Compartir a través de

Requisitos de seguridad para usar las API del Centro de partners o del Centro de partners

Roles adecuados: Todos los usuarios del Centro de Socios

Como asesor, proveedor del panel de control o asociado proveedor de soluciones en la nube (CSP), tiene decisiones para tomar con respecto a las opciones de autenticación y otras consideraciones de seguridad.

Las medidas de protección de privacidad y seguridad para usted y sus clientes se encuentran entre nuestras principales prioridades. Sabemos que la mejor defensa es la prevención y que solo somos tan fuertes como nuestro vínculo más débil. Necesitamos a todos los usuarios de nuestro ecosistema para garantizar que se han implementado las protecciones de seguridad adecuadas.

Requisitos de seguridad obligatorios

El programa CSP ayuda a los clientes a comprar productos y servicios de Microsoft a través de asociados. De acuerdo con su acuerdo con Microsoft, los partners deben administrar el entorno para y proporcionar soporte técnico a los clientes a los que venden.

Los clientes que compran a través de este canal, colocan su confianza en usted como socio porque tiene acceso de administrador con privilegios elevados a la entidad del cliente.

Los asociados que no implementan los requisitos de seguridad obligatorios no pueden realizar transacciones en el programa CSP. Tampoco pueden gestionar inquilinos de clientes que utilicen derechos de administrador delegado. Además, los asociados que no implementan los requisitos de seguridad podrían poner en riesgo su participación en programas.

Los términos asociados a los requisitos de seguridad de asociados se agregan al Contrato de asociado de Microsoft. El Contrato de partners de Microsoft (MPA) se actualiza periódicamente y Microsoft recomienda que todos los partners vuelvan a comprobar periódicamente. En lo que respecta a los asesores, se aplican los mismos requisitos contractuales.

Todos los partners deben cumplir los procedimientos recomendados de seguridad para que puedan proteger los entornos de asociados y clientes. Estos procedimientos recomendados le ayudan a mitigar los problemas de seguridad, corregir las escalaciones de seguridad y asegurarse de que la confianza de los clientes no está en peligro.

Para protegerle y sus clientes, debe realizar las siguientes acciones inmediatamente:

Habilitar MFA para todas las cuentas de usuario en el inquilino asociado

Se debe aplicar la autenticación multifactor (MFA) en todas las cuentas de usuario de los clientes asociados. MFA desafía a los usuarios cuando:

  • Inicie sesión en los servicios en la nube comercial de Microsoft.
  • Realice transacciones en el programa Proveedor de soluciones en la nube a través del Centro de partners.
  • Realizar transacciones mediante API.

La implementación de la Autenticación Multifactor (MFA) se realiza de acuerdo con estas directrices:

Para obtener más información, consulte Exigir autenticación multifactor para su organización asociada.

Adopción del marco de modelo de aplicación segura

Todos los partners que se integran con las API del Centro de partners deben adoptar el marco de modelo de aplicación segura para cualquier aplicación y aplicaciones de modelo de autenticación de usuario.

Importante

Se recomienda encarecidamente que los asociados implementen el modelo de aplicación segura para integrarse con una API de Microsoft, como Azure Resource Manager o Microsoft Graph. Además, los asociados deben implementar el modelo de aplicación segura cuando aprovechan la automatización, como PowerShell mediante credenciales de cliente, para evitar cualquier interrupción cuando aplican MFA.

Estos requisitos de seguridad ayudan a proteger la infraestructura y a proteger los datos de los clientes frente a posibles riesgos de seguridad, como identificar el robo u otros incidentes de fraude.

Otros requisitos de seguridad

Los clientes confían en usted, como socio, para proporcionar servicios de valor añadido. Es imperativo que tome todas las medidas de seguridad para proteger la confianza del cliente y su reputación como asociado.

Microsoft sigue agregando medidas de cumplimiento para que los socios estén obligados a cumplir y priorizar la seguridad de sus clientes. Estos requisitos de seguridad ayudan a proteger la infraestructura y a proteger los datos de los clientes frente a posibles riesgos de seguridad, como identificar el robo u otros incidentes de fraude.

Los partners deben asegurarse de que adoptan los principios de Confianza cero, tal como se describe en las secciones siguientes.

Privilegios de administrador delegado granulares

Las funcionalidades de GDAP ayudan a los asociados a controlar el acceso a las cargas de trabajo de sus clientes para abordar mejor sus preocupaciones. ** Los socios pueden ofrecer más servicios a los clientes que puedan sentirse incómodos con los niveles actuales de acceso de socios. También pueden ofrecer servicios a los clientes con necesidades normativas que requieran acceso con privilegios mínimos a los asociados.

GDAP es una característica de seguridad que proporciona a los asociados acceso con privilegios mínimos siguiendo el protocolo de ciberseguridad de Confianza cero. Permite a los asociados configurar el acceso granular y limitado al tiempo a las cargas de trabajo de sus clientes en entornos de producción y espacio aislado. Los clientes deben conceder explícitamente el acceso con privilegios mínimos a sus asociados.

