔案
安全規範總結了通用列印的高影響行為,可能導致更高的安全考量。
| 服務行為屬性 | 價值觀 |
|---|---|
| 產品類別 | 管理/治理、印刷 |
| 客戶可以訪問主機/操作系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路中 | 否 |
| 儲存於靜止狀態的客戶資料 | 對 |
網路安全性
欲了解更多資訊,請參閱 Microsoft 雲端安全基準:網路安全。
NS-1:建立網路分割界限
Features
虛擬網路整合
說明:服務支援部署至客戶的私人虛擬網路(VNet)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
功能說明:Universal Print 沒有個別客戶控制的實例。 實例由 Universal Print 自動管理。
設定指引:此功能不支援以保護此服務。
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
Features
Data Plane Access 需要 Azure AD 認證
說明:服務支援使用 Azure AD 認證來存取資料平面。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
資料平面存取的本地認證方法
說明:支援資料平面存取的本地認證方法,例如本地使用者名稱與密碼。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
IM-3:安全地且自動管理應用程式身分識別
Features
管理式身分識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
服務負責人
說明:資料平面支援使用服務主體進行認證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
功能說明:Universal Print 有多個 Microsoft Graph API 端點可接受應用程式權限。
設定指引:此功能不支援以保護此服務。
IM-7:根據條件限制資源存取
Features
資料平面的條件存取
說明:資料平面存取可透過 Azure AD 條件存取政策來控制。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
特權存取
欲了解更多資訊,請參閱 Microsoft 雲端安全基準:特權存取。
PA-1:分隔及限制高許可權/系統管理使用者
Features
本地管理員帳號
說明:服務採用了本地管理帳戶的概念。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
PA-7:遵循適量管理(最小權限)原則
Features
適用於資料平面的 Azure RBAC
說明:Azure Role-Based 存取控制(Azure RBAC)可用於管理對服務資料平面動作的存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:你可以指定有限權限管理員來管理印表機。 Universal Print 在 Azure AD 中引入了兩個角色:
- 印表機管理員:此角色的使用者擁有管理通用列印中印表機所有面向的完整權限。
- 印表機技術員:可以註冊與取消註冊印表機並更新印表機狀態。
參考資料: Universal Print 管理員職務
PA-8:確定雲端提供者支援的存取流程
Features
客戶加密箱
說明:客戶鎖箱可用於 Microsoft 支援存取權限。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-1:探索、分類及標記敏感性資料
Features
敏感資料發現與分類
說明:工具(如 Azure Purview 或 Azure Information Protection)可用於服務中的資料發現與分類。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
DP-2:監視以敏感數據為目標的異常和威脅
Features
資料外洩/遺失防範
說明:此服務支援DLP 解決方案,以監控敏感資料移動(在客戶內容中)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
DP-3:加密傳輸中的敏感數據
Features
傳輸中的資料加密
描述:服務支援對於資料平面的傳輸中資料進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考資料: 資料加密
DP-4:預設啟用靜態資料加密
Features
使用平台金鑰的靜止資料加密
描述:支援使用平台金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 受控金鑰進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考資料: 通用印刷中的資料儲存
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
Features
使用 CMK 進行資料靜止加密
說明:服務中儲存的客戶內容支援使用客戶管理金鑰進行靜態資料加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能說明:此功能由 Microsoft 365 平台底層的客戶金鑰支援: 使用 Microsoft Purview 客戶金鑰進行服務加密
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考資料: 通用印刷中的資料儲存
資產管理
欲了解更多資訊,請參閱 Microsoft 雲端安全基準:資產管理。
AM-2:僅使用已核准的服務
Features
Azure 原則支援
說明:服務設定可透過 Azure Policy 監控與強制執行。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
記錄和威脅偵測
欲了解更多資訊,請參閱 Microsoft 雲端安全基準:日誌與威脅偵測。
LT-1:啟用威脅偵測功能
Features
Microsoft Defender 服務/產品方案
說明:Service 提供針對特定服務的 Microsoft Defender 解決方案,用於監控並警示安全問題。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
LT-4:啟用日誌以進行安全性調查
Features
Azure 資源記錄檔
說明:服務產生資源日誌,可提供強化的服務專屬指標與日誌。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收端,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
備份及復原
欲了解更多資訊,請參閱 Microsoft 雲端安全基準:備份與復原。
BR-1:確保定期自動備份
Features
服務原生備份能力
說明:服務支援自身的原生備份功能(若不使用 Azure Backup)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:此功能不支援以保護此服務。
後續步驟
- 請參閱 Microsoft 雲端安全性基準概觀
- 深入瞭解 Azure 安全性基準