Os requisitos de segurança para usar o Partner Center ou as APIs do Partner Center

Funções apropriadas: Todos os usuários do Partner Center

Como consultor, fornecedor de painel de controle ou parceiro CSP (Provedor de Soluções na Nuvem), você tem decisões a tomar em relação às opções de autenticação e outras considerações de segurança.

Salvaguardas de privacidade e segurança para si e para os seus clientes estão entre as nossas principais prioridades. Sabemos que a melhor defesa é a prevenção e que somos tão fortes quanto o nosso elo mais fraco. Precisamos que todos no nosso ecossistema garantam proteções de segurança adequadas.

Requisitos de segurança obrigatórios

O programa CSP ajuda os clientes a comprar produtos e serviços da Microsoft por meio de parceiros. De acordo com o contrato com a Microsoft, os parceiros são obrigados a gerenciar o ambiente e fornecer suporte aos clientes para os quais vendem.

Os clientes que compram através deste canal confiam em si como parceiro porque tem acesso de administrador com altos privilégios ao locatário do cliente.

Os parceiros que não implementam os requisitos de segurança obrigatórios não podem realizar transações no programa CSP. Eles também não podem gerenciar locatários de clientes que usam direitos de administrador delegados. Além disso, os parceiros que não implementarem os requisitos de segurança podem colocar em risco a sua participação em programas.

Os termos associados aos requisitos de segurança do parceiro são adicionados ao Contrato de Parceiro da Microsoft. O Contrato de Parceiro da Microsoft (MPA) é atualizado periodicamente e a Microsoft recomenda que todos os parceiros consultem regularmente. No que diz respeito aos Consultores, estão em vigor os mesmos requisitos contratuais.

Todos os parceiros são obrigados a aderir às práticas recomendadas de segurança para que possam proteger os ambientes de parceiros e clientes. Essas práticas recomendadas ajudam a mitigar problemas de segurança, corrigir escalonamentos de segurança e garantir que a confiança de seus clientes não seja comprometida.

Para proteger você e seus clientes, é necessário tomar as seguintes ações imediatamente:

• Habilitar MFA para todas as contas de usuário
• Adote a estrutura do Modelo de Aplicativo Seguro

Habilite a MFA para todas as contas de usuário em seu locatário parceiro

Você deve impor a autenticação multifator (MFA) em todas as contas de usuário em seus locatários parceiros. O MFA desafia os utilizadores quando:

• Inicie sessão nos serviços comerciais na nuvem da Microsoft.
• Transacione no programa Cloud Solution Provider através do Partner Center.
• Transacione por meio de APIs.

A aplicação da Autenticação Multifator segue as seguintes diretrizes:

• Parceiros que usam a autenticação multifator Microsoft Entra suportada pela Microsoft. Para obter mais informações, consulte Várias maneiras de habilitar a autenticação multifator do Microsoft Entra.
• Parceiro que implementou qualquer MFA que não seja da Microsoft e faz parte da lista de exceções. Eles ainda podem acessar o Partner Center e APIs com exceções, mas não podem gerenciar clientes usando DAP/GDAP. Sem exceções.
• Organização do parceiro à qual foi anteriormente concedida uma exceção para MFA. Se uma organização parceira recebeu uma exceção para MFA, as exceções só serão honradas se os usuários que gerenciam locatários de clientes como parte do programa Provedor de Soluções na Nuvem os habilitaram antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso do locatário do cliente.

Para obter mais informações, consulte Exigir autenticação multifator para seu locatário parceiro.

Adote a estrutura do Modelo de Aplicativo Seguro

Todos os parceiros que se integram com APIs do Partner Center devem adotar a estrutura Secure Application Model para qualquer aplicativo e aplicativo de modelo de autenticação de usuário.

Importante

É altamente recomendável que os parceiros implementem o Modelo de Aplicativo Seguro para integração com uma API da Microsoft, como o Azure Resource Manager ou o Microsoft Graph. Além disso, os parceiros devem implementar o Modelo de Aplicativo Seguro quando aproveitarem a automação, como o PowerShell, usando credenciais de cliente, para evitar qualquer interrupção ao aplicarem a MFA.

Esses requisitos de segurança ajudam a proteger sua infraestrutura e protegem os dados de seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.

