Requisitos de seguridad para usar el Centro de partners o las API del Centro de partners
Roles adecuados: Todos los usuarios del Centro de partners
Como asesor, proveedor del panel de control o asociado de Proveedor de soluciones en la nube (CSP), tiene decisiones para tomar en relación con las opciones de autenticación y otras consideraciones de seguridad.
La seguridad y la protección de la privacidad para usted y sus clientes están entre nuestras principales prioridades. Sabemos que la mejor defensa es la prevención y que somos tan seguros como lo sea nuestro vínculo más débil. Por eso necesitamos a todos los usuarios de nuestro ecosistema para garantizar que se han implementado las protecciones de seguridad adecuadas.
Requisitos de seguridad obligatorios
El programa CSP permite a los clientes comprar productos y servicios de Microsoft a través de partners. De acuerdo con el contrato con Microsoft, los partners deben administrar el entorno de los clientes a los que venden y proporcionarles soporte técnico.
Los clientes que compran a través de este canal colocan su confianza en usted como asociado porque tiene acceso de administrador con privilegios elevados al inquilino del cliente.
Los partners que no implementen los requisitos de seguridad obligatorios no podrán realizar transacciones en el programa CSP ni administrar los inquilinos de cliente que usen derechos de administrador delegados. Además, los asociados que no implementan los requisitos de seguridad podrían poner en riesgo su participación en programas.
Los términos asociados a los requisitos de seguridad para partners se han agregado al acuerdo entre partners de Microsoft. El Contrato de partners de Microsoft (MPA) se actualiza periódicamente y Microsoft recomienda que todos los partners vuelvan a comprobar periódicamente. En lo que se refiere a los asesores, se aplicarán los mismos requisitos contractuales.
Todos los partners deben cumplir los procedimientos recomendados de seguridad para que puedan proteger los entornos de partners y clientes. La adhesión a estos procedimientos recomendados ayuda a mitigar los problemas de seguridad y corregir las escalaciones de seguridad, lo que garantiza que la confianza del cliente no esté en peligro.
Para protegerle y sus clientes, es necesario que los partners realicen las siguientes acciones inmediatamente:
- Habilitación de MFA para todas las cuentas de usuario
- Adoptar el marco de modelo de aplicaciones seguras
Habilitación de MFA en todas las cuentas de usuario de los inquilinos de partner.
Debe aplicar MFA en todas las cuentas de usuario de los inquilinos de partner. MFA presentará un desafío a los usuarios al iniciar sesión en los servicios en la nube comerciales de Microsoft o cuando realicen transacciones en el programa Proveedor de soluciones en la nube a través del Centro de partners o de las API.
El cumplimiento del MFA sigue estas directrices:
- Asociados que usan la autenticación multifactor de Microsoft Entra compatible con Microsoft. Para obtener más información, consulte Varias formas de habilitar la autenticación multifactor de Microsoft Entra (compatible con MFA).
- El asociado que implementó cualquier MFA de terceros y parte de la lista de excepciones todavía puede acceder al Centro de partners y las API con excepciones, pero no puede administrar el cliente mediante DAP/GDAP (no se permiten excepciones)
- Si a la organización del asociado se le concedió anteriormente una excepción para MFA, los usuarios que administran inquilinos de cliente como parte del programa CSP deben haber habilitado los requisitos de Microsoft MFA antes del 1 de marzo de 2022. Si no se cumplen los requisitos de MFA, es posible que se pierda el acceso al inquilino del cliente.
- Obtenga más información sobre cómo exigir la autenticación multifactor (MFA) para el inquilino del asociado.
Adoptar el marco de modelo de aplicaciones seguras.
Todos los partners que se integran con las API del Centro de partners deben adoptar el marco del modelo de aplicaciones seguras para las aplicaciones con cualquier modelo de autenticación de aplicación y usuario.
Importante
Se recomienda encarecidamente que los partners implementen el modelo de aplicaciones seguras para la integración con una API de Microsoft, como Azure Resource Manager o Microsoft Graph o al usar la automatización, como PowerShell con credenciales de usuario, para evitar interrupciones cuando se aplica MFA.
Estos requisitos de seguridad ayudan a proteger la infraestructura y a proteger los datos de los clientes frente a posibles riesgos de seguridad, como identificar el robo u otros incidentes de fraude.
