Práticas recomendadas de segurança do CSP
Todos os parceiros no programa CSP (Provedor de Soluções na Nuvem) que acessam o Partner Center e as APIs do Partner Center devem seguir as diretrizes de segurança neste artigo para proteger a si mesmos e aos clientes.
Para segurança do cliente, consulte Práticas recomendadas de segurança do cliente.
Importante
O Azure Active Directory (Azure AD) Graph foi preterido a partir de 30 de junho de 2023. No futuro, não faremos mais investimentos no Azure AD Graph. As APIs do Graph do Azure AD não têm SLA ou compromisso de manutenção além de correções relacionadas à segurança. Os investimentos nos novos recursos e funcionalidades só serão feitos no Microsoft Graph.
Desativaremos o Azure AD Graph em etapas incrementais para que você tenha tempo suficiente para migrar seus aplicativos para APIs do Microsoft Graph. Em uma data posterior que anunciaremos, bloquearemos a criação de novos aplicativos usando o Azure AD Graph.
Para saber mais, confira Importante: desativação do Azure AD Graph e substituição do módulo do Powershell.
Etapas altamente recomendadas em seus locatários
- Adicione um contato de segurança para notificações de problemas relacionados à segurança no locatário do Partner Center.
- Verifique sua classificação de segurança de identidade na ID do Microsoft Entra e execute as ações apropriadas para aumentar sua pontuação.
- Revise e implemente as diretrizes documentadas em Gerenciamento de falta de pagamento, fraude ou uso indevido.
- Familiarize-se com o agente de ameaças NOBELIUM e materiais relacionados:
Melhores práticas de identidade
Exigir autenticação multifator
- Verifique se todos os usuários em seus locatários do Partner Center e seus locatários de cliente estão registrados e exigem MFA (autenticação multifator). Há várias maneiras de configurar a MFA. Escolha o método que se aplica ao locatário que você está configurando:
- O locatário do meu Partner Center/Cliente tem a ID P1 do Microsoft Entra
- Use o Acesso Condicional para impor a MFA.
- O locatário do meu Partner Center/Cliente tem a ID P2 do Microsoft Entra
- Use o Acesso Condicional para impor a MFA.
- Implemente políticas baseadas em risco usando o Microsoft Entra ID Protection.
- Para seu locatário do Partner Center, você pode se qualificar para Microsoft 365 E3 ou E5, dependendo dos benefícios de IUR (Direitos de Uso Interno). Esses SKUs incluem Microsoft Entra ID P1 ou 2, respectivamente.
- Para o locatário do cliente, recomendamos habilitar os padrões de segurança.
- Se o cliente estiver usando aplicativos que exigem autenticação herdada, esses aplicativos não funcionarão depois que você ativar os padrões de segurança. Se o aplicativo não puder ser substituído, removido ou atualizado para usar a autenticação moderna, você poderá impor a MFA por meio da MFA por usuário.
- Você pode monitorar e impor o uso de padrões de segurança pelo cliente usando a seguinte chamada à API do Graph:
- O locatário do meu Partner Center/Cliente tem a ID P1 do Microsoft Entra
- Certifique-se de que o método de MFA usado seja resistente a phishing. Você pode fazer isso usando autenticação sem senha ou correspondência de números.
- Se um cliente se recusar a usar a MFA, não forneça a ele nenhum acesso de função de administrador à ID do Microsoft Entra ou permissões de gravação para Assinaturas do Azure.
Acesso ao aplicativo
- Adote a estrutura do Modelo de Aplicativo Seguro. Todos os parceiros que integram as APIs do Partner Center precisam adotar a estrutura do Modelo de Aplicativo Seguro em qualquer aplicativo e aplicativos de modelo de autenticação de usuário.
- Desabilite o consentimento do usuário em locatários do Microsoft Entra do Partner Center ou use o fluxo de trabalho de consentimento do administrador.
Privilégio mínimo / Sem acesso permanente
- Os usuários que têm funções internas privilegiadas do Microsoft Entra não devem usar regularmente essas contas para email e colaboração. Crie uma conta de usuário separada sem funções administrativas do Microsoft Entra para tarefas de colaboração.
- Examine o grupo de agentes administradores e remova as pessoas que não precisam de acesso.
- Examine regularmente o acesso à função administrativa na ID do Microsoft Entra e limite o acesso ao menor número possível de contas. Para obter mais informações, confira Funções internas do Microsoft Entra.