Outros requisitos de segurança

Os clientes confiam em si, como seu parceiro, para fornecer serviços de valor acrescentado. É imperativo que tome todas as medidas de segurança para proteger a confiança do cliente e a sua reputação como parceiro.

A Microsoft continua a adicionar medidas de imposição para que os parceiros sejam obrigados a aderir e priorizar a segurança de seus clientes. Esses requisitos de segurança ajudam a proteger sua infraestrutura e protegem os dados de seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.

Os parceiros devem garantir que adotam os princípios do Zero Trust, conforme descrito nas seções a seguir.

Privilégios de administrador delegado

Os privilégios de administrador delegado (DAP) fornecem a capacidade de gerenciar o serviço ou a assinatura de um cliente em seu nome. O cliente deve conceder ao parceiro permissões administrativas para esse serviço. Como os privilégios fornecidos ao parceiro para gerir o cliente são altamente elevados, a Microsoft recomenda que os parceiros removam DAPs inativos. Os parceiros que gerenciam o locatário do cliente usando privilégios de administrador delegado devem remover o DAP inativo do do Partner Center para evitar qualquer impacto sobre o locatário do cliente e seus ativos.

Para obter mais informações, consulte o guia de de remoção de DAP de autoatendimento e relações administrativas do Monitor, as Privilégios de administração delegada Perguntas frequentes e o guia NOBELIUM direcionando privilégios administrativos delegados.

Além disso, o DAP será preterido em breve. Recomendamos vivamente que todos os parceiros que utilizam ativamente o DAP para gerir os seus inquilinos de clientes avancem para um modelo de de privilégios de administrador delegado granular para gerir com segurança os inquilinos dos seus clientes.

Transição para funções de privilégios mínimos para gerenciar seus locatários clientes

Como o DAP será preterido em breve, a Microsoft recomenda que você mude do modelo DAP atual, que dá aos agentes Admin acesso permanente ou perpétuo de administrador Global. Substitua-o por um modelo de acesso delegado refinado. O modelo de acesso delegado refinado reduz os riscos de segurança para os clientes e os efeitos desses riscos. Ele também oferece controle e flexibilidade para restringir o acesso por cliente no nível de carga de trabalho de seus funcionários que gerenciam os serviços e ambientes de seus clientes.

Para obter mais informações, consulte a de visão geral doGranular Delegated Admin Privileges (GDAP), informações sobre funções menos privilegiadase o GDAP FAQ

Fique atento às notificações de fraude do Azure

Como parceiro no programa CSP, você é responsável pelo consumo do Azure do seu cliente, por isso é importante que você esteja ciente de quaisquer atividades potenciais de mineração de criptomoedas nas assinaturas do Azure de seus clientes. Essa consciência ajuda você a tomar medidas imediatas para determinar se o comportamento é legítimo ou fraudulento. Se necessário, você pode suspender os recursos afetados do Azure ou a assinatura do Azure para mitigar o problema.

Para obter mais informações, consulte deteção de fraude e notificação do Azure.

Inscreva-se no Microsoft Entra ID P2

Todos os Agentes Administrativos no locatário do CSP devem fortalecer sua segurança cibernética implementando Microsoft Entra ID P2e aproveitar os vários recursos para fortalecer seu locatário do CSP. O Microsoft Entra ID P2 fornece acesso estendido a logs de entrada e recursos premium, como o Microsoft Entra Privileged Identity Management (PIM) e recursos de Acesso Condicional baseados em risco para fortalecer os controles de segurança.

Aderir às práticas recomendadas de segurança do CSP

É importante seguir todas as práticas recomendadas de CSP para segurança. Saiba mais em práticas recomendadas de segurança do Provedor de Soluções na Nuvem.

Implementando a autenticação multifator

Para cumprir os requisitos de segurança do parceiro, você deve implementar e impor a MFA para cada conta de usuário em seu locatário parceiro. Você pode fazer isso de uma das seguintes maneiras:

• Implemente padrões de segurança do Microsoft Entra. Veja mais na seguinte seção, Padrões de segurança.
• Adquira o Microsoft Entra ID P1 ou P2 para cada conta de usuário. Para obter mais informações, consulte planejar uma implantação de autenticação multifator do Microsoft Entra.

