本文章提供了成功保护和管理Zendesk Suite实例安全的基准产品级参考。Zendesk 强烈建议您在采用时考虑实施这些产品控制和建议，并定期审查您的设置和公司最佳实践，以确保它们既适合您的特定用例，又能被您的员工正确遵守。培训专员和管理员如何应用这些产品控制措施将有助于最大程度地减少风险。 责任共担模式。

有关我们建议的安全实践的高度概述，请参阅 一般安全最佳实践 文档。

本文章包含以下关于Zendesk Suite产品控件的章节：

• Support
• Guide
• Chat
• Talk
• Explore
• 消息传送

安全最佳实践：Zendesk Suite产品控件

Support

• 自定义密码配置。自定义您自己的密码安全级别，以符合内部政策。Zendesk 提供以下密码安全级别：、高、中等和低。有关实施步骤，请参阅 设置密码安全级别 。注意：启用 Zendesk 身份验证后，您可以在专员/管理员级别设置会话过期/非活跃状态超时限制和/或密码过期。
• 双重身份验证 ('2FA') 实施第二个身份验证安全层。通过短信 在产品中原生 可用，或通过安装在用户移动设备上的双重身份验证应用提供，或者如果您将其与环境中的单点登录结合使用，则使用双重身份验证解决方案。
• 单点登录 （“SSO”）（用于企业和社交终端用户帐户）。让用户使用一组凭证一次登录，减少攻击面的数量。
• 限制 IP 地址。将专员界面限制 为仅限来自特定已批准 IP 地址范围的用户访问。 
• 安全附件访问。要求用户先登录其帐户，然后 激活私密附件以访问附件。 
• 恶意软件扫描。管理员应遵循公司指南来管理由我们的 恶意软件扫描标记的附件。 
• 电邮
  
  • • 禁用电邮中的丰富内容 （即非纯文本/HTML）。
    • 停用未使用的客服电邮地址。
    • 在不需要时禁用通配符电邮地址。
    • 启用 SPF、DKIM 和 DMARC 的电邮身份验证，以减少电邮欺骗和企业电邮盗用。
    • 使用发送电邮的 DKIM 来验证电邮的来源（例如，来自您的组织内部）
• 设备跟踪。管理用户设备 并移除不再使用的设备（需要专员/管理员访问权限）。
• 沙盒环境环境我们建议在代码进入生产环境之前，使用沙盒环境对其进行测试和启动。请注意，这仅适用于 Enterprise 服务模式。
• Support移动应用。决定您是否要允许专员通过Support手机应用进行访问，如果不允许，请在“更多安全设置”下的管理中心移除移动应用访问。请注意，需要允许对 API 的密码访问，移动应用才能工作。 
• 日志管理。
  • • 审核日志。管理您的审核日志，以跟踪您帐户中的更改。通过 API 或将报告导出为 CSV。仅适用于 Enterprise 服务模式。
    • 工单互动/事件日志。查看在您的帐户中发生的所有操作和通知。  
    • 整合日志。通过管理中心中的此工具跟踪Support实例与整合之间的数据同步。
• 终端用户验证。要求 终端用户 注册并验证其电邮地址。 
• 最小权限。限制用户访问，以确保用户只能访问任务相关产品。了解更多关于Support用户角色的信息。 
• 自定义用户角色。根据用户角色/工作描述委托访问权限 。请注意，此功能仅供 Enterprise 服务模式使用。
• 允许列表。定义谁可 访问 您的实例，以减少敏感数据的暴露和未经授权的系统访问。
• 阻止列表。如果您发现安全受到威胁，则阻止、拒绝或阻止用户访问您的实例。
• 移除帐户/用户。定期审查您帐户中的用户，并 阻止/降级不再需要访问您系统的用户 。 
• 自定义用户角色。根据用户角色/工作描述委托访问权限。请注意，此功能仅供 Enterprise 使用。
• 将抄送和关注者加入阻止列表。防止他人 在工单上被标记 并就客户对话收到通知，以限制对敏感客户信息的访问和数据泄露。
• 限制团队成员和终端用户的非活跃会话长度。帮助限制必须再次登录之前 会话可以使用的时间窗口，以减少对系统和数据的未授权访问。 
• 为终端用户关闭不必要的 社交登录方式 。
• 禁用管理员为用户设置密码。强制执行最小权限，并取消设置密码的功能，除非用户通过正常的密码重置流程应用 2FA 并验证其电邮地址。有关设置密码安全级别的更多信息，请参阅 本文档 。 
• Webhooks。 使用TLS /HTTPS 安全地 连接 到 第三方 端点， 例如应用 程序或 网站 。
• API 访问
  • • 禁用对 API 的密码访问，以限制受保护信息的泄露。
    • API 密钥。让您的管理员设置最小权限访问，以减少有权访问您的 API 和敏感客户数据（例如PII、PHI 等）的人员数量。请参阅 已启用HIPAA或 HDS 帐户的安全配置要求 了解关于 API 密钥管理的相关信息。 
• OAuth 客户端。安全访问您的 API（和相关数据）。为您的用例选择正确的工作流程类型，如果可能，优先选择授权代码授予或隐式授予，而不是密码授予。请访问 OWASP ，获取行业最佳实践的详细列表。 