Otros requisitos de seguridad
Los clientes confían en usted como partner para recibir servicios de valor añadido. Es imperativo que tome todas las medidas de seguridad para proteger la confianza del cliente y su reputación como asociado.
Microsoft sigue agregando medidas de cumplimiento para que todos los partners tengan que cumplir y priorizar la seguridad de sus clientes obligatoriamente. Estos requisitos de seguridad ayudan a proteger su infraestructura y a proteger los datos de sus clientes de posibles riesgos de seguridad, como el robo de identidad u otros incidentes de fraude.
El partner es responsable de que se adopten los principios de confianza cero, específicamente lo siguiente.
Privilegios de administrador delegado (DAP)
Los privilegios de administrador delegados (DAP) proporcionan la capacidad de administrar el servicio o la suscripción de un cliente en su nombre. El cliente debe conceder al partner los permisos administrativos para ese servicio. Dado que los privilegios proporcionados al asociado para administrar el cliente son muy elevados, Microsoft recomienda que todos los asociados quiten daP inactivos. Todos los partners que administran el inquilino del cliente mediante privilegios de administrador delegado deben quitar DAP inactivo del Centro de partners para evitar cualquier impacto en el inquilino del cliente y sus recursos.
Para más información, consulte la guía de supervisión de relaciones administrativas y eliminación de autoservicio de DAP, las preguntas más frecuentes sobre privilegios de administración delegados y la guía de privilegios administrativos delegados para NOBELIUM.
Además, DAP quedará en desuso pronto. Recomendamos encarecidamente a todos los partners que usan DAP activamente para administrar sus inquilinos de cliente y avanzar hacia un modelo de privilegios de administrador delegado granular con privilegios mínimos para administrar de forma segura los inquilinos de sus clientes.
Transición de roles con privilegios mínimos a administración de inquilinos de cliente
Dado que DAP quedará en desuso pronto, Microsoft recomienda encarecidamente alejarse del modelo DAP actual (que proporciona a los agentes de administración acceso permanente o de administrador global perpetuo) y reemplazarlo por un modelo de acceso delegado específico. El modelo de acceso delegado específico reduce los riesgos de seguridad para los clientes y los efectos de esos riesgos en ellos. También ofrece control y flexibilidad para restringir el acceso por cliente a nivel de la carga de trabajo de los empleados que administran los servicios y entornos de los clientes.
Para más información, consulte la introducción a los privilegios de administrador delegado granulares (GDAP), información sobre los roles con privilegios mínimos y las preguntas frecuentes sobre GDAP.
Supervisión de las notificaciones de fraude de Azure
Como partner del programa CSP, es responsable del consumo de Azure del cliente, por lo que es importante que conozca las posibles actividades de minería de criptomoneda en las suscripciones de Azure de los clientes. Este conocimiento le permite tomar medidas inmediatas para determinar si el comportamiento es legítimo o fraudulento y, si es necesario, suspender los recursos de Azure afectados o la suscripción de Azure para mitigar el problema.
Para más información, consulte Detección y notificación de fraudes de Azure.
Registrarse en Microsoft Entra ID P2
Todos los agentes de administración del inquilino de CSP deben reforzar su ciberseguridad mediante la implementación de Microsoft Entra ID P2 y aprovechar las distintas funcionalidades para reforzar el inquilino de CSP. Microsoft Entra ID P2 proporciona acceso extendido a los registros de inicio de sesión y características premium, como Microsoft Entra Privileged Identity Management (PIM) y las funcionalidades de acceso condicional basado en riesgos para reforzar los controles de seguridad.
Procedimientos recomendados para la seguridad del CSP
Es importante seguir todos los procedimientos recomendados de seguridad para el CSP. Más información en Procedimientos recomendados de seguridad del Proveedor de soluciones en la nube
Implementación de la autenticación multifactor
Para cumplir los requisitos de seguridad para partners, debe implementar y aplicar MFA para cada cuenta de usuario del inquilino del partner. Esto se puede lograr de una de las siguientes maneras:
- Implemente los valores predeterminados de seguridad de Microsoft Entra. Consulte más información en la sección siguiente, Valores predeterminados de seguridad.
- Compre Microsoft Entra ID P1 o P2 para cada cuenta de usuario. Para obtener más información, consulta la Planificación la implementación de la autenticación multifactor de Microsoft Entra.
