Melhores práticas de segurança do CSP

Todos os parceiros do programa Provedor de Soluções na Nuvem (CSP) que acedem ao Partner Center e às APIs do Partner Center devem seguir as orientações de segurança deste artigo para se protegerem e aos clientes.

Para segurança do cliente, veja Melhores práticas de segurança para clientes. Consulte Protegendo principais de serviço no Microsoft Entra ID para conhecer as melhores práticas de gestão de principais de serviço.

Importante

O Azure Ative Directory (Azure AD) Graph foi preterido a partir de 30 de junho de 2023. No futuro, não faremos mais investimentos no Azure AD Graph. As APIs do Azure AD Graph não têm SLA ou compromisso de manutenção além das correções relacionadas à segurança. Os investimentos em novos recursos e funcionalidades só serão feitos no Microsoft Graph.

Desativaremos o Azure AD Graph em etapas incrementais para que você tenha tempo suficiente para migrar seus aplicativos para APIs do Microsoft Graph. Em uma data posterior que anunciaremos, bloquearemos a criação de novos aplicativos usando o Azure AD Graph.

Para saber mais, consulte Importante: Desativação do Azure AD Graph e Descontinuação do módulo Powershell.

Passos altamente recomendados para os seus inquilinos

• Adicione um contacto de segurança para notificações de problemas relacionados à segurança no locatário do Partner Center.
• Verifique a sua pontuação segura de identidade no Microsoft Entra ID e tome as ações apropriadas para aumentar a sua pontuação.
• Revise e implemente as diretrizes documentadas em Gestão de falta de pagamento, fraude ou uso indevido.
• Familiarize-se com o agente de ameaças NOBELIUM e materiais relacionados:
  • NOBELIUM visando privilégios administrativos delegados para facilitar ataques mais amplos
  • Formação de Resposta ao NOBELIUM
  • Protegendo o canal: Jornada para confiança zero

Práticas recomendadas de identidade

Exigir autenticação multifator

• Certifique-se de que todos os usuários em seus locatários do Partner Center e seus locatários de clientes estejam registrados e exijam autenticação multifator (MFA). Há várias maneiras de configurar o MFA. Escolha o método que se aplica ao locatário que você está configurando:
  • O locatário do My Partner Center/Cliente tem o Microsoft Entra ID P1
    • Use Acesso Condicional para impor a Autenticação Multi-Fator.
  • Os locatários do My Partner Center/Cliente possuem o Microsoft Entra ID P2
    • Use Acesso Condicional para impor MFA.
    • Implemente políticas baseadas em risco usando o Microsoft Entra ID Protection.
    • Para o locatário do Partner Center, você pode se qualificar para o Microsoft 365 E3 ou E5, dependendo dos benefícios dos Direitos de Uso Interno (IUR). Esses SKUs incluem o Microsoft Entra ID P1 ou 2, respectivamente.
    • Para o inquilino do seu cliente, recomendamos ativar os padrões de segurança.
      • Se o cliente estiver usando aplicativos que exigem autenticação herdada, esses aplicativos não funcionarão depois que você ativar os padrões de segurança. Se a aplicação não puder ser substituída, removida ou atualizada para usar a autenticação moderna, pode impor MFA através de MFA por utilizador.
      • Você pode monitorar e impor o uso de padrões de segurança pelo cliente usando a seguinte chamada à API do Graph:
        • Recurso do tipo identitySecurityDefaultsEnforcementPolicy - Microsoft Graph v1.0 | Microsoft Learn
• Certifique-se de que o método MFA usado é resistente a phishing. Você pode fazer isso usando autenticação sem senha ou correspondência numérica.
• Se um cliente se recusar a usar o MFA, não forneça a ele nenhum acesso de função de administrador à ID do Microsoft Entra ou permissões de gravação para Assinaturas do Azure.

Acesso da aplicação

• Adote a estrutura do Modelo de Aplicativo Seguro. Todos os parceiros que integrem as APIs do Partner Center devem adotar a estrutura do Secure Application Model para qualquer aplicação ou modelo de autenticação de utilizador.
• Desative o consentimento do utilizador nos inquilinos do Partner Center Microsoft Entra ou use o fluxo de trabalho de consentimento do administrador.

