Requisitos de segurança para usar APIs do Partner Center ou do Partner Center
Funções apropriadas: Todos os usuários do Partner Center
Como consultor, fornecedor de painel de controle ou parceiro CSP (Provedor de Soluções na Nuvem), você tem decisões a tomar em relação às opções de autenticação e outras considerações de segurança.
Salvaguardas de privacidade e segurança para si e para os seus clientes estão entre as nossas principais prioridades. Sabemos que a melhor defesa é a prevenção e que somos tão fortes quanto o nosso elo mais fraco. É por isso que precisamos que todos em nosso ecossistema garantam proteções de segurança adequadas.
Requisitos de segurança obrigatórios
O programa CSP permite que os clientes comprem produtos e serviços da Microsoft por meio de parceiros. De acordo com o contrato com a Microsoft, os parceiros são obrigados a gerenciar o ambiente e fornecer suporte aos clientes para os quais vendem.
Os clientes que compram através deste canal confiam em si como parceiro porque tem acesso de administrador de alto privilégio ao inquilino do cliente.
Os parceiros que não implementarem os requisitos de segurança obrigatórios não poderão realizar transações no programa CSP ou gerenciar locatários de clientes usando direitos de administrador delegados. Além disso, os parceiros que não implementarem os requisitos de segurança podem colocar em risco a sua participação em programas.
Os termos associados aos requisitos de segurança do parceiro foram adicionados ao Contrato de Parceiro da Microsoft. O Contrato de Parceiro da Microsoft (MPA) é atualizado periodicamente e a Microsoft recomenda que todos os parceiros consultem regularmente. No que diz respeito aos Consultores, os mesmos requisitos contratuais estarão em vigor.
Todos os parceiros são obrigados a aderir às práticas recomendadas de segurança para que possam proteger os ambientes de parceiros e clientes. A adesão a essas práticas recomendadas ajuda a mitigar problemas de segurança e remediar escalonamentos de segurança, garantindo que a confiança do cliente não seja comprometida.
Para proteger você e seus clientes, exigimos que os parceiros tomem as seguintes ações imediatamente:
Habilite a MFA para todas as contas de usuário em seu locatário parceiro
Você deve impor a MFA em todas as contas de usuário em seus locatários parceiros. Os usuários devem ser desafiados pelo MFA quando entrarem nos serviços de nuvem comerciais da Microsoft ou quando fizerem transações no programa Provedor de Soluções na Nuvem por meio do Partner Center ou por meio de APIs.
A aplicação do AMF segue estas diretrizes:
- Parceiros que usam a autenticação multifator Microsoft Entra suportada pela Microsoft. Para obter mais informações, consulte Várias maneiras de habilitar a autenticação multifator do Microsoft Entra (MFA suportada)
- O parceiro que implementou qualquer MFA de terceiros e parte da lista de exceções ainda pode acessar o Partner Center e as APIs com exceções, mas não pode gerenciar o cliente usando DAP/GDAP (sem exceções permitidas)
- Se a organização do parceiro recebeu anteriormente uma exceção para MFA, os usuários que gerenciam locatários de clientes como parte do programa CSP devem ter habilitado os requisitos de MFA da Microsoft antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso do locatário do cliente.
- Saiba mais sobre como exigir autenticação multifator (MFA) para seu locatário parceiro.
Adotar a arquitetura Modelo de Aplicação Segura
Todos os parceiros que se integram com APIs do Partner Center devem adotar a estrutura Secure Application Model para qualquer aplicativo e aplicativo de modelo de autenticação de usuário.
Importante
É altamente recomendável que os parceiros implementem o Modelo de Aplicativo Seguro para integração com uma API da Microsoft, como o Azure Resource Manager ou o Microsoft Graph, ou ao aproveitar a automação, como o PowerShell, usando credenciais de usuário, para evitar qualquer interrupção quando a MFA for imposta.
Esses requisitos de segurança ajudam a proteger sua infraestrutura e protegem os dados de seus clientes contra possíveis riscos de segurança, como identificar roubo ou outros incidentes de fraude.
Outros requisitos de segurança
Os clientes confiam em si, como seu parceiro, para fornecer serviços de valor acrescentado. É imperativo que tome todas as medidas de segurança para proteger a confiança do cliente e a sua reputação como parceiro.
