使用合作伙伴中心或合作伙伴中心 API 的安全要求

  • 项目

相应的角色:所有合作伙伴中心用户

作为顾问、控制面板供应商或云解决方案提供商 (CSP) 合作伙伴,你需要在有关身份验证选项和其他安全注意事项方面做出决策。 为你和你的客户提供隐私和安全保护是我们的首要任务。 我们知道,最好的防御措施是防患于未然,链条的强度取决于其最弱的一环。 因此,我们需要生态系统中的所有人都行动起来,确保将安全保护措施实施到位。

强制性安全要求

CSP 计划允许客户通过合作伙伴购买 Microsoft 产品和服务。 根据与 Microsoft 的协议,合作伙伴需要为其销售给的客户管理环境并提供支持。 通过此渠道购买产品的客户信任你作为合作伙伴,因为你对客户租户拥有较高的管理访问特权。

未实施强制安全要求的合作伙伴将无法在 CSP 计划中进行交易或使用委派管理员权限管理客户租户。 另外,不实施安全要求的合作伙伴可能有无法参与计划的风险。 与合作伙伴安全要求相关的条款已添加到 Microsoft 合作伙伴协议中。 Microsoft 合作伙伴协议 (MPA) 定期更新,Microsoft 建议所有合作伙伴不时地回来查看。 由于与顾问相关,因此会实施相同的合同要求。

所有合作伙伴必须遵守安全最佳做法,以便能够保护合作伙伴和客户环境。 遵守这些最佳做法有助于缓解安全问题并修正安全升级,确保客户的信任不会受到损害。

为了保护你和你的客户,我们要求合作伙伴立即采取以下措施:为所有用户帐户启用 MFA 并采用安全应用程序模型框架。

为合作伙伴租户中的所有用户帐户启用 MFA

必须为合作伙伴租户中的所有用户帐户强制实施 MFA。 在登录到 Microsoft 商业云服务时,或者通过合作伙伴中心或 API 在云解决方案提供商计划中进行事务处理时,用户必须接受 MFA。 MFA 的强制实施遵循以下准则:

  • 使用 Microsoft 支持的 Azure AD 多重身份验证的合作伙伴。 有关详细信息,请参阅启用 Azure AD MFA 的多种方法(支持 MFA)
  • 实施任何第三方 MFA 和一部分例外列表的合作伙伴仍然可以访问合作伙伴中心门户和 API,只是无法使用 DAP/GDAP 管理客户(不允许例外)
  • 如果合作伙伴所在的组织先前被授予 MFA 例外,则必须在 2022 年 3 月 1 日之前,为在 CSP 计划中管理客户租户的用户启用 Microsoft MFA 要求。 不符合 MFA 要求可能导致失去客户租户访问权限。
  • 详细了解如何为合作伙伴租户强制执行多重身份验证 (MFA)

注意

现在将为合作伙伴的每个 CSP 租户提供 24 个月免费 Azure AD Premium P2 许可证,每个租户最多可以兑换 25 个席位。 请查看 Azure AD 条件访问以及基于风险的条件访问,以快速获取促销优惠,并设置 Azure AD 支持的 MFA 以实现强身份验证。 详细了解如何使用 Azure AD MFA 保护用户登录事件

采用安全应用程序模型框架

所有集成合作伙伴中心 API 的合作伙伴必须对任何应用和用户身份验证模型应用程序采用安全应用程序模型框架

重要

强烈建议合作伙伴实现安全应用程序模型,以便集成 Microsoft API(例如 Azure 资源管理器或 Microsoft Graph)或利用自动化时(例如使用用户凭据的 PowerShell),避免在强制实施 MFA 时出现任何中断。

这些安全要求将有助于保护你的基础结构与客户数据免受身份盗用或其他欺诈事件等潜在安全风险的影响。

其他安全要求

客户信任你作为他们的合作伙伴来提供增值服务。 必须采取所有安全措施来保护客户的信任,并进而保护你作为合作伙伴的声誉。 Microsoft 将持续增加强制措施,要求所有合作伙伴遵守并优先考虑其客户的安全。 这些安全要求将有助于保护你的基础结构与客户数据免受身份盗用或其他欺诈事件等潜在安全风险的影响。

合作伙伴需负责确保采用零信任原则,具体而言,包括以下原则。

委派管理员特权 (DAP)