Padrões de segurança

Uma das opções que os parceiros podem usar para implementar os requisitos de MFA é habilitar os padrões de segurança no Microsoft Entra ID. Os padrões de segurança oferecem um nível básico de segurança sem custo extra. Veja como habilitar o MFA para sua organização com o Microsoft Entra ID. Aqui estão algumas considerações importantes antes de ativar as definições padrão de segurança.

• Os parceiros que já adotaram políticas básicas devem tomar medidas para fazer a transição para padrões de segurança.
• Os padrões de segurança são a substituição da disponibilidade geral das políticas de linha de base de visualização. Depois que um parceiro habilita os padrões de segurança, ele não pode habilitar as políticas de linha de base.
• As políticas de padrões de segurança são ativadas de uma só vez.
• Os parceiros que usam acesso condicionalnão podem usar padrões de segurança.
• Os protocolos de autenticação herdados são bloqueados.
• A conta de sincronização do Microsoft Entra Connect é excluída dos padrões de segurança e não é solicitada a se registrar ou executar a autenticação multifator. As organizações não devem usar essa conta para outros fins.

Para mais informações, consulte Visão geral da autenticação multifator do Microsoft Entra para a sua organização e O que são padrões de segurança?.

Observação

As definições de segurança padrão do Microsoft Entra são a evolução das políticas de proteção base simplificadas. Se já habilitaste as configurações de proteção base, é recomendável que habilites os padrões de segurança .

Perguntas frequentes sobre a implementação (FAQ)

Como esses requisitos se aplicam a todas as contas de usuário em seu locatário parceiro, você precisa considerar várias coisas para garantir uma implantação suave. Por exemplo, identifique contas de usuário no Microsoft Entra ID que não podem executar MFA e aplicativos e dispositivos em sua organização que não oferecem suporte à autenticação moderna.

Antes de executar qualquer ação, recomendamos que você conclua as validações a seguir.

Você tem um aplicativo ou dispositivo que não suporta o uso de autenticação moderna?

Quando você impõe MFA, autenticações herdadas que usam IMAP, POP3, SMTP, protocolos são bloqueadas. É porque esses protocolos não suportam MFA. Para corrigir esta limitação, use o recurso de senhas de aplicativo para garantir que o aplicativo ou dispositivo continue a ser autenticado. Analise Considerações sobre o uso de senhas de aplicativos para determinar se você pode usá-las em seu ambiente.

Você tem usuários do Office 365 com licenças associadas ao locatário parceiro?

Antes de implementar qualquer solução, recomendamos que você determine quais versões do Microsoft Office os usuários em seu locatário parceiro estão usando. Há uma chance de que seus usuários possam ter problemas de conectividade com aplicativos como o Outlook. Antes de impor a MFA, é importante garantir que você use o Outlook 2013 SP1 ou posterior e que sua organização tenha a autenticação moderna habilitada. Para obter mais informações, consulte Habilitar autenticação moderna no Exchange Online.

Para habilitar a autenticação moderna para dispositivos que executam o Windows e têm o Microsoft Office 2013 instalado, você deve criar duas chaves do Registro. Consulte Ativar a autenticação moderna para o Office 2013 em dispositivos Windows.

Existe alguma política que impeça algum dos seus utilizadores de utilizar os seus dispositivos móveis enquanto trabalha?

É importante identificar qualquer política corporativa que impeça os funcionários de usar dispositivos móveis enquanto trabalham, pois isso influencia a solução de MFA implementada. Existem soluções, como aquela fornecida pela implementação do padrão de segurança do Microsoft Entra, que apenas permitem o uso de uma aplicação autenticadora para verificação. Se a sua organização tiver uma política que impeça o uso de dispositivos móveis, considere uma das seguintes opções:

• Implante um aplicativo de senha base única (TOTP) baseado no tempo que pode ser executado em um sistema seguro.

Que automação ou integração você tem para autenticar as credenciais do usuário?