A Microsoft continua a adicionar medidas de fiscalização para que todos os parceiros sejam obrigados a aderir e priorizar a segurança de seus clientes. Esses requisitos de segurança ajudam a proteger sua infraestrutura e protegem os dados de seus clientes contra possíveis riscos de segurança, como identificar roubos ou outros incidentes de fraude.
O parceiro é responsável por garantir que está adotando os princípios do zero trust, especificamente os seguintes.
Privilégios de administrador delegado (DAP)
Os privilégios de administrador delegado (DAP) fornecem a capacidade de gerenciar o serviço ou a assinatura de um cliente em seu nome. O cliente deve conceder ao parceiro permissões administrativas para esse serviço. Como os privilégios fornecidos ao parceiro para gerenciar o cliente são altamente elevados, a Microsoft recomenda que todos os parceiros removam DAPs inativos. Todos os parceiros que gerenciam o locatário do cliente usando privilégios de administrador delegado devem remover o DAP inativo do Partner Center para evitar qualquer impacto sobre o locatário do cliente e seus ativos.
Para obter mais informações, consulte o Guia de monitoramento de relações administrativas e remoção de DAP de autoatendimento, as Perguntas frequentes sobre privilégios de administração delegada e o guia de direcionamento de privilégios administrativos delegados NOBELIUM.
Além disso, o DAP será preterido em breve. Recomendamos vivamente que todos os parceiros que estejam a utilizar ativamente o DAP façam a gestão dos seus inquilinos de clientes e avancem para um modelo de privilégios de administrador delegado granular com privilégios mínimos para gerirem com segurança os inquilinos dos seus clientes.
Transição para funções de privilégios mínimos para gerenciar seus locatários clientes
Como o DAP será preterido em breve, a Microsoft recomenda que se afaste do modelo DAP atual (que dá aos agentes administradores acesso permanente ou perpétuo de administrador global) e o substitua por um modelo de acesso delegado refinado. O modelo de acesso delegado refinado reduz os riscos de segurança para os clientes e os efeitos desses riscos sobre eles. Ele também oferece controle e flexibilidade para restringir o acesso por cliente no nível de carga de trabalho de seus funcionários que estão gerenciando os serviços e ambientes de seus clientes.
Para obter mais informações, consulte a Visão geral dos privilégios de administrador delegado granular (GDAP), informações sobre funções menos privilegiadas e as Perguntas frequentes sobre GDAP
Fique atento às notificações de fraude do Azure
Como parceiro no programa CSP, você é responsável pelo consumo do Azure do seu cliente, por isso é importante que você esteja ciente de quaisquer atividades potenciais de mineração de criptomoedas nas assinaturas do Azure de seus clientes. Esse reconhecimento permite que você tome medidas imediatas para determinar se o comportamento é legítimo ou fraudulento e, se necessário, suspenda os recursos afetados do Azure ou a assinatura do Azure para mitigar o problema.
Para obter mais informações, consulte Deteção e notificação de fraude do Azure.
Inscreva-se no Microsoft Entra ID P2
Todos os Agentes Administrativos no locatário do CSP devem fortalecer sua segurança cibernética implementando o Microsoft Entra ID P2 e aproveitar os vários recursos para fortalecer seu locatário do CSP. O Microsoft Entra ID P2 fornece acesso estendido a logs de entrada e recursos premium, como o Microsoft Entra Privileged Identity Management (PIM) e recursos de Acesso Condicional baseados em risco para fortalecer os controles de segurança.
Aderir às práticas recomendadas de segurança do CSP
É importante seguir todas as práticas recomendadas de CSP para segurança. Saiba mais em Práticas recomendadas de segurança do Provedor de Soluções na Nuvem.
Implementando a autenticação multifator
Para cumprir os requisitos de segurança do parceiro, você deve implementar e impor a MFA para cada conta de usuário em seu locatário parceiro. Você pode fazer isso de uma das seguintes maneiras:
- Implemente os padrões de segurança do Microsoft Entra. Veja mais na próxima seção, Padrões de segurança.
- Adquira o Microsoft Entra ID P1 ou P2 para cada conta de usuário. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.