Para obtener más información, consulte la introducción a los privilegios de administrador delegados granulares (GDAP), información sobre los roles con privilegios mínimos y las preguntas más frecuentes sobre GDAP.

Inspección de las notificaciones de fraude de Azure

Como asociado en el programa CSP, es responsable del consumo de Azure del cliente, por lo que es importante que conozca las posibles actividades de minería de criptomoneda en las suscripciones de Azure de sus clientes. Esta conciencia le ayuda a tomar medidas inmediatas para determinar si el comportamiento es legítimo o fraudulento. Si es necesario, puede suspender los recursos de Azure afectados o la suscripción de Azure para mitigar el problema.

Para más información, consulte Detección y notificación de fraudes de Azure.

Registrarse en Microsoft Entra ID P2

Todos los agentes de administración de la entidad del CSP deben reforzar su ciberseguridad mediante la implementación de Microsoft Entra ID P2 y aprovechar estas funcionalidades para fortalecer su entidad del CSP. Microsoft Entra ID P2 proporciona acceso extendido a los registros de inicio de sesión y características premium, como Microsoft Entra Privileged Identity Management (PIM) y las funcionalidades de acceso condicional basado en riesgos para reforzar los controles de seguridad.

Cumplimiento de los procedimientos recomendados de seguridad de CSP

Es importante seguir todos los procedimientos recomendados de CSP para la seguridad. Obtenga más información en Procedimientos recomendados de seguridad del proveedor de soluciones en la nube.

Implementación de la autenticación multifactor

Para cumplir con los requisitos de seguridad de los socios, debe implementar y aplicar la autenticación multifactor (MFA) para cada cuenta de usuario en su entidad de socio. Puede hacerlo de una de las maneras siguientes:

Valores predeterminados de seguridad

Una de las opciones que los asociados pueden usar para implementar los requisitos de MFA es habilitar los valores predeterminados de seguridad en microsoft Entra ID. Los valores predeterminados de seguridad ofrecen un nivel básico de seguridad sin costo adicional. Revise cómo habilitar MFA para su organización con el identificador de Microsoft Entra. Estas son algunas consideraciones clave antes de habilitar los valores predeterminados de seguridad.

  • Los asociados que ya han adoptado directivas de línea de base deben tomar medidas para realizar la transición a los valores predeterminados de seguridad.
  • Los valores predeterminados de seguridad son el reemplazo de disponibilidad general de las directivas de línea de base de versión preliminar. Una vez que un asociado habilita los valores predeterminados de seguridad, no pueden habilitar las directivas de línea de base.
  • Las directivas predeterminadas de seguridad están habilitadas a la vez.
  • Los asociados que usan el acceso condicional no pueden usar los valores predeterminados de seguridad.
  • Los protocolos de autenticación heredados están bloqueados.
  • La cuenta de sincronización de Microsoft Entra Connect se excluye de los valores predeterminados de seguridad y no se le pide que se registre o realice la autenticación multifactor. Las organizaciones no deben usar esta cuenta para otros fines.

Para obtener más información, consulte Introducción a la autenticación multifactor de Microsoft Entra para su organización y ¿Cuáles son los valores predeterminados de seguridad?.

Nota:

Los valores predeterminados de seguridad de Microsoft Entra son la evolución de las directivas de protección de línea base simplificadas. Si ya ha habilitado las directivas de protección de línea base, se recomienda encarecidamente habilitar los valores predeterminados de seguridad.

Preguntas más frecuentes sobre la implementación (FAQ)

Dado que estos requisitos se aplican a todas las cuentas de usuario del inquilino del asociado, debe tener en cuenta varias cosas para garantizar una implementación sin problemas. Por ejemplo, identifique las cuentas de usuario en el identificador de Microsoft Entra que no pueden realizar MFA y aplicaciones y dispositivos de su organización que no admiten la autenticación moderna.

Antes de realizar cualquier acción, se recomienda completar las siguientes validaciones.

¿Tiene una aplicación o dispositivo que no admite el uso de la autenticación moderna?

Al aplicar MFA, se bloquean las autenticaciones heredadas que usan IMAP, POP3, SMTP. Esto se debe a que esos protocolos no admiten MFA. Para corregir esta limitación, use la característica contraseñas de la aplicación para asegurarse de que la aplicación o el dispositivo se siguen autenticando. Revise Consideraciones sobre el uso de contraseñas de aplicación para determinar si puede usarlas en su entorno.

¿Tiene usuarios de Office 365 con licencias asociadas con su entidad de cliente asociado?