委派管理员特权 (DAP) 提供代表客户管理其服务或订阅的功能。 客户必须授予合作伙伴对该服务的管理权限。 由于向合作伙伴提供的用于管理客户的特权会大幅提升,因此 Microsoft 建议所有合作伙伴删除非活动的 DAP。 使用委派管理员特权管理客户租户的所有合作伙伴应从合作伙伴中心门户中删除非活动的 DAP,以防止对客户租户及其资产造成任何影响。

有关详细信息,请参阅监视管理关系和自助式 DAP 删除指南委派管理员特权常见问题解答面向委派管理员特权的 NOBELIUM 指南

此外,DAP 即将弃用,我们强烈建议所有正在主动使用 DAP 管理客户租户的合作伙伴改用最低特权的精细委派管理特权模型来安全地管理客户租户。

过渡到最低特权角色以管理客户租户

由于 DAP 即将弃用,Microsoft 强烈建议放弃当前的 DAP 模型(为管理员代理提供常设或永久的全局管理员访问权限),并将其替代为精细委派访问模型。 精细委派访问模型可以降低客户的安全风险及其对客户的影响。 它还为你提供控制力和灵活性,以在管理客户服务和环境的员工的工作负载级别限制每个客户的访问权限。

有关详细信息,请参阅精细委派管理特权 (GDAP) 概述、有关最低特权角色的信息和 GDAP 常见问题解答

监视 Azure 欺诈通知

作为 CSP 计划中的合作伙伴,你需要对客户的 Azure 消费,因此了解客户 Azure 订阅中的任何潜在加密货币挖矿活动非常重要。 这种意识使你能够立即采取措施来确定该行为是合法还是欺诈性的,并在必要时暂停受影响的 Azure 资源或 Azure 订阅以缓解问题。

有关详细信息,请参阅 Azure 欺诈检测和通知

注册 Azure AD Premium 计划 2

CSP 租户中的所有管理员代理都应通过免费订阅 Azure AD Premium 计划 2 来强化其网络安全性,并利用各种功能来强化你的 CSP 租户。 Azure AD Premium 计划 2 提供对登录日志,以及 Azure AD Privileged Identity Management (PIM) 和基于风险的条件访问功能等高级功能的扩展访问权限,以强化安全控制。

已注册的合作伙伴可以登录到合作伙伴中心以利用此产品/服务

遵守 CSP 安全最佳做法

遵守所有 CSP 安全最佳做法非常重要。 在云解决方案提供商安全最佳做法中了解详细信息。

实施多重身份验证

若要符合合作伙伴安全要求,必须为合作伙伴租户中的每个用户帐户实施并强制执行多重身份验证。 可通过下述方法之一完成此操作:

安全性默认设置

合作伙伴可选择用于实现 MFA 要求的选项之一是在 Azure AD 中启用安全默认值。 安全默认值提供基本的安全级别,无需额外付费。 启用安全默认值之前,请查看如何使用 Azure AD 为组织启用 MFA,并查看以下关键注意事项。

  • 已采用基线策略的合作伙伴需采取行动过渡到安全性默认设置。

  • 安全默认值是预览版基线策略的正式版替代品。 一旦合作伙伴启用了安全默认值,他们就不再能够启用基线策略。

  • 使用安全性默认设置时,所有策略都会一次性启用。

  • 对于使用条件访问的合作伙伴,安全默认值将不可用

  • 将阻止旧式身份验证协议。

  • Azure AD Connect 同步帐户将从安全默认值中排除,系统不会提示该帐户注册或执行多重身份验证。 组织不应出于其他目的使用此帐户。

有关详细信息,请参阅组织的 Azure AD 多重身份验证概述什么是安全默认值?

注意

Azure AD 安全性默认设置是从简化的基线保护策略演进过来的。 如果你已启用基线保护策略,强烈建议你启用安全默认值

实施常见问题解答 (FAQ)

由于这些要求适用于合作伙伴租户中的所有用户帐户,因此你需要考虑一些事项以确保顺利进行部署。 例如,确定 Azure AD 中不能执行 MFA 的用户帐户,以及组织中不支持新式身份验证的应用程序和设备。

建议在执行任何操作之前完成以下验证。

你是否有不支持使用新式身份验证的应用程序或设备?

强制实施 MFA 时,系统会阻止旧式身份验证协议(例如 IMAP、POP3、SMTP 等)的使用,因为这些协议不支持 MFA。 为了解决此限制问题,可以使用应用密码功能,确保应用程序或设备仍然会进行身份验证。 请查看应用密码使用注意事项,确定应用密码是否可以在你的环境中使用。

你是否有拥有与你的合作伙伴租户关联的许可证的 Office 365 用户?