Valores predeterminados de seguridad
Una de las opciones que los asociados pueden elegir para implementar los requisitos de MFA es habilitar los valores predeterminados de seguridad en microsoft Entra ID. Los valores predeterminados de seguridad ofrecen un nivel básico de seguridad sin ningún costo adicional. Revise cómo habilitar MFA para su organización con microsoft Entra ID y las consideraciones clave siguientes antes de habilitar los valores predeterminados de seguridad.
- Los partners que ya han adoptado las directivas de línea de base deben tomar medidas para realizar la transición a los valores predeterminados de seguridad.
- Los valores predeterminados de seguridad son el reemplazo de disponibilidad general de las directivas de línea de base de la versión preliminar. Una vez que un asociado habilita los valores predeterminados de seguridad, no pueden habilitar las directivas de línea de base.
- Con los valores predeterminados de seguridad, todas las directivas se habilitan a la vez.
- En el caso de los asociados que usan el acceso condicional, los valores predeterminados de seguridad no están disponibles.
- Los protocolos de autenticación heredados están bloqueados.
- La cuenta de sincronización de Microsoft Entra Connect se excluye de los valores predeterminados de seguridad y no se le pedirá que se registre o realice la autenticación multifactor. Las organizaciones no deben usar esta cuenta para otros fines.
Para obtener información detallada, consulte Introducción a la autenticación multifactor de Microsoft Entra para su organización y ¿Cuáles son los valores predeterminados de seguridad?.
Nota:
Los valores predeterminados de seguridad de Microsoft Entra son la evolución de las directivas de protección de línea base simplificadas. Si ya ha habilitado las directivas de protección de línea base, se recomienda encarecidamente habilitar los valores predeterminados de seguridad.
Preguntas más frecuentes sobre la implementación (P+F)
Dado que estos requisitos se aplican a todas las cuentas de usuario del inquilino del partner, debe tener en cuenta varios factores para garantizar una implementación sin problemas. Por ejemplo, identifique las cuentas de usuario en el identificador de Microsoft Entra que no pueden realizar MFA y aplicaciones y dispositivos de su organización que no admiten la autenticación moderna.
Antes de realizar cualquier acción, se recomienda completar las siguientes validaciones.
¿Hay alguna aplicación o algún dispositivo que no admita el uso de la autenticación moderna?
Al aplicar MFA, la autenticación heredada usa protocolos como IMAP, POP3, SMTP y otros se bloquean porque no admiten MFA. Para solucionar esta limitación, use la característica contraseñas de aplicación para asegurarse de que la aplicación o el dispositivo se seguirá autenticando. Revise las consideraciones acerca del uso de contraseñas de aplicación para determinar si se pueden usar en su entorno.
¿Tiene usuarios de Office 365 con licencias asociadas con su inquilino de partner?
Antes de implementar cualquier solución, se recomienda determinar qué versiones de los usuarios de Microsoft Office de su inquilino asociado usan. Existe la posibilidad de que los usuarios tengan problemas de conectividad con aplicaciones como Outlook. Antes de aplicar MFA, es importante asegurarse de que usa Outlook 2013 SP1 o posterior y de que la organización tiene habilitada la autenticación moderna. Para obtener más información, consulta Habilitación de la autenticación moderna en Exchange Online.
Para habilitar la autenticación moderna para dispositivos que ejecutan Windows que tienen instalado Microsoft Office 2013, debe crear dos claves del Registro. Consulta Habilitar autenticación moderna para Office 2013 en dispositivos Windows.
¿Hay alguna directiva que impida que los usuarios usen sus dispositivos móviles mientras trabajan?
Es importante identificar las directivas corporativas que impiden que los empleados usen dispositivos móviles mientras trabajan, ya que esto influirá en la solución MFA que implementes. Hay soluciones, como la proporcionada a través de la implementación de los valores predeterminados de seguridad de Microsoft Entra, que solo permiten el uso de una aplicación autenticadora para la comprobación. Si la organización tiene una directiva que impide el uso de dispositivos móviles, debes tener en cuenta una de las siguientes opciones:
- Implementar una aplicación de contraseñas de un solo uso y duración definida (TOTP) que se pueda ejecutar en un sistema seguro.
¿Qué automatización o integración tiene que pueda utilizar las credenciales de usuario para la autenticación?