Privilégio mínimo / Sem acesso permanente

• Os usuários que têm funções internas privilegiadas do Microsoft Entra não devem usar regularmente essas contas para email e colaboração. Crie uma conta de usuário separada sem funções administrativas do Microsoft Entra para tarefas de colaboração.
• Revise o grupo de agentes administradores e remova as pessoas que não precisam de acesso.
• Analise regularmente o acesso à função administrativa no Microsoft Entra ID e limite o acesso ao menor número possível de contas. Para obter mais informações, consulte Funções incorporadas do Microsoft Entra.
• Os usuários que deixam a empresa ou mudam de função dentro da empresa devem ser removidos do acesso ao Partner Center.
• Se tiver o Microsoft Entra ID P2, use o recurso Gestão de Identidades com Privilégios (PIM) para impor o acesso just-in-time (JIT). Use a custódia dupla para revisar e aprovar o acesso para funções de administrador do Microsoft Entra e funções do Partner Center.
• Para proteger funções privilegiadas, consulte a Visão geral sobre a segurança do acesso privilegiado.
• Analise regularmente o acesso aos ambientes dos clientes.
  • Remova os Privilégios de Administração Delegada (DAP) inativos.
  • Perguntas frequentes sobre o GDAP.
  • Certifique-se de que os relacionamentos GDAP estejam utilizando funções com o mínimo de privilégios necessários.

Isolamento de identidade

• Evite hospedar sua instância do Partner Center no mesmo locatário do Microsoft Entra que hospeda seus serviços internos de TI, como ferramentas de email e colaboração.
• Use contas de usuário separadas e dedicadas para usuários privilegiados do Partner Center que tenham acesso de cliente.
• Evite criar contas de usuário em clientes do Microsoft Entra destinadas ao uso por parceiros para gerir o cliente e aplicativos e serviços relacionados.

Práticas recomendadas para dispositivos

• Permita apenas o acesso do Partner Center e do locatário do cliente a partir de estações de trabalho registradas e íntegras que tenham linhas de base de segurança gerenciadas e sejam monitoradas quanto a riscos de segurança.
• Para usuários do Partner Center com acesso privilegiado aos ambientes do cliente, considere a necessidade de estações de trabalho dedicadas (virtuais ou físicas) para que esses usuários acessem os ambientes do cliente. Para obter mais informações, consulte Acesso privilegiado seguro.

Melhores práticas de monitorização

APIs do Centro de Parceiros

• Todos os fornecedores do painel de controlo devem ativar o modelo de aplicação segura e ativar o registo de cada atividade do utilizador.
• Os fornecedores do Painel de Controle devem permitir a auditoria de cada agente parceiro que faz login no aplicativo e todas as ações tomadas.

Monitorização e auditoria de início de sessão

• Os parceiros com uma licença Microsoft Entra ID P2 qualificam-se automaticamente para manter os registos de auditoria e de início de sessão por até 30 dias.

  Confirme que:

  • Os registos de auditoria estão implementados quando são utilizadas contas de administrador delegado.
  • Os logs estão a capturar o nível máximo de detalhes fornecido pelo serviço.
  • Os logs são retidos por um período aceitável (até 30 dias) que permite a deteção de atividade anômala.

  O registo de auditoria detalhado pode exigir a aquisição de mais serviços. Para obter mais informações, consulte "Por quanto tempo o Microsoft Entra ID armazena dados de relatórios?"

• Analise e verifique regularmente os endereços de e-mail e números de telefone de recuperação de senha na ID do Microsoft Entra para todos os usuários com as funções de administrador privilegiadas do Entra e atualize, se necessário.

  • Se o locatário de um cliente estiver comprometido: o Parceiro de Fatura Direta do CSP, o Provedor Indireto ou o Revendedor Indireto não podem entrar em contato com o suporte solicitando a alteração da senha de Administrador no locatário do cliente. O Cliente deve ligar para o suporte da Microsoft seguindo as instruções no tema Redefinir a minha senha de administrador. O tópico Redefinir a minha senha de administrador tem um link que os clientes podem usar para contactar o Suporte da Microsoft. Instrua o Cliente a mencionar que o CSP não tem mais acesso ao locatário para ajudar na redefinição da senha. O CSP deve considerar a suspensão das assinaturas do cliente até que o acesso seja recuperado e as partes infratoras sejam removidas.

• Implemente as melhores práticas de registo de auditoria e realize uma revisão sistemática da atividade realizada por contas de administradores delegados.

  • O que são relatórios do Microsoft Entra?
  • Analisar logs de atividades usando os logs do Azure Monitor
  • Referência da atividade de auditoria do Microsoft Entra

• Os parceiros devem rever o relatório de utilizadores de risco no seu ambiente e tratar as contas que sejam detetadas como apresentando risco de acordo com as diretrizes publicadas.

  • Remediar riscos e desbloquear utilizadores
  • Experiências de utilizador com o Microsoft Entra ID Protection

Conteúdo relacionado

• Requisitos de segurança dos parceiros
• Princípios orientadores do Zero Trust
• Práticas recomendadas de segurança para clientes