建议你在实现任何解决方案之前,确定合作伙伴租户中的用户所使用的 Microsoft Office 版本。 用户可能会在使用 Outlook 之类的应用程序时遇到连接问题。 在强制实施 MFA 之前,必须确保使用的是 Outlook 2013 SP1 或更高版本,且组织已启用新式身份验证。 有关详细信息,请参阅在 Exchange Online 中启用新式身份验证

若要为运行 Windows 且已安装 Microsoft Office 2013 的设备启用新式身份验证,需创建两个注册表项。 请参阅在 Windows 设备上启用适用于 Office 2013 的新式身份验证

是否有策略阻止用户在工作时使用其移动设备?

必须确定任何阻止员工在工作时使用移动设备的公司策略,因为它会影响你实现的具体的 MFA 解决方案。 有的解决方案(例如通过实施 Azure AD 安全性默认设置提供的解决方案)仅允许使用 Authenticator 应用进行验证。 如果组织的某项策略阻止使用移动设备,则请考虑以下选项之一:

  • 部署可以在安全系统上运行的基于时间的一次性密码 (TOTP) 应用程序。

  • 实现第三方解决方案,为合作伙伴租户中的每个用户帐户强制实施 MFA,以便提供最适当的验证选项。

  • 为受影响的用户购买或注册 24 个月免费的 Azure Active Directory Premium 许可证。

你有哪种自动化或集成必须使用用户凭据进行身份验证?

由于我们对合作伙伴目录中的每位用户(包括服务帐户)强制实施 MFA,因此任何使用用户凭据进行身份验证的自动化或集成都会受影响。 因此,必须确定在这些情况下使用的是什么帐户。 请查看以下列表,了解要考虑的示例应用程序或服务:

  • 控制面板,用于代表客户预配资源

  • 与任何用于客户发票(由于与 CSP 计划相关)和支持的平台的集成

  • 使用 Az、AzureRM、Azure AD、MSOnline 和其他模块的 PowerShell 脚本

以上列表并不详尽,因此,必须对环境中使用用户凭据进行身份验证的任何应用程序或服务进行完整的评估。 在可能情况下,应该按安全应用程序模型框架中的指南(不同于 MFA 的要求)进行操作。

访问环境

若要更好地了解哪个帐户或用户在进行身份验证时没有受到 MFA 质询,建议查看登录活动。 可通过 Azure Active Directory Premium 使用登录报告。 有关此主题的详细信息,请参阅 Azure Active Directory 门户中的登录活动报告。 如果你没有 Azure Active Directory Premium 或正打算通过 PowerShell 获取此登录活动,则需要使用合作伙伴中心 PowerShell 模块中的 Get-PartnerUserSignActivity cmdlet。

如何强制实施这些要求

如果合作伙伴所在的组织先前被授予 MFA 例外,则必须在 2022 年 3 月 1 日之前,为在 CSP 计划中管理客户租户的用户启用 Microsoft MFA 要求。 不符合 MFA 要求可能导致失去客户租户访问权限。

合作伙伴安全要求先后由 Azure AD 和合作伙伴中心强制实施,方法是:检查是否存在 MFA 声明,以便确定是否进行了 MFA 验证。 从 2019 年 11 月 18 日开始,Microsoft 激活了针对合作伙伴租户的其他安全保护措施(以前称为“技术强制措施”)。

激活后,合作伙伴租户中的用户在执行任何管理员代表 (AOBO) 操作、访问合作伙伴中心门户或调用合作伙伴中心 API 时都会被要求完成 MFA 验证。 有关详细信息,请参阅为合作伙伴租户强制执行多重身份验证 (MFA)

不满足这些要求的合作伙伴应尽快实施这些措施,以免出现业务中断。 如果使用 Azure Active Directory 多重身份验证或 Azure AD 安全默认值,则不需要执行任何其他操作。

如果使用的是第三方 MFA 解决方案,可能会出现 MFA 声明未发出的情况。 如果缺少该声明,则 Azure AD 无法确定身份验证请求是否受到了 MFA 的质询。 若要了解如何验证解决方案是否发出了预期的声明,请阅读测试合作伙伴安全要求

重要

如果第三方解决方案未发出预期的声明,则需咨询开发该解决方案的供应商,以确定应该采取哪些措施。

资源和示例

请查看以下资源来获取支持和示例代码:

后续步骤