CSP 安全最佳做法

相应的角色：全局管理员 | 管理员代理 | 支持人员台代理

访问合作伙伴中心和合作伙伴中心 API 的云解决方案提供商 (CSP) 计划中的所有合作伙伴都应遵循本文中的安全指南来保护自己和客户。 合作伙伴将需要立即实施此指南，以缓解安全问题并帮助修复安全升级。

• 有关 Microsoft 安全最佳实践，请参阅 Microsoft 安全最佳实践。

• 服务主体旨在供服务使用，并且可以分配角色/权限。 以下是管理服务主体的最佳做法：保护 Azure Active Directory 中的服务主体。

• 合作伙伴现可添加一个安全联系人，该联系人将在 CSP 租户出现任何与安全性相关的问题时收到通知。

• 确保使用多因素身份验证 (MFA) 并强制执行条件访问策略：所有 Microsoft 合作伙伴都必须使用 MFA 访问合作伙伴中心以及跨租户访问 Microsoft 商业云中的客户租户。 建议合作伙伴在合作伙伴中心检查其安全合规性，并监控是否有任何用户登录或 API 调用不符合 MFA 强制执行。 合作伙伴应始终保持合规。 请参阅为合作伙伴租户强制执行多重身份验证 (MFA)。

• 使用多重身份验证来设置用户。

• 采用安全应用程序模型框架：所有集成合作伙伴中心 API 的合作伙伴必须对任何应用和用户身份验证模型应用程序采用安全应用程序模型框架。

• 对于保护特权角色，请参阅保护特权访问概述。

• 在不使用时删除委派的管理权限 (DAP) 连接。

  • 删除 DAP 的客户- 获得客户的管理特权。
  • DAP 监视和合作伙伴删除不活动的 DAP 连接

• 检查合作伙伴中心活动日志：建议合作伙伴定期检查合作伙伴中心的“活动日志”，以监控任何用户活动，包括高权限用户创建、高权限用户角色分配等。 合作伙伴还可以使用合作伙伴中心活动日志 API 在合作伙伴中心中针对关键用户活动创建自定义安全仪表板，以主动检测可疑活动。

• 使用 Azure AD 高级计划 2 为具有委派访问权限的托管服务提供商 (MSP) 加强网络安全。 我们为服务提供商提供为期两年的 Azure Active Directory 高级计划 2 免费订阅，以进一步帮助他们管理和获取有关访问特权的报告。 已注册的合作伙伴可以登录到合作伙伴中心以利用此产品/服务。 Azure AD Premium 计划 2 提供对登录日志，以及 Azure AD 特权标识管理 (PIM) 和基于风险的条件访问功能等高级功能的扩展访问权限，以强化安全控制。

• 采用无密码登录的零信任方法：使用 Microsoft Authenticator 应用进行无密码登录。 你的 Microsoft 帐户将迎来无密码的未来中进行了详细介绍。

• 零信任指导原则 - 零信任指导中心。

• 使用特权身份管理 (PIM) 实施即时 (JIT) 访问和双重监管以审查和批准访问：什么是特权身份管理？

• 所有控制面板供应商都应启用安全应用程序模型并为每个用户活动启用日志记录。

• 控制面板供应商应启用对登录到应用程序的每个合作伙伴代理和所采取的所有操作的审核。

• CSP 供应商应定期检查其帐户的身份，并酌情清理未使用的身份。

• 查看管理员代理组并删除不需要访问权限的人员。

• 定期检查用户访问权限并在不需要时进行清理。

• 如果用户已离开公司或在公司内更改角色，则应将其从合作伙伴中心访问中删除。

• 拥有 Azure Active Directory P2 许可证的合作伙伴将自动有资格将审核和登录日志数据保留长达 30 天。 确认在使用委派管理员帐户的地方存在审计日志，日志正在捕获服务提供的最大级别的详细信息，并且日志会保留一段可接受的时间（最长 30 天），以便检测异常活动。 详细的审计记录可能需要购买更多服务。 请参阅Azure AD 存储报告数据多长时间？