Antes de implementar cualquier solución, se recomienda determinar qué versiones de Microsoft Office usan los usuarios de su inquilino asociado. Existe la posibilidad de que los usuarios puedan experimentar problemas de conectividad con aplicaciones como Outlook. Antes de aplicar MFA, es importante asegurarse de que usa Outlook 2013 SP1 o posterior y que la organización tiene habilitada la autenticación moderna. Para obtener más información, vea Habilitar la autenticación moderna en Exchange Online.

Para habilitar la autenticación moderna para los dispositivos que ejecutan Windows y tienen instalado Microsoft Office 2013, debe crear dos claves del Registro. Consulte Habilitar la autenticación moderna para Office 2013 en dispositivos Windows.

¿Hay una directiva que impida que alguno de los usuarios use sus dispositivos móviles mientras trabaja?

Es importante identificar cualquier directiva corporativa que impida que los empleados usen dispositivos móviles mientras trabajan porque influye en la solución MFA que implemente. Hay soluciones, como la proporcionada a través de la implementación de los valores predeterminados de seguridad de Microsoft Entra, que solo permiten el uso de una aplicación autenticadora para la comprobación. Si su organización tiene una directiva que impide el uso de dispositivos móviles, considere una de las siguientes opciones:

  • Implemente una aplicación de contraseña base de un solo uso (TOTP) basada en tiempo que se pueda ejecutar en un sistema seguro.

¿Qué automatización o integración tiene para autenticar las credenciales de usuario?

La aplicación de MFA para los usuarios, incluidas las cuentas de servicio, en el directorio del asociado, puede afectar a cualquier automatización o integración que use credenciales de usuario para la autenticación. Por lo tanto, es importante identificar qué cuentas se usan en estas situaciones. Consulte la siguiente lista de aplicaciones o servicios de ejemplo que se deben tener en cuenta:

  • Use un panel de control para preparar los recursos en nombre de los clientes.
  • Intégrese con cualquier plataforma que facture (en relación con el programa CSP) y soporte a sus clientes.
  • Use scripts de PowerShell que usen los cmdlets de Az, AzureRM, Microsoft Graph PowerShell y otros módulos.

Esta lista no es completa, por lo que es importante realizar una evaluación completa de cualquier aplicación o servicio en su entorno que use credenciales de usuario para la autenticación. Para enfrentarse al requisito de MFA, use la guía del Secure Application Model framework siempre que sea posible.

Obtener acceso a su entorno

Para comprender mejor qué o quién se autentica sin desafío de MFA, se recomienda revisar la actividad de inicio de sesión. A través de Microsoft Entra ID P1 o P2, puede usar el informe de inicio de sesión. Para obtener más información, consulte Informes de actividad de inicio de sesión en el Centro de administración de Microsoft Entra. Si no tiene Microsoft Entra ID P1 o P2, o si necesita una forma de obtener la actividad de inicio de sesión a través de PowerShell, use el cmdlet Get-PartnerUserSignActivity del módulo Partner Center PowerShell.

Aplicación de los requisitos

Si a una organización asociada se le concedió una excepción para MFA, las excepciones solo se respetan si los usuarios que administran inquilinos de cliente como parte del programa Proveedor de soluciones en la nube los habilitaron antes del 1 de marzo de 2022. No cumplir los requisitos de MFA puede provocar la pérdida del acceso de inquilino del cliente.

Microsoft Entra ID y el Centro de Partners aplican los requisitos de seguridad de los socios comprobando la presencia de la declaración de MFA para identificar que se realiza la verificación de MFA. A partir del 18 de noviembre de 2019, Microsoft activó más medidas de seguridad, anteriormente conocidas colectivamente como "aplicación técnica", para los locatarios asociados.

En el momento de la activación, se solicita a los usuarios del inquilino del socio que completen la verificación de MFA cuando realicen operaciones administrativas en nombre de (AOBO). Los usuarios también deben completar la comprobación de MFA cuando acceden al Centro de partners o llaman a las API del Centro de partners. Para obtener más información, consulte Imponer la autenticación multifactor para el arrendatario del socio.

Los partners que no cumplan los requisitos deben implementar estas medidas lo antes posible para evitar interrupciones empresariales. Si usa la autenticación multifactor de Microsoft Entra o los valores predeterminados de seguridad de Microsoft Entra, no es necesario realizar ninguna otra acción.

Si usa una solución MFA que no es de Microsoft, es posible que no se emita la notificación de MFA. Cuando falta la notificación, el identificador de Entra de Microsoft no puede determinar si MFA desafía la solicitud de autenticación. Para obtener información sobre cómo comprobar que la solución emite la notificación esperada, consulte Probar los requisitos de seguridad de asociados.

Importante

Si la solución que no es de Microsoft no emite la notificación esperada, trabaje con el proveedor que desarrolló la solución para determinar qué acciones realizar.

Recursos y ejemplos

Consulte los siguientes recursos para obtener soporte técnico y código de ejemplo:

Contenido relacionado

  • Last updated on