Guide

• 审阅内容。查看 Guide 内容，确保您的帮助中心不会发布 垃圾信息 。 
• API。禁用对 API 的密码访问，以最大程度地减少敏感数据的暴露。
• API 密钥。让您的管理员设置最小权限访问，以减少可访问您 API 的人数和数据泄露的机会。
• 限制帮助中心访问.应用 IP 地址限制，根据身份验证和细分 限制 用户访问。 
• 文章交互操作/事件日志。查看专员对一篇文章进行的所有操作 ，以确保遵循公司的最佳实践。
• 专员/别名显示名称。允许专员将其签名个性化，从而增加专员和客户之间的信任，以及专员的在线安全。
• 不安全内容。防止 不安全的内容 显示在您的帮助中心里。 

Chat

• Chat API。让您的管理员设置最小访问权限，以减少可以访问敏感数据的人员数量。请务必确认以下 限制。 
• 原生文件附件允许列表。将 文件共享 限制到仅限特定工作任务所需的扩展名。
• 通过Support进行门控。跨产品应用级联安全配置（仅适用于 Suite 服务模式）。
• 访问者身份验证。通过密钥或共享密钥启用访问者身份验证， 以确保只有授权用户可以访问。
• 身份验证控件。使用身份验证控件发送 私密在线交谈附件 （仅适用于专员工作区）。
• 按位置（例如国家/地区或域名）限制 Chat 小组件 ，以减少不良行为者和/或恶意国家行为者将您暴露给您的风险。
• 自定义用户角色。根据用户角色/工作描述委托对 Chat 的访问。请注意，此功能仅供 Enterprise 服务模式使用。

Talk

• 通话录音。根据号码、来电人或终端用户选择加入或选择退出通话录音 。
• 删除录音。自动删除录音——启用自动删除谈话录音。
• Talk API 删除录音功能。使用此端点功能 以编程方式删除工单中的录音（如适用）。手动删除也可应用于 删除义务、被遗忘的权利，以及行业隐私和合规要求。注意：自动标记为密文是一项单独的功能，当前无法用于将语音留言记录副本中的信用卡信息标记为密文。

Explore

• 管理 Explore 权限。根据最小访问权限（具有管理员访问权限）启用 Explore 访问 。
• 设置数据集权限。使用最小访问权限（具有管理员访问权限）设置 数据集权限 。

消息传送 （原生）

• 终端用户身份验证。启用Web Widget和移动 SDK 的终端用户身份验证 。 
• 允许列表。仅允许 在特定的域名 上加载Web Widget 。