Predefinições de segurança
Uma das opções que os parceiros podem escolher para implementar os requisitos de MFA é habilitar os padrões de segurança no Microsoft Entra ID. Os padrões de segurança oferecem um nível básico de segurança sem custo extra. Analise como habilitar o MFA para sua organização com o Microsoft Entra ID e as principais considerações abaixo antes de habilitar os padrões de segurança.
- Os parceiros que já adotaram políticas de linha de base precisam tomar medidas para fazer a transição para padrões de segurança.
- Os padrões de segurança são a substituição da disponibilidade geral das políticas de linha de base de visualização. Depois que um parceiro habilita os padrões de segurança, ele não pode habilitar as políticas de linha de base.
- Com os padrões de segurança, todas as políticas são ativadas de uma só vez.
- Para parceiros que usam acesso condicional, os padrões de segurança não estão disponíveis.
- Os protocolos de autenticação herdados são bloqueados.
- A conta de sincronização do Microsoft Entra Connect é excluída dos padrões de segurança e não será solicitada a se registrar ou executar a autenticação multifator. As organizações não devem usar essa conta para outros fins.
Para obter informações detalhadas, consulte Visão geral da autenticação multifator do Microsoft Entra para sua organização e O que são padrões de segurança?.
Nota
Os padrões de segurança do Microsoft Entra são a evolução das políticas de proteção de linha de base simplificadas. Se você já habilitou as políticas de proteção de linha de base, é altamente recomendável habilitar os padrões de segurança.
Perguntas frequentes sobre a implementação (FAQ)
Como esses requisitos se aplicam a todas as contas de usuário em seu locatário parceiro, você precisa considerar várias coisas para garantir uma implantação suave. Por exemplo, identifique contas de usuário no Microsoft Entra ID que não podem executar MFA e aplicativos e dispositivos em sua organização que não oferecem suporte à autenticação moderna.
Antes de executar qualquer ação, recomendamos que você conclua as validações a seguir.
Você tem um aplicativo ou dispositivo que não suporta o uso de autenticação moderna?
Quando você impõe MFA, a autenticação herdada usa protocolos como IMAP, POP3, SMTP e outros são bloqueados porque não suportam MFA. Para resolver essa limitação, use o recurso de senhas de aplicativo para garantir que o aplicativo ou dispositivo ainda seja autenticado. Analise as considerações sobre o uso de senhas de aplicativos para determinar se elas podem ser usadas em seu ambiente.
Você tem usuários do Office 365 com licenças associadas ao locatário parceiro?
Antes de implementar qualquer solução, recomendamos que você determine quais versões dos usuários do Microsoft Office em seu locatário parceiro estão usando. Há uma chance de seus usuários enfrentarem problemas de conectividade com aplicativos como o Outlook. Antes de impor a MFA, é importante garantir que você esteja usando o Outlook 2013 SP1 ou posterior e que sua organização tenha a autenticação moderna habilitada. Para obter mais informações, consulte Habilitar autenticação moderna no Exchange Online.
Para habilitar a autenticação moderna para dispositivos que executam o Windows que têm o Microsoft Office 2013 instalado, você deve criar duas chaves do Registro. Consulte Habilitar autenticação moderna para o Office 2013 em dispositivos Windows.
Existe alguma política que impeça algum dos seus utilizadores de utilizar os seus dispositivos móveis enquanto trabalha?
É importante identificar qualquer política corporativa que impeça os funcionários de usar dispositivos móveis enquanto trabalham, pois isso influenciará a solução de MFA implementada. Existem soluções, como a fornecida através da implementação dos padrões de segurança do Microsoft Entra, que só permitem o uso de um aplicativo autenticador para verificação. Se a sua organização tiver uma política que impeça o uso de dispositivos móveis, considere uma das seguintes opções:
- Implante um aplicativo de senha base única (TOTP) baseado no tempo que pode ser executado em um sistema seguro.
Que automação ou integração você tem para usar credenciais de usuário para autenticação?