La aplicación de MFA para cada usuario, incluidas las cuentas de servicio, en el directorio del asociado, puede afectar a cualquier automatización o integración que use credenciales de usuario para la autenticación. Por tanto, es importante identificar qué cuentas se usan en estas situaciones. Consulta la siguiente lista de aplicaciones o servicios de ejemplo que debes tener en cuenta:
- Panel de control que se usa usado para aprovisionar recursos en nombre de los clientes
- Integración con todas las plataformas que se utilicen para la facturación (en relación con el programa CSP) y soporte técnico a los clientes
- Scripts de PowerShell que usan Az, AzureRM, Microsoft Graph PowerShell y otros módulos
La lista anterior no es completa, por lo que es importante que realice una evaluación completa de cualquier aplicación o servicio en su entorno que use credenciales de usuario para la autenticación. Para enfrentarse al requisito de MFA, debes implementar las instrucciones del marco de modelo de aplicaciones seguras siempre que sea posible.
Acceso al entorno
Para comprender mejor qué o quién se autentica sin que se le solicite MFA, se recomienda revisar la actividad de inicio de sesión. A través de Microsoft Entra ID P1 o P2, puede usar el informe de inicio de sesión. Para obtener más información sobre este tema, consulte Informes de actividad de inicio de sesión en el Centro de administración de Microsoft Entra. Si no tiene microsoft Entra ID P1 o P2, o si busca una manera de obtener esta actividad de inicio de sesión a través de PowerShell, debe usar el cmdlet Get-PartnerUserSignActivity del módulo de PowerShell del Centro de partners.
Cómo se aplican los requisitos
Si a la organización del asociado se le concedió anteriormente una excepción para MFA, los usuarios que administran inquilinos de cliente como parte del programa CSP deben tener habilitados los requisitos de Microsoft MFA antes del 1 de marzo de 2022. Si no se cumplen los requisitos de MFA, es posible que se pierda el acceso al inquilino del cliente.
Los requisitos de seguridad de asociados se aplican mediante el identificador de Entra de Microsoft y, a su vez, el Centro de partners comprueba la presencia de la notificación de MFA para identificar que se ha realizado la comprobación de MFA. Desde el 18 de noviembre de 2019, Microsoft ha activado más medidas de seguridad (anteriormente conocidas como "aplicación técnica") a los inquilinos asociados.
Tras la activación, se solicita a los usuarios del inquilino del asociado que completen la comprobación de MFA al realizar cualquier administrador en nombre de (AOBO), acceder al Centro de partners o llamar a las API del Centro de partners. Para obtener más información, consulte Mandating multifactor authentication (MFA) for your partner tenant (Mandating multifactor authentication[MFA]) para el inquilino del asociado.
Los partners que no cumplan los requisitos deben implementar estas medidas lo antes posible para evitar interrupciones empresariales. Si usa la autenticación multifactor de Microsoft Entra o los valores predeterminados de seguridad de Microsoft Entra, no es necesario realizar ninguna otra acción.
Si usa una solución MFA de terceros, es posible que no se emita la notificación de MFA. Si falta esta notificación, MFA no podrá determinar si la solicitud de autenticación fue impugnada por MFA. Para obtener información sobre cómo comprobar que la solución emite la notificación esperada, lea Prueba de los requisitos de seguridad de asociados.
Importante
Si la solución de terceros no emite la notificación esperada, deberá trabajar con el proveedor que desarrolló la solución para determinar qué acciones se deben realizar.
Recursos y muestras
Consulta los siguientes recursos para obtener soporte y el código de ejemplo:
- Comunidad del grupo de instrucciones de seguridad del Centro de partners: la comunidad del grupo de instrucciones de seguridad del Centro de partners es una comunidad en línea donde puede obtener información sobre los próximos eventos y formular cualquier pregunta que pueda tener.
- Ejemplos de .NET del Centro de partners: este repositorio de GitHub contiene ejemplos que se desarrollaron mediante .NET que muestran cómo puede implementar el marco de modelo de aplicación segura.
- Ejemplos de Java del Centro de partners: este repositorio de GitHub contiene ejemplos que se desarrollaron con Java que muestran cómo puede implementar el marco del modelo de aplicación segura.
- PowerShell del Centro de partners: autenticación multifactor: en este artículo sobre la autenticación multifactor se proporcionan detalles sobre cómo implementar el marco de modelo de aplicaciones seguras mediante PowerShell.
- Características y licencias para la autenticación multifactor de Microsoft Entra
- Planear una implementación multifactor de Microsoft Entra
- Prueba de los requisitos de seguridad para partners mediante PowerShell