A imposição de MFA para usuários, incluindo contas de serviço, em seu diretório de parceiros, pode afetar qualquer automação ou integração que empregue credenciais de usuário para autenticação. Por isso, é importante identificar quais contas estão sendo usadas nessas situações. Consulte a seguinte lista de aplicativos ou serviços de exemplo a serem considerados:

• Use um painel de controle para preparar recursos em nome de seus clientes.
• Integre com qualquer plataforma que fatura (no que diz respeito ao programa CSP) e apoie os seus clientes.
• Utilize scripts do PowerShell que usam os cmdlets Az, AzureRM, , Microsoft Graph PowerShell, e outros módulos.

Essa lista não é abrangente, por isso é importante realizar uma avaliação completa de qualquer aplicativo ou serviço em seu ambiente que use credenciais de usuário para autenticação. Para lidar com o requisito de MFA, use as orientações na estrutura Secure Application Model sempre que possível.

Aceda ao seu ambiente

Para entender melhor o que ou quem autentica sem desafio de MFA, recomendamos que você revise a atividade de login. Com o Microsoft Entra ID P1 ou P2, pode-se utilizar o relatório de início de sessão. Para obter mais informações, consulte Relatórios de atividade de entrada no centro de administração do Microsoft Entra. Se não tiver o Microsoft Entra ID P1 ou P2, ou se precisares de uma forma de obter a atividade de início de sessão através do PowerShell, utiliza o cmdlet Get-PartnerUserSignActivity do módulo Partner Center do PowerShell.

Como são aplicados os requisitos

Se uma organização parceira recebeu uma exceção para MFA, as exceções só serão honradas se os usuários que gerenciam locatários de clientes como parte do programa Provedor de Soluções na Nuvem os habilitaram antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso ao cliente.

O Microsoft Entra ID e o Partner Center impõem os requisitos de segurança do parceiro verificando a presença da declaração de MFA para identificar que a verificação de MFA ocorre. A partir de 18 de novembro de 2019, a Microsoft ativou mais salvaguardas de segurança, anteriormente conhecidas como "aplicação técnica" para locatários parceiros.

No momento da ativação, os utilizadores no tenant parceiro são solicitados a concluir a verificação de MFA quando realizam qualquer operação de administração em nome de outrem (AOBO). Os usuários também precisam concluir a verificação de MFA quando acessam o Partner Center ou ligam para as APIs do Partner Center. Para obter mais informações, consulte Exigir autenticação multifator para seu locatário parceiro.

Os parceiros que não atendem aos requisitos devem implementar essas medidas o mais rápido possível para evitar interrupções nos negócios. Se você usar a autenticação multifator do Microsoft Entra ou os padrões de segurança do Microsoft Entra, não precisará executar nenhuma outra ação.

Se você usar uma solução de MFA que não seja da Microsoft, há uma chance de que a declaração de MFA não seja emitida. Quando a declaração está ausente, o Microsoft Entra ID não pode determinar se o MFA desafia a solicitação de autenticação. Para obter informações sobre como verificar se sua solução emite a declaração esperada, consulte Requisitos de segurança do parceiro de teste.

Importante

Se sua solução que não seja da Microsoft não emitir a declaração esperada, trabalhe com o fornecedor que desenvolveu a solução para determinar quais ações tomar.

Recursos e amostras

Consulte os seguintes recursos para obter suporte e código de exemplo:

• comunidade do Partner Center Security Guidance Group: A comunidade do Partner Center Security Guidance Group é uma comunidade online onde você pode saber mais sobre os próximos eventos e fazer suas perguntas.
• exemplos .NET do Partner Center: Este repositório GitHub contém exemplos que foram desenvolvidos usando o .NET e que demonstram como se pode implementar a estrutura do modelo de aplicação segura.
• exemplos Java do Partner Center: Este repositório GitHub contém exemplos que foram desenvolvidos usando Java que demonstram como você pode implementar a estrutura Secure Application Model.
• PowerShell do Partner Center - autenticação multifator: Este artigo sobre autenticação multifator fornece detalhes sobre como implementar a estrutura do Modelo de Aplicativo Seguro usando o PowerShell.
• Recursos e licenças para autenticação multifator do Microsoft Entra
• Planear uma implementação multifator do Microsoft Entra
• Testar os requisitos de segurança do parceiro usando o PowerShell

Conteúdo relacionado

• Exigir autenticação multifator para seu locatário parceiro