- Os usuários que saem da empresa ou alteram funções dentro da empresa devem ser removidos do acesso ao Partner Center.
- Se você tiver a ID P2 do Microsoft Entra, use o PIM (Privileged Identity Management) para impor o acesso JIT (just-in-time). Use a custódia dupla para examinar e aprovar o acesso para funções de administrador do Microsoft Entra e funções do Partner Center.
- Para proteger funções privilegiadas, consulte Visão geral da proteção de acesso privilegiado.
- Revise regularmente o acesso aos ambientes do cliente.
- Remova os DAP (Privilégios de Administração Delegada) inativos.
- Perguntas frequentes sobre o GDAP.
- Certifique-se de que as relações GDAP estejam utilizando funções com o mínimo de privilégios necessários.
Isolamento de identidade
- Evite hospedar sua instância do Partner Center no mesmo locatário do Microsoft Entra que hospeda seus serviços internos de TI, como email e ferramentas de colaboração.
- Use contas de usuário separadas e dedicadas para usuários privilegiados do Partner Center que têm acesso de cliente.
- Evite criar contas de usuário em locatários do Microsoft Entra do cliente destinados a serem usados por parceiros para administrar o locatário do cliente e aplicativos e serviços relacionados.
Práticas recomendadas para dispositivos
- Permita apenas o acesso do Partner Center e do locatário do cliente de estações de trabalho registradas e íntegras que tenham linhas de base de segurança gerenciadas e sejam monitoradas quanto a riscos de segurança.
- Para usuários do Partner Center com acesso privilegiado a ambientes de clientes, considere exigir estações de trabalho dedicadas (virtuais ou físicas) para que esses usuários acessem ambientes de clientes. Para obter mais informações, consulte Protegendo o acesso privilegiado.
Melhores práticas de monitoramento
APIs do Partner Center
- Todos os fornecedores do Painel de Controle devem habilitar o modelo de aplicativo seguro e ativar o registro em log para cada atividade do usuário.
- Os fornecedores do Painel de Controle devem habilitar a auditoria de todos os agentes parceiros que fazem login no aplicativo e todas as ações executadas.
Monitoramento e auditoria de entrada
Os parceiros com uma licença P2 da ID do Microsoft Entra se qualificam automaticamente para manter os dados de log de auditoria e entrada por até 30 dias.
Confirme se:
- O log de auditoria está em vigor onde as contas de administrador delegado são usadas.
- Os logs estão capturando o nível máximo de detalhes fornecidos pelo serviço.
- Os logs são retidos por um período aceitável (até 30 dias) que permite a detecção de atividades anômalas.
O registro de auditoria detalhado pode exigir a compra de mais serviços. Para obter mais informações, consulte Por quanto tempo a ID do Microsoft Entra armazena dados de relatório?
Revise e verifique regularmente os endereços de email e números de telefone de recuperação de senha na ID do Microsoft Entra para todos os usuários com as funções de administrador privilegiadas do Entra e atualize, se necessário.
- Se o locatário de um cliente estiver comprometido: o Parceiro de Cobrança Direta do CSP, o Provedor Indireto ou o Revendedor Indireto não poderá entrar em contato com o suporte solicitando uma alteração de senha de Administrador no locatário do cliente. O Cliente deve ligar para o suporte da Microsoft seguindo as instruções no tópico Redefinir minha senha de administrador. O tópico Redefinir minha senha de administrador tem um link que os clientes podem usar para ligar para o Suporte da Microsoft. Instrua o Cliente a mencionar que o CSP não tem mais acesso ao locatário para ajudar na redefinição da senha. O CSP deve considerar a suspensão das assinaturas do cliente até que o acesso seja recuperado e as partes infratoras sejam removidas.
Implemente as práticas recomendadas de log de auditoria e execute uma revisão rotineira das atividades executadas por contas de administrador delegadas.
Os parceiros devem examinar o relatório de usuários arriscados em seu ambiente e abordar as contas que são detectadas como apresentando risco de acordo com as diretrizes publicadas.
Materiais relacionados
- Para obter as práticas recomendadas para gerenciar entidades de serviço, consulte Protegendo entidades de serviço na ID do Microsoft Entra.
- Requisitos de segurança de parceiros
- Princípios orientadores da Confiança Zero
- Práticas recomendadas de segurança do cliente