A imposição de MFA para cada usuário, incluindo contas de serviço, em seu diretório de parceiros, pode afetar qualquer automação ou integração que use credenciais de usuário para autenticação. Por isso, é importante que você identifique quais contas estão sendo usadas nessas situações. Consulte a seguinte lista de aplicativos ou serviços de exemplo a serem considerados:
- Painel de controle usado para provisionar recursos em nome de seus clientes
- Integração com qualquer plataforma que seja usada para faturamento (no que diz respeito ao programa CSP) e suporte aos seus clientes
- Scripts do PowerShell que usam o Az, AzureRM, Microsoft Graph PowerShell e outros módulos
A lista anterior não é abrangente, por isso é importante que você realize uma avaliação completa de qualquer aplicativo ou serviço em seu ambiente que use credenciais de usuário para autenticação. Para lidar com o requisito de MFA, você deve implementar as orientações na estrutura do Modelo de Aplicativo Seguro sempre que possível.
Acessando seu ambiente
Para entender melhor o que ou quem está autenticando sem ser desafiado para MFA, recomendamos que você revise a atividade de login. Através do Microsoft Entra ID P1 ou P2, você pode usar o relatório de entrada. Para obter mais informações sobre esse assunto, consulte Relatórios de atividade de entrada no centro de administração do Microsoft Entra. Se você não tiver o Microsoft Entra ID P1 ou P2, ou se estiver procurando uma maneira de obter essa atividade de entrada por meio do PowerShell, precisará usar o cmdlet Get-PartnerUserSignActivity do módulo PowerShell do Partner Center.
Como são aplicados os requisitos
Se a organização do seu parceiro recebeu anteriormente uma exceção para MFA, os usuários que gerenciam locatários de clientes como parte do programa CSP devem ter habilitado os requisitos de MFA da Microsoft antes de 1º de março de 2022. O não cumprimento dos requisitos de MFA pode resultar na perda do acesso do locatário do cliente.
Os requisitos de segurança do parceiro são impostos pelo Microsoft Entra ID e, por sua vez, pelo Partner Center, verificando a presença da declaração de MFA para identificar que a verificação de MFA ocorreu. Desde 18 de novembro de 2019, a Microsoft ativou mais proteções de segurança (anteriormente conhecidas como "aplicação técnica") para locatários parceiros.
Após a ativação, os usuários no locatário parceiro são solicitados a concluir a verificação de MFA ao executar qualquer administrador em nome de operações (AOBO), acessar o Partner Center ou chamar APIs do Partner Center. Para obter mais informações, consulte Mandating multifactor authentication (MFA) para seu locatário parceiro.
Os parceiros que não cumpriram os requisitos devem implementar essas medidas o mais rápido possível para evitar interrupções nos negócios. Se você estiver usando a autenticação multifator do Microsoft Entra ou os padrões de segurança do Microsoft Entra, não precisará executar nenhuma outra ação.
Se você estiver usando uma solução de MFA de terceiros, há uma chance de que a declaração de MFA não seja emitida. Se essa declaração estiver ausente, o ID do Microsoft Entra não poderá determinar se a solicitação de autenticação foi contestada pelo MFA. Para obter informações sobre como verificar se sua solução está emitindo a declaração esperada, leia Testando os requisitos de segurança do parceiro.
Importante
Se sua solução de terceiros não emitir a reivindicação esperada, você precisará trabalhar com o fornecedor que desenvolveu a solução para determinar quais ações devem ser tomadas.
Recursos e amostras
Consulte os seguintes recursos para obter suporte e código de exemplo:
- Comunidade do Partner Center Security Guidance Group: A comunidade do Partner Center Security Guidance Group é uma comunidade online onde você pode saber mais sobre os próximos eventos e fazer perguntas que possa ter.
- Exemplos .NET do Partner Center: Este repositório GitHub contém exemplos que foram desenvolvidos usando o .NET que demonstram como você pode implementar a estrutura do Modelo de Aplicativo Seguro.
- Exemplos Java do Partner Center: Este repositório GitHub contém exemplos que foram desenvolvidos usando Java que demonstram como você pode implementar a estrutura Secure Application Model.
- PowerShell do Partner Center - autenticação multifator: este artigo de autenticação multifator fornece detalhes sobre como implementar a estrutura do Modelo de Aplicativo Seguro usando o PowerShell.
- Recursos e licenças para autenticação multifator Microsoft Entra
- Planejar uma implantação multifator do Microsoft Entra
- Testando os requisitos de segurança do parceiro usando o PowerShell