• 实施审计日志记录最佳实践并对委派管理员帐户执行的活动进行例行审查。

  • 什么是 Azure Active Directory 报表？
  • Azure AD 审核活动参考

• 合作伙伴应审查其环境中的风险用户报告，并根据已发布的指南处理已检测到存在风险的帐户

  • 修正风险并对用户解除阻止
  • Azure AD 标识保护中的用户体验

有关详细信息，请参阅 NOBELIUM 以委托管理权限为目标展开更广泛的攻击

客户安全最佳做法

如果你是下游客户

• 客户应经常查看可能意外预配的订阅和资源或服务。

• 通过频繁的密码轮换确保客户遵循密码管理策略和强身份验证。

• 让你的客户通过 Microsoft Authenticator 应用使用无密码登录

• 查看并验证 Azure AD 中的所有全局管理员用户密码恢复电子邮件和电话号码，并在必要时进行更新。

• 查看、审核和最大程度减少访问权限和委派权限。 考虑和实施最小特权方法很重要。 Microsoft 建议优先对合作伙伴关系进行彻底审查和审核，以尽量减少你的组织与上游提供商之间的任何不必要的权限。 Microsoft 建议立即删除任何看起来不熟悉或尚未经过审核的合作伙伴关系的访问权限。

• 审查、强化和监控所有租户管理员帐户：所有组织都应彻底审查所有租户管理员用户，包括与 Azure 订阅中的代表管理 (AOBO) 相关的用户，并验证用户和活动的真实性。 我们强烈建议对所有租户管理员使用强身份验证，审查注册使用 MFA 的设备，并尽量减少使用常设高特权访问。 继续重新检查所有活动租户管理员用户帐户，并定期检查审核日志，以验证是否未将高权限用户访问权限授予或委派给不需要这些权限来完成工作的管理员用户。

• 查看来自 B2B 和本地帐户的服务提供商权限访问：除了使用委派的管理权限功能外，一些云服务提供商还在客户租户中使用企业对企业 (B2B) 帐户或本地管理员帐户。 我们建议你确定你的云服务提供商是否使用这些帐户，如果在使用，请确保这些帐户受到充分的管理，并且在你的租户中具有最低特权访问。 Microsoft 建议不要使用“共享”管理员帐户。 查看有关如何查看 B2B 帐户权限的详细指南。

• 验证是否启用了多因素身份验证 (MFA)，并强制执行条件访问策略。 MFA 是防范威胁的最佳基准安全卫生方法。 请遵循有关在 Microsoft 365 中设置多重身份验证的详细指南，以及有关在 Azure Active Directory (Azure AD) 中部署和配置条件访问策略的指南。

• 查看审核日志和配置。

• 查看和审核 Azure AD 登录和配置更改：这种性质的身份验证经过审核，并通过 Azure AD 登录日志、Azure AD 审核日志和 Microsoft Purview 合规门户（以前位于 Exchange 管理中心）提供给客户。 我们最近添加了查看已委派管理权限的合作伙伴登录的功能。 要查看这些登录的筛选视图，可以导航到 Azure AD 门户中的登录日志，然后在“用户登录（非交互式）”选项卡上添加筛选器“跨租户访问类型: 服务提供商”。

  

• 查看现有日志可用性和保留策略：调查恶意参与者执行的活动，重点介绍为基于云的资源（包括 Office 365）提供足够的日志保留过程。 各种订阅级别都有单独的日志可用性和保留策略，在形成事件响应过程之前，请务必了解这些策略。

我们鼓励所有组织熟悉你订阅中提供的日志，并定期评估这些日志的充分性和异常情况。 对于依赖第三方组织的组织，与他们合作以了解其所有管理操作的日志记录策略，并建立一个流程，以便在事件期间需要提供日志。